Controllare le mail dei dipendenti è violazione della privacy

Corte Europea dei diritti dell’uomo: il datore di lavoro può controllare le email del personale solo previa comunicazione, altrimenti viola il diritto alla vita privata.

Il miglior modo per controllare quello che fa, dice e pensa una persona è leggere nel suo cellulare o nella casella delle email. Lo sanno così bene i datori di lavoro che spesso impiantano delle spie in grado di captare tutto ciò che fa e trasmette un computer: si tratta di software che fungono da veri e propri sistemi di controllo elettronico a distanza e che, se attivati segretamente sulla postazione di lavoro del dipendente, possono rivelare il contenuto delle emailanche se protette da password. Chiaramente il dipendente, ignaro di ciò, è portato a comunicare tramite posta elettronica tutti i propri pensieri, diffondendoli in lungo e in largo, anche quelli che potrebbero ledere l’immagine del datore di lavoro. I più disonesti cedono le informazioni segrete dell’azienda ai concorrenti. Ma è possibile controllare le email dei dipendenti quand’anche si tratta di reprimere illeciti? La risposta è stata fornita oggi dalla Corte Europea dei diritti dell’Uomo e più volte, in passato, dalla nostra stessa Cassazione. Come sempre i contrasti giurisprudenziali non mancano, tuttavia, nonostante le recenti aperture dei Job Act e la liberalizzazione dei controlli degli strumenti dell’azienda affidati ai dipendenti, l’orientamento resta ancor oggi favorevole al dipendente. Ma procediamo con ordine.

Quali email l’azienda può controllare?

Prima però di comprendere se sia possibile e quando controllare le email dei dipendenti urge fare una distinzione. In questo articolo parleremo solo delle email aziendali, quelle cioè fornite dal datore di lavoro, con l’account quindi di proprietà dell’impresa (ad esempio: @nomeazienda.it). Ciò perché non vi è dubbio – e non c’è bisogno di citare i numerosi precedenti della Cassazione – che le email personali (ad esempio @gmail.com e @yahoo.it) siano intoccabili e inaccessibili, pena la commissione di un reato e la violazione delle regole costituzionali sul segreto della corrispondenza. Dunque, dovendo fare la distinzione tra account personale e account aziendale non c’è dubbio che, per il primo, il datore di lavoro ha il divieto categorico di accesso, anche se si è fatto prima firmare un’autorizzazione o se il suo comportamento è dettato dalla necessità di prevenire o reprimere dei reati ai danni dell’impresa.

Il controllo delle email è legittimo solo se…

Limitato così il discorso all’account aziendale possiamo chiarire cosa ha appena detto la Corte Europea dei Diritti dell’Uomo [1]. Secondo la Cedu il controllo delle email dei dipendenti costituisce un’illegittima intrusione nella privacy di questi e viola il diritto alla vita privata e alla corrispondenza (diritti che in Italia sono garantiti dalla stessa Costituzione). Ma solo quando questo avviene di nascosto, senza cioè che il dipendente sia stato messo in condizione di sapere del possibile controllo da parte del datore. In sintesi, la Corte sostiene che il controllo delle email dei dipendenti è possibile se c’è stata una preventiva comunicazione e se vengono rispettati una serie di paletti. I limiti imposti al datore di lavoro che voglia spiare nelle email dei dipendenti sono i seguenti:

• il lavoratore deve essere avvisato del fatto che l’azienda si è riservata la possibilità di controllare la sua corrispondenza; il che verosimilmente deve essere previsto nel contratto di lavoro o riportato sul regolamento aziendale. Detta comunicazione deve precisare come le misure saranno messe in atto e perché. In altre parole bisogna dare contezza della natura delle verifiche. In assenza della comunicazione preventiva ogni controllo è vietato e l’eventuale prova di attività illecite non può essere utilizzata in un eventuale processo;
• il controllo delle email non può superare i limiti imposti dalla finalità del trattamento, pena un’intollerabile intromissione nella privacy del lavoratore. Non qualsiasi email può essere letta ma solo quelle inviate e attinenti a questioni che coinvolgono l’azienda;
• il datore deve consentire la “tracciabilità dei controlli”, in modo da rendere chiaro quanti e quali email sono state monitorate, per quanto tempo, e quante persone hanno avuto accesso ai risultati della sorveglianza.

No ai controlli massivi e preventivi delle email

Già l’anno scorso la Corte europea dei diritti dell’uomo aveva fornito lo stesso parere (leggi Il datore può controllare l’email aziendale del dipendente). Ed anche in quella occasione gli eurogiudici avevano subordinato il controllo a una necessaria proporzione tra finalità e invasione della privacy. In buona sostanza, sono illegittimi i controlli massivi, attivati in assenza di un motivo specifico o di un pericolo attuale. Detti controlli non possono essere eseguiti “a caso”, sulla totalità dei dipendenti, con finalità preventive, o in maniera troppo estesa rispetto allo scopo che si persegue. Sembrerebbe quindi che il controllo delle email può seguire solo a dei fondati sospetti nei confronti del dipendente infedele, come necessaria fase di ricerca delle prove della sua colpevolezza, ma non può essere invece svolto nei confronti di chi non è accusato di nulla. A tal fine la Corte precisa che il diritto di controllo si limita solo a quegli strumenti – e quindi email – che ineriscono all’attività svolta in favore dell’azienda. Quindi sì all’ingerenza nella casella di posta, ma senza controllare altri dati o documenti contenuti nel computer del dipendente.

Le recenti aperture in Italia col Job Act

Il quadro della normativa italiana è cambiato notevolmente grazie al Job Act. La riforma ha ritoccato l’articolo 4 dello Statuto dei lavoratori stabilendo sì la possibilità di controlli a distanza sugli strumenti aziendali (telefoni, tablet, email) senza bisogno del consenso preventivo dei sindacati, ma precisando anche che i dati acquisiti tramite detti controlli sono utilizzabili ai fini disciplinari solo se è stata data comunicazione scritta, mediante l’informativa prevista dall’articolo 13 del Codice privacy, della modalità con cui saranno trattati i dati personali. Si recepisce quindi lo stesso orientamento della Corte europea dei diritti dell’uomo.

La Cassazione

Veniamo ora alla nostra Corte Suprema. Secondo la Cassazione [2] l’email del dipendente non può essere spiata dal datore di lavoro se è stata protetta da password. Questo perché, in caso contrario, scatta il reato di accesso abusivo a sistema informatico. E ciò vale anche per l’email aziendale. Il che sembrerebbe suggerire al datore, che voglia fornire un account di posta elettronica per l’ufficio di non farlo proteggere con credenziali d’accesso o di comunicare le stesse al datore per i controlli di cui sopra.