Teutas - Diritto & Tecnologia

L'utilizzo nel rapporto di lavoro della rete internet e della posta elettronica implica, oltre a questioni attinenti alla tutela della privacy dei dipendenti, anche una serie di questioni più strettamente collegate alle norme in materia di diritto del lavoro tra le quali meritano di essere segnalate, per la loro indubbia rilevanza, quelle che vietano al datore di lavoro il controllo a distanza dell'attività dei lavoratori (art. 4 L. 300/70) e l'effettuazione di indagini su fatti attinenti la vita privata del lavoratore non rilevanti ai fini della valutazione dell'attitudine professionale di quest'ultimo (art. 8 L. 300/70).

Tralasciando le succitate questioni di stampo più prettamente giuslavoristico, che per la loro complessità e delicatezza crediamo meritino un approfondimento specifico, con il presente scritto ci soffermeremo, dunque, esclusivamente sulle questioni attinenti alla normativa sulla privacy (D.Lgs. 30 Giugno 2003 n. 196 - Codice in materia di protezione dei dati personali).

E' dato di comune esperienza - questa è la premessa da cui occorre partire - che i datori di lavoro raccolgono per diversi motivi dati personali relativi ai loro dipendenti fin dall'inizio del rapporto di lavoro o anche prima (durante il procedimento di assunzione il candidato ad un posto di lavoro deve fornire informazioni personali al suo potenziale datore di lavoro che, allo stesso tempo, tratta tali informazioni personali per valutare i meriti dei candidati) e che la raccolta ed il successivo trattamento dei dati personali dei lavoratori prosegua durante l'intero rapporto di lavoro.

Queste attività di trattamento riguardano, abitualmente, tutte le informazioni personali che il datore di lavoro ha richiesto e/o ottenuto dai propri dipendenti (ogni datore di lavoro raccoglie dati retributivi e fiscali relativi ai propri dipendenti). Il trattamento di questi dati personali è necessario allo svolgimento del rapporto di lavoro o per il rispetto di obblighi di legge (previdenza sociale, pagamento di imposte) a cui il datore di lavoro è assoggettato. Peraltro, sebbene la raccolta di dati personali relativi ad un lavoratore finisca normalmente al termine del rapporto di lavoro, il trattamento di tali dati può essere proseguito dall'ex datore di lavoro che è solito mantenere in archivio tali dati per un determinato periodo di tempo, spesso per mero rispetto degli obblighi di legge che ne impongono la conservazione per un tempo prestabilito.

Accanto a tali informazioni di natura, prevalentemente, contabile ed anagrafico-fiscale, i datori di lavoro valutano anche le prestazioni dei propri lavoratori raccogliendo le informazioni personali direttamente da questi o attraverso altri strumenti, inclusi sorveglianza e controllo elettronico.

E' evidente quindi che i lavoratori, fin da quando chiedono di entrare a far parte di una organizzazione di impresa, devono accettare un certo grado di intrusione nella loro privacy e devono condividere alcune informazioni a carattere personale con il datore di lavoro con il conseguente interesse di quest'ultimo a trattare i dati dei propri dipendenti per quei fini che, leciti e legittimi, sono necessari al naturale sviluppo del rapporto di lavoro oltre che al buon funzionamento dell'azienda.

Orbene, l'individuazione esatta dei limiti entro cui può (e per certi versi deve) legittimamente esplicarsi il potere del datore di lavoro di acquisire e trattare i dati dei propri dipendenti ha posto e pone non pochi problemi ai diretti interessati ed agli operatori del diritto, problemi che il Garante italiano della privacy ha tentato di ovviare fornendo, di recente, linee guida per il trattamento dei dati personali dei dipendenti di datori di lavoro privati (Garante della privacy, Delibera n. 53/2006)(1) e pubblici (Garante della privacy, Delibera n. 23/2007)(2).

I problemi connessi alla tutela della privacy dei dipendenti non si esauriscono però nella questione del trattamento dei dati per finalità di gestione del rapporto di lavoro ma si estendono anche a tutti i dati comunque acquisibili da parte del datore di lavoro mediante, ad esempio, il controllo della posta elettronica dei dipendenti e degli accessi ad internet.

