Con sentenza dello scorso 14 dicembre, il Tribunale di Genova si è pronunciato sulla legittimità dei controlli del datore di lavoro sulla posta elettronica dei dipendenti nell’ambito della vicenda di una lavoratrice licenziata per aver inviato a terzi e-mail contenenti informazioni altamente riservate della società datrice di lavoro.
I giudici di merito hanno richiamato e fatto propri i principi elaborati dalla recente giurisprudenza di legittimità in tema di controlli difensivi alla luce dell’art. 4 della L. n. 300/1970, c.d. “Statuto dei Lavoratori”, così come modificato dall’articolo 23 del D.lgs. n. 151 del 2015.
Il Giudice del Lavoro ha disposto l’annullamento del licenziamento e la reintegrazione della lavoratrice nel posto di lavoro, avendo accertato che non era stata fornita alla dipendente alcuna informativa sui possibili controlli che il datore di lavoro avrebbe potuto effettuare sull’indirizzo di posta elettronica né sulle finalità ed i limiti degli stessi. Di più: non era stata dimostrata concretamente l’esistenza di un fondato sospetto riguardo la commissione di illeciti da parte della lavoratrice poi licenziata.
Si è ripresentato, dunque, il tema, caldo e sempre attuale, del giusto bilanciamento tra la necessità del datore di lavoro controllare l’operato dei propri dipendenti e il diritto alla riservatezza di quest’ultimi.
Resta valido quanto espresso dall’Autorità Garante per la protezione dei dati personali (“Garante privacy”) – con il provvedimento n. 13 del primo marzo 2007 – conformemente a quanto previsto dal Regolamento europeo sulla protezione dei dati n. 2016/679 (“GDPR”), e stabilito dalla giurisprudenza della Corte europea dei diritti dell’uomo sull’art. 8 della Convenzione. Sulla base di tali principi, vige il divieto per i datori di lavoro, sia pubblici che privati, di controllare la posta elettronica e la navigazione in internet dei propri dipendenti, salvo il caso di ipotesi eccezionali.
La posta elettronica è infatti equiparata alla posta tradizionale e gode, pertanto, della tutela di cui all’art. 15 della Costituzione. Inoltre l’art. 4 dello Statuto dei lavoratori limita fortemente il controllo a distanza dell’attività lavorativa dei dipendenti, che deve essere circoscritto alla sola attività lavorativa, mentre devono ritenersi certamente fuori dall’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate, o gli apparecchi di rilevazione di telefonate ingiustificate.
In tal senso si è espressa anche la Corte di Cassazione con la sentenza n. 22662/2016 che ha affermato che “in tema di controllo del lavoratore, le garanzie procedurali imposte dall’art. 4, secondo comma, legge n. 300/1970, per l’installazione di impianti e apparecchiature di controllo, richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, dai quali derivi la possibilità di verifica a distanza dell’attività dei lavoratori, trovano applicazione ai controlli, c.d. difensivi, diretti ad accertare comportamenti illeciti dei lavoratori, quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso.”
Il datore di lavoro, inoltre – afferma il Garante privacy – è tenuto ad informare adeguatamente e in modo dettagliato i propri dipendenti circa le modalità di utilizzo di internet e della posta elettronica, al fine di prevenire il rischio di un loro uso improprio. Nell’informativa resa ai sensi dell’art. 13 del GDPR, il datore di lavoro deve, peraltro, specificare in quali, limitatissimi casi, preveda di analizzare i messaggi di posta elettronica e le informazioni relative alla navigazione sul web dei dipendenti. Sono infatti vietati i controlli capillari e particolarmente invasivi, come la lettura e la registrazione sistematica delle e-mail o il monitoraggio delle pagine web visualizzate dal lavoratore, in quanto – procedendo in tal senso – verrebbe a configurarsi un controllo a distanza dell’attività lavorativa, condotta vietata dall’articolo 4 dello Statuto dei lavoratori.
Perché tali operazioni avvengano conformemente alla disciplina prevista in materia di protezione dei dati personali, il Garante privacy raccomanda ai datori di lavoro di adottare un disciplinare interno che definisca chiaramente le regole interne per l’uso di internet e della posta elettronica, stabilite anche con la collaborazione delle rappresentanze sindacali.
Avv. Rossella Bucca e Dott.ssa Simona Lanna