Spesso ci viene chiesto se e quando il datore di lavoro può effettuare un controllo sulle email del dipendente inviate dal computer aziendale.
Va subito detto che la risposta è affermativa, ma solo in presenza di determinati parametri.
Innanzitutto consigliamo un’adeguata informativa preventiva, non certamente di quelle scaricate gratis dal web ma costruita su misura per l’azienda in questione, da consegnare ai dipendenti al momento dell’assunzione. Ci devono essere, poi, gravi e circostanziati motivi che spingono l’azienda al controllo medesimo nonché l’impossibilità di ricorrere a misure meno intrusive. L’equilibrio e la proporzione debbono sempre, infine, essere il parametro di riferimento di tali controlli, senza eccedere rispetto al fine primario che riguarda la sicurezza e l’interesse dell’azienda.
Conformemente a tali principi si è espressa la Grande camera della Corte europea dei diritti dell’uomo (Sentenza 5 settembre 2017, n. 61496/08) ribadendo che i controlli disposti dal datore di lavoro nei confronti di un dipendente devono essere effettuati rispettando i criteri necessari a garantire il giusto equilibrio tra i diversi interessi in gioco: vita privata e lavoro.
Anche il Tribunale di Roma (Sez. Lavoro, n. 28694/2018, o anche ordinanza n. 57668 del 13 giugno 2018), recentemente, ha indicato le condizioni di accesso da parte del datore di lavoro all’account di posta elettronica del dipendente. Tale provvedimento conferma, da un lato, l’inacessibilità all’e-mail personale del lavoratore, pena la violazione delle regole costituzionali sul segreto della corrispondenza, dall’altro, chiarisce gli aspetti in tema di accesso alla posta elettronica aziendale dei dipendenti, per finalità di controllo.
I controlli, si dice, devono essere tracciabili, in modo da rendere chiari i numeri e la frequenza delle e-mail monitorate, nonché quanti soggetti hanno avuto accesso ai risultati di tale attività di sorveglianza. I controlli possono essere consentiti per finalità di sicurezza o, qualora sussistano fondati sospetti nei confronti del dipendente infedele, come necessaria fase di ricerca delle prove della sua colpevolezza, mentre sono certamente vietati i controlli di tipo massivo.
Viene ribadita, infine, la non applicabilità dell’art. 4 dello Statuto dei Lavoratori (L. 300/1970) se le verifiche sono dirette ad accertare comportamenti illeciti e lesivi del patrimonio e dell’immagine aziendale; conseguentemente, qualora tale indagine risulti fondata, sono da considerarsi legittime sia le contestazioni disciplinari che l’eventuale successivo licenziamento.
Tutto ciò non significa che il datore di lavoro abbia un potere assoluto ed incontrollato circa l’accesso ai dispositivi aziendali da parte dei propri dipendenti, in quanto l’informativa sottoposta al lavoratore dovrebbe permettere allo stesso di comprendere come vengano trattati i propri dati personali. Tuttavia ciò che più rileva è che il terzo comma dell’art. 4 dello Statuto dei lavoratori legittimerebbe (sempre in presenza di una dettagliata policy aziendale) l’uso di tutte le informazioni raccolte “a tutti i fini connessi al rapporto di lavoro”. Non è revocabile in dubbio che dalla citata disposizione normativa sia derivato un acceso dibattito in materia di “controlli difensivi”.
Il Tribunale di Roma ha statuito come sulla base del novellato art. 4 dello Statuto dei lavoratori sia ammissibile utilizzare le informazioni raccolte tramite controlli a distanza anche per “finalità difensive”, proprio perché anch’esse rientrerebbero nella più ampia categoria delle “finalità connesse al rapporto di lavoro”. Ma vi è di più, con riferimento all’uso della posta elettronica, l’unico limite al potere di controllo del datore di lavoro è stato inaspettatamente posto nella mera elaborazione ex ante di rigorose disposizioni circa la modalità di accesso alle informazioni.
La mancanza di un’adeguata policy aziendale, comunque, può essere determinante per rendere non più difendibili le tesi del datore di lavoro.
Il Tribunale di Roma ha infatti stigmatizzato la funzione dell’informativa privacy ex art. 13 GDPR in assenza della quale (o anche in assenza di adeguate disposizioni) il datore di lavoro non può dirsi legittimato ad utilizzare le informazioni raccolte tramite strumenti installati ai sensi del primo comma dell’art. 4 dello Statuto nemmeno per fini difensivi/disciplinari. L’art. 4 comma 1 costituisce comunque il fulcro: gli impianti/strumenti devono essere installati per le primarie finalità di tutela del patrimonio aziendale, e non di controllo sull’attività dei lavoratori, ma “questo non significa che le informazioni ricavate da impianti autorizzati ed impiegati ad un fine diverso da quello di controllare il lavoratore non possano essere utilizzate contro costui, perché il terzo comma [dell’art. 4] chiarisce che le informazioni raccolte ai sensi del comma 1 sono utilizzabili nel rispetto delle regole sulla privacy e della regola specifica della previa informazione al lavoratore, “a tutti i fini connessi al rapporto di lavoro”; espressione di latitudine tale da comprendere anche il controllo sull’osservanza degli obblighi discendenti dal rapporto di lavoro” (Cfr. ordinanza Tribunale di Roma).
Da ultimo, con le proprie Linee Guida, il Garante suggerisce ad ogni datore di lavoro di predisporre indirizzi di posta elettronica condivisi acconsentendo così l’accesso di tutti o di un gruppo determinato di dipendenti. Tale sistema tuttavia è difficilmente applicabile a quei settori in cui l’attività lavorativa richiede uno stretto rapporto di fiducia tra lavoratore dipendente e cliente, il quale può sentire l’esigenza di intrattenere rapporti sempre con lo stesso referente. È evidente che comunicare attraverso indirizzi di posta elettronica condivisi non permetterebbe una precisa identificazione del personale con cui si interloquisce. Per tale ragione il Garante suggerisce anche di attribuire al lavoratore un diverso indirizzo destinato ad uso privato, così affiancandolo all’indirizzo di posta elettronica aziendale.
Emerge nuovamente il ruolo centrale della policy aziendale quale strumento di contemperamento tra la tutela della riservatezza del prestatore di lavoro e la tutela del patrimonio aziendale.