* * *

Il parere del Data Protection Working Party

Proprio sulla base delle su estese considerazioni, il DPWP (Data Protection Working Party - Gruppo Europeo per la tutela del trattamento dei dati, istituito sulla base dell'art. 29 della direttiva 95/46/EC, un organo della EU che si occupa di monitorare l'applicazione della direttiva europea sulla privacy e di fornire linee di indirizzo e suggerimenti per l'evoluzione della disciplina e della sua applicazione nei vari paesi aderenti alla Comunità), ha espresso il principio di carattere generale secondo cui "…ogni rilevazione, uso o memorizzazione di informazioni sui lavoratori con mezzi elettronici rientri nel campo d'applicazione della legislazione di protezione dei dati e questo vale anche per il controllo, da parte del datore di lavoro, dell'accesso dei lavoratori alla posta elettronica o a Internet" (DPWP - Opinion n. 8/2001)(3).

Non solo, ma il DPWP è andato oltre e, a sostegno della tesi della necessità di una tutela forte della privacy dei dipendenti, ha richiamato espressamente una decisione della Corte Europea dei Diritti dell'Uomo nella parte in cui afferma che "il rispetto della vita privata deve, in una certa misura, includere anche il diritto di instaurare e sviluppare relazioni con altri esseri umani. Per di più, non sembra esserci alcuna ragione di principio che indichi questo modo di intendere la nozione di vita privata come portato ad escludere le attività di natura lavorativa o commerciale: dopotutto, è durante la propria vita lavorativa che la maggioranza delle persone ha un'importante, se non la migliore, opportunità di sviluppare rapporti con l'ambiente esterno. Questo punto di vista è supportato, come giustamente sottolineato dalla Commissione, dal fatto che non è sempre possibile distinguere chiaramente quali attività dell'individuo facciano parte della sua vita lavorativa e quali no" (Corte Europea dei Diritti dell'Uomo - Niemitz v. Germany del 23 Novembre 1992)(4).

Così facendo, il DPWP sembra quasi voler suggerire l'idea dell'esistenza, quantomeno, di una legittima aspettativa del dipendente ad utilizzare anche per uso privato gli strumenti in sua dotazione (per quanto qui interessa internet e posta elettronica) affinchè sia concretamente consentito a quest'ultimo di instaurare e sviluppare relazioni con altri esseri umani anche durante la propria attività lavorativa.

Una lettura siffatta delle norme, che sembra condivisa - in via di principio - anche dal Garante domestico, appare decisamente improponibile qualora fosse spinta oltre il limite della "ragionevole aspettativa" (sul punto v. infra Corte Europea dei Diritti dell'Uomo n. 62617/2007), soprattutto se si considera che l'ipotetico diritto del lavoratore a coltivare rapporti umani durante l'attività lavorativa mediante l'uso per scopi privati di internet e della posta elettronica si scontrerebbe con il concreto interesse del datore di lavoro, peraltro tutelato da norme di rango costituzionale in materia di proprietà privata e di libertà di iniziativa economica, di dettare le condizioni per l'utilizzo di tali strumenti e di inibirne l'uso privato al dipendente(5).

A quest'ultimo proposito, corre l'obbligo di rilevare che da un'analisi comparata degli ordinamenti giuridici di alcuni paesi in cui l'utilizzo di internet e delle e-mail come strumento di lavoro è avanzato come in Italia (come ad esempio: USA, GB, Francia e Olanda), è risultato che in tutti i sistemi è considerato un dato di fatto l'appartenenza del sistema aziendale al datore di lavoro (ivi compresa la proprietà della posta aziendale, indipendentemente dalla presenza di password o altre protezioni del pc in dotazione individuale) e che, per altro verso, in tutti i paesi si è potuto constatare il fatto che l'utilizzo delle tecnologie in questione ha oggettivamente determinato il sorgere di rischi di utilizzo abusivo in danno dell'impresa (sia in termini di rischi e danni diretti al sistema di beni aziendali, sia in termini di rischi di esposizione a responsabilità dell'impresa verso prestatori di lavoro e terzi)(6).

In forza di dette considerazioni, in tutti gli ordinamenti esaminati è riconosciuto un diritto all'imprenditore di esercitare un legittimo controllo, più o meno penetrante in ragione degli scopi perseguiti, sull'utilizzo di mail ed accessi internet con corrispondente sacrificio della privacy del dipendente che è considerata bene non prevalente rispetto a quelli contrapposti(7).

