Roma, venerdì 22 settembre 2017 – Controllare le e-mail di un proprio dipendente configura una reato e la violazione del diritto, costituzionalmente garantito, della segretezza della corrispondenza. Lo ha stabilito la Corte europea dei diritti dell’uomo, secondo la quale la indebita intromissione nella casella postale elettronica di un lavoratore da parte del suo datore di lavoro è una violazione dell’articolo 8 della Convenzione europea dei diritti dell’uomo.
La sentenza del giudici di Strasburgo viene al termine di una controversia sollevata da un cittadino romeno. Per questo la Corte ha stabilito che l’indebita intromissione configura anche una violazione dell’articolo 28 della Costituzione di quel Paese, secondo il quale «la segretezza delle lettere, dei telegrammi o di altre comunicazioni postali, delle conversazioni telefoniche e di qualsiasi altro mezzo legale di comunicazione è inviolabile». Quindi, si ritiene violato il medesimo principio Costituzionale contenuto nelle Carte degli altri Paesi europei.
Anche il codice penale rumeno, all’articolo 195, sancisce la violazione della privacy delle comunicazioni come reato, stabilendo che «chiunque apra illegittimamente la corrispondenza o intercetti le conversazioni o le comunicazioni tramite telefono, telegrafo, o altro mezzo di trasmissione a lunga distanza, sarà soggetto a reclusione per un periodo dai 6 mesi ai 3 anni».
La sentenza fa comunque una distinzione netta tra e-mail aziendale ed e-mail personale. Il datore di lavoro ha il divieto categorico di accesso all’account personale, anche se si è fatto prima firmare un’autorizzazione o se il suo comportamento è dettato dalla necessità di prevenire o reprimere dei reati ai danni dell’impresa. Per quanto riguarda l’account aziendale, la violazione del datore di lavoro sussiste quando l’intrusione avviene di nascosto, senza cioè che il dipendente sia stato messo in condizione di sapere del possibile controllo da parte del datore. In sintesi, la Corte sostiene che il controllo delle e-mail dei dipendenti è possibile se c’è stata una preventiva comunicazione e se vengono rispettati una serie di paletti.
Il caso su sui si è pronunciata la Corte europea riguarda un ingegnere rumeno, dipendente di un’azienda privata di Bucarest, in qualità di responsabile alle vendite. Il lavoratore ha fatto ricorso lamentando la violazione del suo diritto al rispetto della vita privata e familiare. Dopo essere stato licenziato dal suo datore di lavoro il 1 agosto del 2007, l’ingegnere ha deciso di presentare ricorso all’autorità giudiziaria rumena.
Il licenziamento disciplinare intimatogli si basava sul fatto che il lavoratore avesse utilizzato la connessione ad internet per scopi personali nel periodo intercorrente dal 5 luglio fino al giorno del licenziamento, scambiando messaggi durante le ore lavorative con il fratello e la fidanzata attraverso l’account Yahoo attivato al solo fine di gestire le relazioni con i clienti. Dopo aver monitorato le sue e-mail ed aver avuto prova del loro contenuto non professionale, l’azienda ha contestato al proprio dipendente non solo la improduttività lavorativa, ma anche la violazione del suo regolamento interno: difatti, al momento dell’assunzione, all’ingegnere gli era stato mostrato un documento aziendale che lo avvisava circa il divieto di utilizzare i beni aziendali a fini personali, pena il licenziamento.
La sentenza della Corte europea, emessa il 5 settembre scorso, contesta l’intensità della violazione. Secondo i giudici di Strasburgo, i tribunali nazionali non avevano, da un lato, verificato se il dipendente fosse stato avvertito in anticipo della possibilità che le proprie comunicazioni potessero essere sorvegliate e, dall’altro, non hanno tenuto conto che il lavoratore non era stato informato della natura e della durata di questa sorveglianza e del grado di intrusione nella sua vita privata. Anche il monitoraggio effettuato è stato ritenuto eccessivo ed il datore di lavoro avrebbe dovuto usare modalità meno intrusive per i controlli, limitandoli nel tempo e nel contenuto. I controlli, quindi, possono avvenire solo a certe condizioni.
La Corte ha ritenuto, inoltre, che le autorità nazionali non abbiano saputo effettuare un giusto bilanciamento tra l’interesse del lavoratore al rispetto della sua vita privata e quello del datore di lavoro al corretto svolgimento delle attività svolte dai propri dipendenti.
È la seconda volta nel giro di poco più di un anno che la Corte euopea interviene sulla materia, Nella prima sentenza, i giudici europei hanno stabiliti che sono illegittimi i controlli massivi, senza motivazione e senza un concreto timore di pericolo per l’azienda da cui difendersi. Non possono quindi essere svolti controlli a caso o sulla totalità dei dipendenti. Il diritto di controllo del datore, quindi, si limita all’account aziendale del lavoratore, escludendo qualunque altri dato presente sul computer del dipendente, e solo quando si tratti di ricercare prove a supporto del sospetto di infedeltà di uno specifico lavoratore nei confronti dell’azienda per cui lavora.
Il quadro della normativa italiana riguardo questa fattispecie è cambiato notevolmente grazie al Job Act, che ha modificato l’articolo 4 dello Statuto dei lavoratori: La riforma ha stabilito la possibilità di controlli a distanza sugli strumenti aziendali, siano essi telefoni, tablet o la posta elettronica, senza bisogno del consenso preventivo dei sindacati, ma la nuova normativa ha anche posto un limite: i dati in tal modo acquisiti sono utilizzabili ai fini disciplinari solo se è stata precedentemente data comunicazione scritta della modalità con cui sarebbero stati trattati i dati personali.
Sul tema è intervenuta anche la Corte di Cassazione. La sentenza numero 13.057 del 5 maggio 2016 ha sancito che la e-mail del dipendente non può essere spiata dal datore di lavoro se è stata protetta da password, pena l’accusa di accesso abusivo a sistema informatico. E ciò vale anche per l’e-mail aziendale. Il che sembrerebbe suggerire al datore che voglia fornire un account di posta elettronica per l’ufficio di non farlo proteggere con credenziali d’accesso o di chiedere al lavoratore di comunicare le stesse al datore per i suoi controlli.