Privacy del lavoratore: si pronuncia la Corte Europea dei Diritti dell’Uomo

Con sentenza resa il 5 settembre 2017, la Corte Europea dei Diritti dell’Uomo (CEDU) è intervenuta in materia di tutela della riservatezza del lavoratore. È una decisione di grande rilievo, non solo per lo scostamento dagli orientamenti giurisprudenziali degli stessi giudici di Strasburgo e di quelli nazionali, ma, soprattutto, per la piena adesione ai principi che animano il Regolamento 679/2016 UE. Non un semplice cambiamento di rotta, dunque, ma una decisa virata nello spirito della nuova privacy che ci attende.

La pronuncia trae origine dal licenziamento di un cittadino rumeno che, violando il regolamento aziendale, ha utilizzato il proprio account di messaggistica istantanea (Yahoo Messenger) per comunicazioni personali, benché fosse stato autorizzato dal datore di lavoro a farne uso per fini esclusivamente lavorativi. La Corte, analizzate le ragioni delle parti in causa, ha esteso la riflessione sulla legittimità dell’utilizzo del servizio di messaggistica, alla considerazione dei profili inerenti alla tutela dei dati personali: l’accesso del datore ai messaggi e-mail del lavoratore è legittimo solo a condizione che il lavoratore stesso sia stato preventivamente informato dell’esistenza di un controllo sulla corrispondenza aziendale, delle modalità e delle motivazioni di tale controllo. Vi è di più. Il datore, in qualità di Titolare del trattamento, è anche tenuto ad indicare quali soggetti avranno accesso alle comunicazioni del dipendente e per quali scopi.

Le conclusioni alle quali è giunta la CEDU sono fondate sulla previsione contenuta nell’articolo 8 della Convenzione Europea per la salvaguardia dei diritti dell’uomo. L’articolo, rubricato “diritto al rispetto della vita privata e familiare”, prevede al comma 1 che “ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”. La condotta del datore di lavoro è stata ritenuta contraria a questi diritti fondamentali della persona.

Questa pronuncia giunge a distanza di circa due mesi dall’emanazione da parte del Gruppo Articolo 29 (WP29) di alcune indicazioni inerenti la possibilità di utilizzare le potenzialità delle reti social e delle nuove tecnologie senza violare la privacy del lavoratore. La posizione espressa dalla CEDU appare perfettamente in linea con quella dei Garanti europei, che hanno sottolineato il diritto di ogni lavoratore, indipendentemente dal contratto ad esso applicato, al rispetto della sua vita privata, della sua libertà e della sua dignità. A tal fine, deve essere informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva. È lecito, secondo il WP29 introdurre strumenti e tecnologie, come quelle per l’analisi del traffico, per ridurre i rischi di attacchi informatici e la diffusione di informazioni riservate, ma gli stessi strumenti non possono essere impiegati per il controllo occulto della corrispondenza o dell’attività sulla rete internet dei dipendenti.

Le conclusioni alle quali il WP29 giunge ci consentono, inoltre, di specificare ulteriormente la natura del consenso che la CEDU individua come fondamentale per legittimare il controllo delle attività svolte in rete dal dipendente. A questo proposito, considerata la forte disparità di potere tra datore di lavoro e lavoratore, sia in aziende private che presso enti pubblici, difficilmente il consenso può essere usato come base legale per l’utilizzo dei dati. Il consenso infatti per essere valido deve essere anche libero, mentre i Garanti evidenziano che in tali contesti il consenso prestato potrebbe essere “condizionato” dal particolare contesto in cui è richiesto. I Garanti suggeriscono al datore di lavoro l’eventualità di avvalersi di disposizioni normative o contrattuali oppure di far valere il loro “legittimo interesse” (previsto dall’art. 6 del nuovo Regolamento), sempre però bilanciando quest’ultimo con i diritti e le libertà dei lavoratori, secondo i principi di necessità e proporzionalità.

In conclusione, mutuando i principi espressi dal WP29, la Corte Europea dei Diritti dell’Uomo ha sancito l’illegittimità della condotta posta in essere dal datore di lavoro, sostenendo che anche l’eventuale consultazione o il monitoraggio dei social network debbano essere limitati ai soli profili professionali, escludendo la vita privata tanto dei dipendenti, che dei candidati all’assunzione.