La privacy del dipendente non è quindi un diritto assoluto ma un diritto che deve trovare equilibrio con altri interessi legittimi, diritti o libertà ivi compreso quelli del datore di lavoro di verificare, come chiarito ad esempio dal Garante tedesco, "…che l'eventuale divieto di utilizzazione privata degli strumenti informatici (quali internet e posta elettronica) sia effettivamente rispettato, oppure che tale utilizzazione, ove consentita, avvenga nei limiti previsti e/o concordati" (Linee guida del Garante tedesco richiamate da una Newsletter del Garante italiano 13-19 Gennaio 2003)(8).

L'impostazione corretta della questione non è dunque quella di capire quanto il trattamento di dati sul posto di lavoro sia, di per sé stesso, attività lecita o meno ma consiste nel determinare quali limiti la protezione dei dati possa porre a detta attività o, per converso, quali ragioni possano giustificare la raccolta ed il conseguente trattamento dei dati personali di ogni singolo lavoratore.

E' evidente che il livello di tollerabilità dell'intrusione nella privacy dipenderà molto dalla natura dell'impiego e dalle specifiche circostanze che circondano e influenzano, nel concreto, il rapporto di lavoro preso in considerazione (la quantità e qualità di informazioni relative ad un dipendente che il datore di lavoro può potenzialmente acquisire sono diverse a seconda che il dipendente in questione sia il responsabile della sicurezza della sede centrale di una grande banca piuttosto che l'addetto al bar nello stesso palazzo).

Il sillogismo sul quale si fonda il ragionamento dianzi seguito è dunque il seguente: "Il controllo delle e.mail comporta necessariamente un trattamento di dati personali. Il monitoraggio degli accessi ad Internet - salvo sia effettuato ad un livello superiore tale da garantire la non riconducibilità al lavoratore dell'accesso a siti particolari e dunque idoneo a produrre solo informazioni aggregate - necessariamente comporta il trattamento dei dati personali del lavoratore che procede all'accesso" (cfr. DPWP, Opinion n. 8/01 cit.).

Da ciò ulteriormente deriva che, se trattano informazioni personali dei lavoratori, i datori di lavoro dovrebbero sempre tener presente i principi fondamentali della protezione dei dati e cioè:

* Finalità (i dati devono essere raccolti per uno scopo determinato, esplicito e legittimo e non possono essere trattati in modo non compatibile con tale finalità);
* Trasparenza (come minimo, i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro conto - direttamente o da altre fonti -, quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente che per il futuro);
* Legittimità (il trattamento dei dati personali dei lavoratori deve essere legittimo);
* Proporzionalità (i dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti e/o successivamente trattati);
* Esattezza e conservazione dei dati (gli archivi dei lavoratori devono essere esatti e, se occorre, aggiornati);
* Sicurezza (il datore di lavoro deve adottare le misure tecniche ed organizzative più appropriate al luogo di lavoro per garantire che i dati dei suoi dipendenti siano al sicuro);
* Consapevolezza del personale (il personale incaricato o responsabile del trattamento dei dati degli altri lavoratori deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata).

* * *

Le linee-guida del Garante italiano della privacy

In subjecta materia è intervenuto anche il Garante domestico per la tutela dei dati personali fornendo, a sua volta, le linee-guida da adottarsi da parte dei datori di lavoro pubblici e privati a tutela della privacy dei lavoratori in relazione all'utilizzo da parte di quest'ultimi di posta elettronica e internet nei rapporti di lavoro (Garante della privacy, Delibera n. 13 del 1° Marzo 2007)(9).

In sintesi, con la Delibera in commento, il Garante italiano per la protezione dei dati personali, recependo sostanzialmente le indicazioni del DPWP, ha stabilito che i datori di lavoro pubblici e privati non possono, ai sensi dell'art. 154, comma 1, lett. d) del Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003 n. 196), controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali perché dall'analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato per cui spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali (cfr. Delibera n. 13/2007 cit.).

Proprio al fine di prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori il Garante prescrive innanzitutto ai datori di lavoro (punto 3.1.) di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieterebbe poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda.

Il Garante raccomanda l'adozione da parte delle aziende di un disciplinare interno (c.d. privacy policy) definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica (punto 3.2.).

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio:

· individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

· utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l'azienda:

· renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;

· valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;

· preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

· metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale.

