Ha fatto molto discutere la recente sentenza datata 12 dicembre della Corte europea dei diritti umani che nell’esaminare un ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall’utilizzo per fini personali, in orario di lavoro, della mail aziendale, ha ritenuto non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, ammettendo, quindi, il controllo datoriale sull’attività lavorativa nella misura in cui sia strettamente proporzionato e non eccedente lo scopo di verifica dell’adempimento contrattuale.
Tale decisione ha fatto erroneamente pensare alla fine della privacy in ambito lavorativo, ma come giustamente sottolineato dal Garante per la protezione dei dati personali non è assolutamente così in quanto nel caso specifico:
a) l’azienda aveva informato i dipendenti delle condizioni d’uso della mail aziendale, che non ne consentivano l’utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l’aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;
b) il monitoraggio delle mail è stato limitato nel tempo e nell’oggetto, nonché strettamente proporzionato allo scopo di provare l’inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
c) l’accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni (come da contratto avrebbe dovuto essere);
d) l’identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;
e) l’azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore; il contenuto delle comunicazioni non è stato oggetto di sindacato da parte datoriale nel giudizio, ma soltanto il carattere personale delle mail inviate nell’orario di lavoro, con conseguente riduzione della produttività del dipendente;
f) il dipendente non ha motivato la ragione dell’utilizzo della mail aziendale per fini personali.
Indubbiamente il tema della vigilanza sulle comunicazioni elettroniche e sull’utilizzo di Internet sul posto di lavoro rimane sempre di grande attualità e di ampio contrasto tra gli addetti ai lavori, ma in merito a tale problematica assumono grande rilievo il provvedimento generale dell’Autorità Garante per la protezione dei dati personali del 1 marzo 2007, il documento di lavoro delle autorità europee di protezione dei dati riunite nel Gruppo dei garanti europei, istituito ai sensi dell’art. 29 della direttiva n. 95/46/CE, adottato il 29 maggio 2002, nonché la giurisprudenza della Corte europea dei diritti dell’uomo relativa all’articolo 8 della Convenzione europea dei diritti dell’uomo la cui ultima sentenza conferma l’orientamento di carattere generale.
Ormai presso tutti gli uffici il collegamento ad Internet è molto diffuso, ma non bisogna dimenticare che l’uso di un computer collegato ad una rete esterna deve essere sempre molto accorto e responsabile innanzitutto per ovvie ragioni di sicurezza.
In un caso piuttosto recente la Corte dei Conti – Sezione giurisdizionale per la regione Piemonte con sent. n. 1856/03 non ha esitato a condannare ad un congruo risarcimento del danno a favore dell’erario un dirigente pubblico reo di essersi collegato a siti Internet non istituzionali per una media di più di 2 ore al giorno.
Non poche, poi, sono le questioni sorte in merito alla legittimità dell’accesso da parte del datore di lavoro o dirigente alla casella di posta elettronica aziendale del dipendente.
Al fine di risolvere tali questioni è opportuno ricordare alcuni importanti concetti:
- l’equiparazione della posta elettronica alla corrispondenza tradizionale la cui libertà e segretezza viene tutelata dall’art. 15 della Costituzione;
- la legittimità del controllo della casella della posta elettronica del proprio dipendente da parte del datore di lavoro alla luce di quanto prescritto dall’attuale disciplina in tema di rapporti di lavoro, compreso lo Statuto dei lavoratori;
- la tutela della privacy alla luce di quanto stabilito dal d.lgs. n. 196/2003.
La problematica non è semplice ed il Garante alla luce dei principi di cui sopra è intervenuto con un provvedimento nel quale ha chiarito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali.
Spetta al datore di lavoro definire le modalità d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.
Ma cosa succede nel caso di messaggi inerenti al rapporto di lavoro? Anche in questo caso opera il divieto di controllo?
L’Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori (art. 4).
Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.
Il provvedimento del Garante raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.
Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori.
Per quanto riguarda Internet è opportuno ad esempio:
- individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
- utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.
Per quanto riguarda la posta elettronica, è opportuno che l’azienda:
- renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected]; [email protected]; [email protected]), rendendo così chiara la natura non privata della corrispondenza;
- valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
- preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
- metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.
Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.
Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.
Diverso è il caso di richiesta di accesso di un dipendente a tutte le informazioni personali e le valutazioni professionali che lo riguardano, anche a quelle contenute nella posta elettronica dell’azienda. In tal caso l’azienda non può negare tale accesso, come precisato in precedenza, e per quanto non sia obbligata a esibire o copiare ogni documento, l’azienda deve comunque estrarre dagli atti tutte le informazioni relative al solo interessato e comunicargliele in modo facilmente comprensibile.
In un provvedimento del 2001, il Garante ha, inoltre, ribadito che l’ampia definizione di dato personale adottata dalla direttiva comunitaria e dalla legge sulla privacy comprende non solo dati di tipo oggettivo (nome, cognome, data di nascita etc.), ma anche altri dati personali contenuti in valutazioni soggettive, ispezioni, relazioni etc., in possesso dell’azienda.
È quindi legittima la richiesta di accesso del dipendente per conoscere il contenuto delle e-mail che contengono tali valutazioni.