Mail aziendale: no a controlli indiscriminati:
Torniamo di nuovo sulla questione dei controlli indiscriminati sulla mail aziendale a seguito della sentenza del 12 gennaio 2016 con cui la Corte dei diritti dell’uomo ha ritenuto legittimi i controlli del datore di lavoro sulla mail aziendale. In pratica quanto deciso dalla Corte non avrà grande eco nel nostro Paese visto che si ribadisce principi che sono già vigenti nel nostro ordinamento, sia dalle linee guida del Garante della Privacy del 2007 che nello Statuto dei Lavori, come modificato dal Jobs Act.
Ne parla approfonditamente anche un articolo pubblicato oggi (14.1.2016) dal Sole 24 Ore (Firma: Giampiero Falasca; Titolo: “Mail, no a controlli indiscriminati” che vi proponiamo.
Ecco l’articolo.
La rilevanza mediatica della sentenza con cui la Corte europea dei diritti dell’uomo ha ritenuto legittimi i controlli del datore di lavoro sulle email aziendali è molto superiore rispetto ai risvolti pratici che la decisione potrà avere nel nostro ordinamento. La pronuncia, infatti, non legittima affatto controlli indiscriminati sulla posta dei dipendenti ma si limita a ribadire principi già ampiamente vigenti nel nostro ordinamento e codificati nelle linee guida elaborate sin dal 2007 del Garante Privacy e nello Statuto dei lavoratori (modificato di recente nel Jobs Act).
Ma andiamo con ordine, cercando di riepilogare innanzitutto cosa dice la sentenza. La Corte ha riconosciuto l’applicabilità nei confronti delle comunicazioni via email delle tutele previste dalla Convenzione dei diritti dell’uomo per tutto quanto concerne la riservatezza della vita privata; è stata ammessa, tuttavia, la possibilità di superare questa tutela rinforzata, in presenza di alcune condizioni molto stringenti.
La prima condizione è che l’utilizzo per scopi personali dello strumento informatico fornito dall’azienda sia espressamente vietato dal datore di lavoro. Questo elemento è essenziale in quanto – come ribadito anche dalle linee guida del Garante privacy italiano – se esiste una “aspettativa di segretezza” delle comunicazioni veicolate dal dipendente con la posta aziendale, nessun controllo da parte del datore di lavoro è lecito.
La seconda condizione individuata dalla sentenza riguarda la proporzionalità del controllo. È da escludere – secondo i giudici di Strasburgo, ma anche secondo le norme e le prassi vigenti in Italia – la legittimità di controlli massivi, attivati in assenza di un motivo specifico o comunque eseguiti in maniera troppo estesa rispetto alle finalità che si perseguono.
Questi concetti sono pienamente compatibili con le regole che governano nel nostro Paese la questione: tali controlli sono legittimi (e i relativi risultati possono essere utilizzati a fini disciplinari) solo a condizione che gli strumenti informatici non siano coperti da un’aspettativa di segretezza (il Garante privacy ritiene che si debba rimuovere tale aspettativa mediante apposite policy aziendali), e all’ulteriore condizione che le indagini siano effettuate in maniera lecita e proporzionata.
Il Jobs Act non ha modificato tale impostazione e, anzi, ha introdotto (nell’articolo 4 dello Statuto dei lavoratori) una tutela ulteriore per i dipendenti, stabilendo che i dati acquisiti tramite i controlli a distanza sono utilizzabili ai fini disciplinari solo se è stata data comunicazione scritta, mediante l’informativa prevista dall’articolo 13 del Codice privacy, della modalità con cui saranno trattati i dati personali. Inoltre, la sentenza di Strasburgo esamina solo il tema della legittimità del controllo, mentre nulla dice in merito alla congruità della sanzione comminata al lavoratore (il licenziamento) che ha dato origine alla controversia.
La sentenza, quindi, non è destinata a rivoluzionare le regole esistenti; la sua rilevanza mediatica può, tuttavia, avere l’effetto positivo di sensibilizzare l’attenzione verso un tema troppo spesso sottovalutato. Le aziende dovrebbero trarre spunto dalla pronuncia per verificare l’adeguatezza delle proprie policy rispetto agli standard richiesti dalla normativa, verificando prima di ogni cosa se sono state adottate linee guida che affermano in maniera chiara il divieto di utilizzo degli strumenti aziendali per scopi personali. I lavoratori dovrebbero invece prendere coscienza del fatto che tutti gli strumenti informatici aziendali possono teoricamente essere controllati dal datore di lavoro (nei limiti sopra descritti), e che questo rischio si può evitare mediante piccoli e semplici accorgimenti (ad esempio, l’apertura di una casella di posta personale per tutte le comunicazioni extra lavorative).