Considerazioni conclusive

La sempre maggior diffusione dell'ICT (Information and Communication Technology) nelle aziende sia pubbliche che private, che consente al datore di lavoro la rilevazione, memorizzazione e verifica occulta e a distanza (sia fisica che temporale) di informazioni sui lavoratori (con particolare riferimento al controllo da parte del datore di lavoro della posta elettronica del dipendente ed il monitoraggio degli accessi ad internet), comportando, necessariamente (anche se a volte solo potenzialmente), un trattamento di dati personali ha fatto crescere in maniera esponenziale tutta una serie di problematiche connesse alla normativa sulla privacy ed al diritto del lavoro.

Peraltro, la stretta interazione e correlazione che esiste tra le due aree normative (privacy e diritto del lavoro) in relazione alla questione specifica che ci occupa, unita al fatto che gli interessi meritevoli di tutela che vengono in rilievo sono molteplici e tra loro molto spesso confliggenti, rende impossibile una aprioristica definizione dei limiti che la protezione dei dati pone all'attività di controllo e verifica da parte del datore di lavoro della posta elettronica del dipendente e di monitoraggio degli accessi ad internet senza correre il rischio di violare ora l'una ora l'altra normativa con possibili risvolti anche penali.

In quest'ottica e tralasciando, ripetesi, l'analisi dei rischi connessi alla violazione della normativa in materia di diritto del lavoro, per quanto riguarda la normativa sulla privacy riteniamo che la Delibera n. 13/07 del Garante della privacy, se da un lato ha fornito alcune valide indicazioni volte a definire gli ambiti di legittimità di alcuni comportamenti (sicuramente apprezzabile è, ad esempio, la prescrizione ai datori di lavoro di adottare il c.d. privacy policy), da un altro lato, ha aggiunto qualche ulteriore elemento di incertezza (come ad esempio l'ambigua figura del c.d. lavoratore fiduciario che può esporre il fianco ad utilizzi strumentali).

Se a ciò si aggiunge che, sempre a mente di quanto ricordato dallo stesso Garante, i lavoratori possono sempre opporsi al trattamento quando questo può potenzialmente soverchiare in modo ingiustificato i loro diritti e le loro libertà fondamentali e che, data la particolarità del rapporto di lavoro, il consenso non sarà in generale uno strumento di legittimazione del trattamento in ambito lavorativo (fermo restando che, nei casi in cui possa operare, il consenso deve sempre essere libero, specifico ed informato), risulta di tutta evidenza che il datore di lavoro è tenuto, comunque ed in ogni caso, ad operare un funambolico quanto rischioso bilanciamento degli interessi in gioco al fine di cercare di rispettare la normativa sulla privacy.

Normativa che, ripetesi, va rispettata sia per quanto riguarda l'utilizzo di internet da parte dei dipendenti (visto che i dati che possono essere rilevati dalle tracce elettroniche possono essere anche "sensibili" ai sensi dell'art. 4, comma 1, lett. d, del D.Lgs. n. 196/03)(10), sia per quanto riguarda la posta elettronica ove, all'interesse del datore di lavoro alla verifica dell'utilizzo abusivo di beni aziendali (diritto costituzionalmente protetto sia dalle norme in materia di proprietà privata che da quelle in materia di libertà di iniziativa economica) si contrappone il diritto del lavoratore alla privacy che, per quanto riguarda il contenuto delle e-mail, può assurgere anch'esso a rango costituzionale a mente dell'art. 15, comma 1, della Cost. che tutela la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione.

A quest'ultimo proposito, si discute se i messaggi di posta elettronica debbano considerarsi assimilabili alla corrispondenza chiusa o aperta.

Di per sè, la questione non è di poco momento considerato che, in linea di principio, se le e-mail fossero assimilabili alla corrispondenza aperta, né il mittente né il destinatario potrebbero accampare la riservatezza del messaggio. In questo modo si escluderebbe il rischio per il datore di lavoro che il controllo della posta elettronica del lavoratore (a sua insaputa) possa integrare gli estremi di cui all'art. 616 c.p. che contempla e punisce il delitto di violazione, sottrazione e soppressione di corrispondenza.

In argomento, anche se alcune pronunce giurisprudenziali hanno affermato che "…la personalità dell'indirizzo di posta elettronica attribuito ad un dipendente non comporta la segretezza dei messaggi" in quanto l'uso delle e-mail si sostanzia solo in "…un uso di beni aziendali affidati ai dipendenti esclusivamente per ragioni di servizio" (Tribunale di Torino - Sez. Dist. Chivasso, 20 Giugno - 15 Settembre 2006)(11), il Garante, nel ribadire i principi contenuti nell'art. 15 della Costituzione, ha ricordato che la legge n. 547/93 sui reati informatici e il DPR n. 513/97 sul documento elettronico, hanno confermato che la posta elettronica deve essere tutelata alla stregua della corrispondenza epistolare o telefonica (Garante della privacy - Newsletter 12 Luglio 1999)(12).

