Spiare le email aziendali è (quasi) sempre vietato, ad affermarlo e la Corte Europea dei Diritti dell’Uomo

CEDU - GRAND CHAMBER, 5/09/2017, n. 61496/08

Grande clamore ha suscitato la pronuncia della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 relativamente alla (im)possibilità di consultare la posta aziendale di un dipendente, ancorché fosse inibito l’utilizzo ai fini privati.
La vicenda. Un lavoratore romeno veniva licenziato per aver ripetutamente usato un account aziendale per fini personali, come rilevato da un controllo di routine, in distonia al codice etico aziendale.

La giurisprudenza delle sezioni semplici della CEDU (Corte Europea dei Diritti dell’Uomo) aveva accolto in prima istanza le ragioni del datore di lavoro, ritenendo che i controlli aziendali sull'attività lavorativa sono ammissibili quando strettamente proporzionati e non eccedenti lo scopo di verifica dell'adempimento contrattuale. Essi devono essere inoltre limitati nel tempo e nell'oggetto; mirati (dunque non massivi) e fondati su presupposti (quali in particolare l'inefficienza dell'attività lavorativa del dipendente) tali da legittimarne la relativa esecuzione. Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto. Su tali presupposti le ragioni del datore di lavoro erano state accolte, ritenute quindi conformi ai principi di rispetto della privacy.

Di tutt’altro avviso le sezioni unite della medesima Corte (c.d. Grande Camera).
Hanno ritenuto cioè i magistrati della pronuncia in commento che, in primis, il diritto alla privacy ed alla segretezza della corrispondenza sono previsti dagli ordinamenti e dalle costituzioni di tutti gli stati membri. Se ne deve dedurre che l’accesso alle comunicazioni deve rispettare quindi i noti principi di finalità, trasparenza, legittimità, proporzionalità, precisione, sicurezza e personale consapevolezza, al fine di dare seguito in concreto al rispetto della privacy del lavoratore e, contestualmente, di protezione dei beni aziendali.

Ciò che era mancato, in particolare, era il necessario avvertimento antecedente al monitoraggio dovuto al dipendente che l’azienda avrebbe proceduto concretamente, e non come facoltà astratta, al controllo e sorveglianza della posta dei propri dipendenti, anche relativamente alle eventuali comunicazioni personali che fossero state trovate al suo interno. Le regole imposte dal datore non possono limitarsi a vietare l’esercizio della vita sociale sul luogo di lavoro, dovendo garantire al lavoratore il diritto alla sua privacy. Il provvedimento infine veniva ritenuto eccessivo e sproporzionato al fatto contestato al lavoratore, posto che la posta privata violata dal datore di lavoro non riguardava dati sensibili ovvero gravi violazioni delle obbligazioni nascenti dal contratto di lavoro in essere.

Si inserisce così la Corte Europea dei Diritti dell’Uomo nell’annoso dibattito esistente tra rispetto dei diritti di riservatezza e privacy del lavoratore VS. obblighi a carico dello stesso scaturenti dal contratto di lavoro di attenersi alle direttive aziendali. La pronuncia non lascia spazio a dubbi circa la “scelta” della giurisprudenza comunitaria, volta a proteggere la riservatezza delle comunicazioni private, seppure le stesse avvengano in contesti vietati dal contratto di lavoro e dalla policy aziendale.

Un diritto cioè costituzionalmente garantito da tutti gli stati membri non può “essere messo da parte” dalla violazione di una policy aziendale, tanto più se la suddetta violazione è all’origine di un provvedimento espulsivo. Segnaliamo, infine, che l’orientamento della Corte riportato nel presente contributo è, per quanto di interesse, esattamente speculare a quello già richiamato più volte dal Garante della Privacy italiano, nelle molteplici raccomandazioni dallo stesso presentate.