La sentenza Barbulescu della Grande Chambre: una nuova frontiera per la tutela della privacy anche in Italia? di Francesca Retus Con la recente sentenza pubblicata il 5 settembre, la Grande Chambre della Corte Europea sui Diritti dell’Uomo ha riformato la pronuncia emessa dalla IV Sezione della Corte, ravvisando una violazione dell’art. 8 della Cedu, disposizione che salvaguarda il diritto di ciascun individuo alla tutela della privacy e della vita familiare. Il caso. Un ingegnere rumeno dipendente di una Società privata veniva licenziato per ragioni disciplinari poiché sorpreso ad utilizzare per scopi personali l’account messanger aziendale, pur sapendo che il regolamento interno vietava ogni uso privato degli strumenti aziendali. L’ex dipendente conveniva in giudizio la società datrice di lavoro per chiedere l’accertamento della illegittimità del licenziamento, eccependo una ingiustificata ingerenza nella propria vita privata e, quindi, una violazione della normativa sulla privacy. Secondo i Giudici di primo grado, il licenziamento era legittimo non sussistendo alcuna violazione della privacy. Avverso la sentenza di primo grado, il lavoratore proponeva appello che veniva respinto. Il lavoratore decideva, allora, di rivolgersi alla Corte Europea dei Diritti dell’Uomo. Il caso veniva assegnamento alla IV sezione della Corte che, con sentenza 12 gennaio 2016, si pronunciava in favore dell’azienda, non ritendo il controllo sulla posta elettronica del dipendente in contrasto con l’art. 8 della Cedu. Il lavoratore propone appello dinanzi alla Grande Chambre e la sentenza di primo grado viene riformata. Secondo la Grande Chambre, i giudici nazionali non avevano operato un corretto bilanciamento tra gli interessi in gioco, vale a dire, da un lato, l’interesse del datore di lavoro al corretto funzionamento dell’azienda e, dall’altro, quello del lavoratore alla salvaguardia della propria vita privata. Ampliando il concetto di “privacy” del lavoratore, la sentenza ha stabilito che la vita privata del lavoratore sul luogo di lavoro non può essere ridotta a “zero”, per cui le comunicazioni trasmesse sul posto di lavoro rientrano nel concetto di “vita privata” e di “corrispondenza” tutelati dall’art. 8 della Cedu. Inoltre, per la Grande Chambre, il monitoraggio sulle comunicazioni informatiche dei dipendenti deve essere tale da garantire il rispetto della loro privacy e non può eccedere determinati limiti, ma uniformarsi ai principi di necessità, trasparenza, specificità dello scopo, proporzionalità e sicurezza. Secondo la sentenza, occorre fornire al dipendente una dettagliata e preventiva informativa sulla natura, sul contenuto e sugli scopi del controllo, non essendo, invece, sufficiente avvisare il lavoratore di eventuali controlli sulla corrispondenza elettronica. I Giudici europei, in conclusione, osservano come sarà compito dei giudici nazionali valutare se il controllo è stato svolto nel rispetto e nella salvaguardia della privacy del lavoratore e, a tal fine, verificare se il datore di lavoro avrebbe potuto ricorrere a metodi di indagine meno invasi della privacy del dipendente e se le conseguenze derivanti dai risultati dell’indagine sono “proporzionate” al provvedimento adottato dall’azienda. Se, quindi, nel concetto di “vita privata” rientrano anche le comunicazioni inviate a mezzo degli account di posta aziendale, il datore è tenuto a svolgere controlli comunque idonei a salvaguardare la privacy del dipendente stesso, tenendo conto non solo del proprio interesse bensì anche di quello del lavoratore. Effetti della sentenza. Lette le motivazioni della sentenza, occorre domandarsi se la pronuncia potrà avere un impatto sulle future decisioni dei giudici italiani, chiamati ad applicare il nuovo art. 4 dello Statuto dei lavoratori e, a breve, anche le nuove previsioni contenute nel Regolamento Europeo 2016/679. Trattasi di un’influenza che non è possibile negare e ciò sebbene, ai sensi dell’art. 46 della Cedu, le sentenze emesse dalla Corte di Strasburgo siano vincolanti solo tra le parti in causa. Allo stesso modo, non si può escludere che i principi espressi dalla sentenza possano ulteriormente influenzare futuri provvedimenti dell’Autorità Garante della Privacy che, peraltro, si pone in linea con l’orientamento dei Giudici di Strasburgo. Ci si riferisce, in particolare, al provvedimento del 22 dicembre 2016, in cui il Garante italiano, chiamato a stabilire della legittimità del trattamento dei dati effettuato sugli account di posta elettronica dei dipendenti, ha enunciato un principio di carattere generale secondo cui la “raccolta sistematica e massiva” delle comunicazioni elettroniche, in transito sugli account aziendali dei dipendenti e la loro conservazione per un lungo periodo, è da considerarsi attività contraria alla disciplina sui controlli a distanza. Secondo il Garante, una simile attività si pone in contrasto con la normativa di cui al citato art. 4, perché la norma (benché di recente modificata dal D. Lgs. 23/2015) “non consente l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore”. In un simile contesto è, quindi, possibile che il concetto di “vita privata” del lavoratore sul luogo di lavoro introdotto dalla Corte di Strasburgo venga utilizzato (anche impropriamente) sia dalla magistratura sia dal Garante, imponendo, di fatto, ai datori di lavoro una disciplina ancora più rigida di quella attuale, con la conseguenza che l’utilizzabilità delle informazioni raccolte tramite gli strumenti di lavoro potrebbe diventare alquanto difficoltosa per le aziende. Viene, allora, spontaneo chiedersi quali sono gli accorgimenti che le imprese possono adottare per tutelare la propria posizione e per poter utilizzare lecitamente, anche ai fini disciplinari, i dati raccolti tramite gli strumenti di lavoro. Certamente, predisporre policy e regolamenti aziendali chiari, analitici e in linea con la normativa vigente può costituire un valido strumento di protezione per le aziende. Tuttavia, l’informativa non dovrà limitarsi a dettare linee per l’utilizzo degli strumenti aziendali e a informare il lavoratore sulla possibilità/facoltà del datore di effettuare controlli, ma dovrà contenere una dettagliata specificazione delle misure che l’azienda intende adottare nell’ambito della attività di monitoraggio, della natura delle predette misure e degli scopi per i quali viene effettuato il monitoraggio. Inoltre, sempre in un’ottica cautelativa, sarebbe consigliabile indicare quali soggetti avranno accesso i dati raccolti tramite gli strumenti di lavoro e per quanto tempo sarà consentito l’accesso ai predetti dati. Regolamenti aziendali che, infine, in fase di loro stesura o rinnovo, dovranno, considerare anche le nuove previsioni del Regolamento Europeo 2016/679, che sarà applicato dal prossimo 18 maggio 2018, onde evitarne future incompatibilità o violazioni.