In senso ancor più garantista è la posizione della giurisprudenza amministrativa la quale, in un'occasione, ha avuto modo di affermare che: "La corrispondenza inviata per via informatica e telematica comunemente definita posta elettronica è tutelata secondo quanto disposto dagli art. 5 l. 23 dicembre 1993 n. 547 e 3 d.p.r. 10 novembre 1997 n. 513, ed è quindi caratterizzata dalla segretezza al pari della corrispondenza epistolare o telefonica; di conseguenza i messaggi immessi in una mailing list o una newsgroup con accesso limitato ai possessori dell'apposita password devono essere considerati come corrispondenza privata; è invece irrilevante la circostanza che il numero degli iscritti sia numeroso e che il circuito informativo sia potenzialmente permeabile dall'esterno (principio di diritto affermato con riguardo alla rete «diplomazia»)"(T.a.r. Lazio, sez. I, 15 Novembre 2001 n. 9425, Trib. amm. reg., 2001, II, 727, n. Antonucci)(13).

Più di recente, la Corte Europea dei Diritti dell'Uomo di Strasburgo, ha ritenuto il Regno Unito responsabile per la violazione dell'art. 8 della Convenzione Europea dei Diritti dell'Uomo in relazione al caso di un assistente di una Università statale inglese che, tra il 1998 e il 1999 era stato – a sua insaputa – sottoposto a controllo da parte del suo Dipartimento circa l'uso per scopi personali del telefono e di internet in ufficio[14].

Secondo la Corte, anche le telefonate effettuate in ufficio rientrano nella nozione «di vita riservata» e di «corrispondenza» per gli scopi di cui al par. 1 articolo 8 cit.. In tale ambito devono essere considerate anche le e-mail trasmesse dall'ufficio e le informazioni derivate dal controllo dell'uso personale di Internet.

La Corte ha sottolineato che il fatto che il ricorrente nel caso di specie non fosse stato avvertito del controllo aveva creato in lui una aspettativa ragionevole quanto alla segretezza delle chiamate fatte dal telefono dell'ufficio, così come dell'uso di e-mail e di Internet.

La Corte ha inoltre ricordato che vi è un'interferenza con i diritti garantiti dall'art. 8 cit. con riferimento, non solo al contenuto delle comunicazioni, ma anche alle informazioni concernenti la data, la durata delle conversazioni telefoniche e i numeri composti, costituendo le stesse «un elemento integrale delle comunicazioni fatte per telefono». Il fatto che questi dati possono essere ottenuti legittimamente dall'Università, sotto forma di fattura telefonica, non giustifica un'interferenza con i diritti garantiti dall'art. 8.

La Corte ha ricordato che per essere legale tale interferenza deve essere «conforme alla legge» e ciò implica l'esistenza di una legge contro le interferenze arbitrarie dei servizi pubblici sui diritti garantiti dalla Convenzione (all'epoca nel Regno Unito non era stata ancora varata la legge sulla disciplina sul controllo delle comunicazioni dei dipendenti -Regulation of Investigatory Powers Act 2000 -, che ora stabilisce, fra l'altro, che il datore di lavoro deve avvertire i suoi dipendenti della possibilità di monitoraggio e controllo circa l'uso dei mezzi di comunicazione d'ufficio).

Anche con la pronuncia in commento, però, nel rendere le sue motivazioni, la Corte non ha peraltro escluso in via generale che il controllo dell'uso degli impiegati di un telefono, di e-mail o di Internet sul posto di lavoro possa essere considerato «necessario in una società democratica» in determinate situazioni.

Alla luce di tutto quanto sopra, e per concludere, anche se con la Delibera n. 13/2007 il Garante della privacy ha suggerito alcune prassi operative virtuose, che costituiscono la best practice e che si riveleranno senz'altro utili, da un lato per gli operatori del diritto per interpretare le norme e, dall'altro lato, per i datori di lavoro per evitare le insidie normative, si resta della convinzione che non sia ancora possibile definire, a priori, i confini esatti tra i confliggenti interessi in gioco.

