L’espansione dell’utilizzo dei mezzi informatici nello svolgimento dell’attività lavorativa, come ad esempio la posta elettronica, comporta talvolta che vengano a scontrarsi tra loro l’interesse del datore di lavoro a mantenere un controllo sull’attività svolta dal proprio dipendente (da un lato) e l’interesse di quest’ultimo alla riservatezza della corrispondenza (dall’altro).
È del tutto evidente che il datore di lavoro può venirsi a trovare nell’esigenza di accedere alla corrispondenza e-mail presente sulle caselle di posta elettronica aziendali, in particolare allorquando i lavoratori siano improvvisamente assenti o sia addirittura cessato il rapporto di lavoro.
L’account personale del dipendente può essere controllato?
Preliminarmente, occorre precisare che il datore di lavoro non ha alcuna possibilità di accedere alle e-mail personali del lavoratore, il che configurerebbe una violazione delle norme sulla libertà e segretezza della corrispondenza (cfr. art. 15 Costituzione; art. 616 c.p.).
La questione, pertanto, si pone unicamente in relazione agli account aziendali del lavoratore.
Lo Statuto dei Lavoratori ed il Regolamento Europeo sulla Protezione dei Dati
La materia trova una prima regolamentazione nell’art. 4 co. 1 dello Statuto dei Lavoratori ai sensi del quale gli “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”.
Di fondamentale importanza, ovviamente, anche la normativa in materia di Privacy, in particolare rilevano gli articoli 12, 13 e 14 del Regolamento (UE) 2016/679 (c.d. GDPR) i quali prevedono che qualsiasi trattamento di dati personali comporti per il titolare (nel nostro caso quindi il datore di lavoro) l’obbligo di rendere all’interessato le adeguate informazioni sulle finalità e sulle modalità del trattamento.
Si può quindi affermare che nell’ambito del rapporto di lavoro l’obbligo di fornire al lavoratore adeguata informativa circa la possibilità di accesso del datore agli account di posta elettronica aziendale è espressione del principio di liceità del trattamento dei dati e sia presupposto per la liceità del trattamento ai sensi della normativa specifica di settore.
Conformemente a tali principi si è pronunciata la Grande Camera della Corte Europea dei Diritti dell’Uomo (sentenza 05.09.2017, n. 61496/08) la quale ha affermato che il datore di lavoro che, senza alcun previo avviso al lavoratore, controlli le e-mail dei dipendenti viola il diritto alla vita privata, ciò in quanto in caso di monitoraggio egli deve avvisare i lavoratori della possibilità di controllo sulla loro corrispondenza, delle modalità del controllo e delle relative motivazioni.
Anche il Garante per la Protezione dei Dati Personali (Linee Guida 2007; Provvedimento n. 53/2018) ha avuto modo di affermare che i datori di lavoro non possono controllare la posta elettronica e la navigazione in Internet dei propri dipendenti, se non in casi eccezionali e comunque tenendo conto dei diritti dei lavoratori.
L’accertamento di comportamenti illeciti o lesivi del dipendente
La giurisprudenza ha ritenuto corretto e legittimo l’accesso alle e-mail del dipendente da parte del datore di lavoro nei casi di c.d. controllo difensivo, ovverosia posto in essere dal datore di lavoro al fine di accertare se il lavoratore abbia o meno posto in essere un comportamento potenzialmente lesivo dell’immagine dell’azienda o del patrimonio aziendale, quindi nell’esercizio del diritto di difesa in sede giudiziaria tutelato anche dall’art. 24 Costituzione (cfr. Cass. Civ., n. 4746/2002), sempre che non venga meno ogni forma di garanzia della dignità e riservatezza del lavoratore (in tal senso Cass. Civ., n. 18302/2016).
In tale contesto, la disciplina del controllo a distanza è stata riscritta dal legislatore con il Decreto Legislativo n. 151/2015 (c.d. Jobs Act) che nel modificare l’art. 2 dello Statuto dei Lavoratori ha previsto che in presenza di “strumenti di lavoro” (tra i quali rientrano certamente i pc aziendali) non operi più il filtro dell’accordo con le organizzazioni sindacali e che le informazioni così raccolte possano essere utilizzate per “tutti i fini connessi al rapporto di lavoro” a condizione che venga fornita al lavoratore idonea informativa.
Come deve comportarsi il datore di lavoro?
Al datore di lavoro è fatto divieto di effettuare il controllo massivo e la conservazione illimitata delle e-mail aziendali, e nei casi di cessazione del rapporto l’account dato in utilizzo al lavoratore fuoriuscito dall’azienda deve essere disattivato (Linee Guida 2007; Provvedimento n. 53/2018).
La necessità che al lavoratore venga fornita una idonea informativa preventiva circa le modalità di utilizzo degli strumenti di lavoro e di effettuazione dei controlli a distanza è stata ribadita dal legislatore con il Decreto Legislativo n. 185/2016.
Va da sé, quindi, che il mancato rispetto da parte del datore di lavoro della normativa a protezione dei dati personali e la carenza di adeguata policy aziendale in materia può essere determinante per rendere non legittimo l’accesso all’account aziendale del dipendente.