Lo stesso Garante ha esplicitamente ammesso che "Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata di lavoratori e terzi. La linea di confine tra questi ambiti, come affermato dalla Corte Europea dei Diritti dell'Uomo, può essere tracciata a volte solo con difficoltà" (cfr. Garante della privacy, Delibera n. 13/2007 cit.).

Sarà come sempre la giurisprudenza, in mancanza di interventi legislativi ad hoc, ad enucleare, nel tempo, criteri meno labili che possano essere di ausilio ai datori di lavoro al fine di evitare di incorrere in procedimenti giudiziali o sanzioni anche penali per violazione delle norme sulla privacy, sulla tutela statutaria del lavoratore o sulla inviolabilità e segretezza della corrispondenza dei propri dipendenti.

Avv. Umberto Galasso


(1) Garante della privacy: "Linee-guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati", Delibera n. 53/06 pubblicata su G.U. 7 Dicembre 2006 n. 285, reperibile sul sito http://www.garanteprivacy.it

(2) Garante della privacy: "Linee-guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico", Delibera n. 23/07 pubblicata su G.U. 13 Luglio 2007 n. 161, reperibile sul sito http://www.garanteprivacy.it

(3) La Opinion è reperibile nella versione originale in lingua inglese sul sito http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm e, nella versione in italiano (traduzione non ufficiale), sul sito http://www.privacy.it/grupripareri200108.html.

(4) Corte Europea Diritti dell'Uomo, 23 Novembre 1992, par. 29 (Niemitz V. Germany ) reperibile sul sito http://www.worldlii.org/eu/cases/ECHR/1992/80.html ; v. pure Corte Europea Diritti dell'Uomo, 25 Giugno 1997, parr. 44-46 (Halford v. United Kingdom) reperibile sul sito www.worldlii.org/eu/cases/ECHR/1997/32.html)

(5) A tal proposito, come da alcuni adombrato, la mancata esplicita regolamentazione da parte del datore di lavoro degli accessi ad internet e dell'uso della posta elettronica "…può determinare anche una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione" (M. Di Pace, Controllo della posta elettronica e navigazione internet dei dipendenti, Dir. Prat. Lav. n. 29/2007)

(6) A. Stanchi, Privacy, rapporto di lavoro, monitoraggio degli accessi a internet, monitoraggio delle email e normative di tutela contro il controllo a distanza, reperibile sul sito http://www.di-elle.it/Default.aspx?tabid=958

(7) Per una ulteriore rassegna delle normative esistenti in alcuni ordinamenti giuridici europei in materia di liceità del potere di controllo del datore di lavoro attraverso l'uso di strumenti informatici v. F. Toffoletto, Nuove tecnologie informatiche e tutela del lavoratore, 35 e ss., Giuffrè, 2006.

(8) Le linee guida del Garante tedesco per i datori di lavoro nel settore pubblico, applicabili anche al settore privato, di cui riferisce la Newsletter 13-19 Gennaio 2003 del Garante italiano è reperibile sul sito http://www.garanteprivacy.it

(9) Garante della privacy, Delibera n. 13/07 pubblicata su G.U. 10 Marzo 2007 n. 58, reperibile sul sito http://www.garanteprivacy.it

(10) Si segnala, in proposito, una decisione del Garante della privacy che ha affermato il diritto del datore di lavoro a controllare il corretto uso della connessione aziendale ad internet da parte dei dipendenti ma senza indagare sui contenuti dei siti visitati (Garante della privacy, Provvedimento 2 Febbraio 2006, reperibile sul sito http://www.garanteprivacy.it)

(11) Trib. Torino - Sez. Dist. Chivasso, 20 Giugno - 15 Settembre 2006, Merito 2006, fasc. 11, 59, n. Sorgato; Nello stesso senso Trib. Milano - Sez. Pen., Ordinanza 10 Maggio 2002, Mass. giur. lav. 2002, 555, n. Lanotte.

(12) Garante della privacy, Newsletter 12 Luglio 1999, reperibile sul sito http://www.garanteprivacy.it

(13) T.a.r. Lazio, sez. I, 15 Novembre 2001 n. 9425, Trib. amm. reg. 2001, II, 727 (m), n. Antonucci

(14) Corte Europea dei Diritti dell'Uomo di Strasburgo, Sez. IV, 3 Aprile 2007 n. 62617 (Coopland c. Regno Unito – Application n. 62617/00) reperibile sul sito http://www.coe.int/T/I/Corte_europea_dei_Diritti_dell'Uomo/ v. anche in Giornale Dir. Amm., 2007, 6, 644.