Può il datore compromettere la privacy del dipendente nei luoghi di lavoro?

Scarica PDF Stampa

Quali sono in casi in cui il datore di lavoro, mediante l’utilizzo di un regolamento interno, può ledere il diritto alla privacy del proprio dipendente?

Il datore di lavoro ha certamente la facoltà di statuire un regolamento interno che regoli le attività e la condotta dei propri dipendenti.

In questo articolo si affronterà la particolare lesione della privacy del dipendente, nel caso in cui vengano lette dal datore di lavoro le conversazioni private avvenute a mezzo della rete internet aziendale durante le ore lavorative.

Limiti al controllo del datore di lavoro delle conversazioni private del dipendente

Nella vita quotidiana la messaggistica occupa la maggior parte del tempo dell’individuo medio e questo è un dato di fatto, sia per questioni urgenti o per semplice intrattenimento. Infatti è stato twittato dal direttore di WhatsApp Will Cathcart che una persona in media invia 50 messaggi al giorno solo su WhatsApp, il numero cresce esponenzialmente se si considera il resto dei sistemi di messaggistica usati quotidianamente. Non è raro che si abbiano conversazioni di natura strettamente privata anche nei luoghi di lavoro, magari mediante una casella di posta aziendale per risparmiare tempo o perché è disponibile l’accesso solo al sistema intranet.

Il datore di lavoro ha poteri direttivi, di controllo e di sorveglianza nei confronti dei propri lavoratori. Tuttavia tale potere non risulta incondizionato e illimitato, difatti incontra il limite della impossibilità di ledere i diritti fondamentali dei propri lavoratori.  Il datore di lavoro può, attraverso il regolamento interno, proibire ai lavoratori di avere conversazioni private attraverso i mezzi aziendali. Tuttavia bisogna domandarsi cosa accadrebbe nell’ipotesi in cui il lavoratore disattendesse tale regolamento; il datore di lavoro potrebbe comunque accedere alle conversazioni e ridurre la loro privacy a zero?

Sul punto è intervenuta la Corte Europea nel caso Bărbulescu v. Romania.

Il caso oggetto di studio Bărbulescu v. Romania.

La questione riguarda una società privata rumena, la quale aveva licenziato un proprio dipendente.

Il lavoratore aveva infatti violato il regolamento interno che proibiva l’utilizzo dell’account di posta aziendale, durante l’orario lavorativo, per attività personali. Nella specie, il datore di lavoro per un certo periodo di tempo aveva monitorato le sue conversazioni private sul citato account senza darne dovuta comunicazione. A seguito di questo monitoraggio, il lavoratore ricorreva ai giudici nazionali lamentando che la risoluzione del contratto fosse avvenuta sulla base della  violazione del suo diritto al rispetto della vita privata e della corrispondenza.

Il ricorrente veniva dichiarato soccombente. Si rivolgeva quindi alla Corte di Strasburgo per far valere la lesione del suo diritto ex articolo 8 CEDU.

La Corte con sentenza del 12 gennaio 2016 stabiliva che non vi era stata alcuna violazione della suddetta disposizione, poiché non risultavano squilibri tra i diritti del ricorrente e gli interessi del datore di lavoro.

Successivamente, il 5 settembre 2017 la Grande Camera della Corte Europea dei diritti dell’uomo condannava la Romania stabilendo una violazione dell’articolo 8 CEDU sostenuta dal lavoratore. Nella sentenza della Grande Camera, veniva evidenziata la necessità di bilanciare le misure di controllo delle comunicazioni e le tutele offerte contro l’esercizio arbitrario del potere da parte del datore di lavoro. Si è così stabilita la necessità di rispettare il principio di proporzionalità.

Secondo il principio di diritto citato dalla suddetta, il lavoratore deve essere preventivamente informato della presenza e dell’entità del monitoraggio delle sue conversazioni private.

La Corte ha poi previsto una serie di criteri per valutare la proporzionalità delle misure di controllo assunte dal datore di lavoro; e pertanto:

  • il lavoratore deve essere informato della possibilità che il datore di lavoro possa adottare misure di monitoraggio delle sue comunicazioni e della sua corrispondenza. La notifica dovrà essere chiara e tempestiva;
  • deve essere valutata l’estensione del monitoraggio e il grado dello stesso. Andrà stabilito se tutte le comunicazioni o solo una parte di esse è stata monitorata, se il monitoraggio è stato limitato nel tempo e il numero di persone che ha avuto accesso a tali risultati;
  • deve essere stata fornita dal datore di lavoro l’effettiva comunicazione dei motivi che hanno legittimato il monitoraggio delle comunicazioni e il loro accesso;
  • occorre indicare di aver adottato tutte le misure idonee e necessarie per il monitoraggio del dipendente. Questo accertamento deve essere operato alla luce delle particolari circostanze del caso concreto e bisogna verificare se la finalità da raggiungere per il datore di lavoro sarebbe comunque stata raggiunta senza l’accesso diretto alle comunicazioni del lavoratore;
  • le conseguenze del monitoraggio del dipendente siano proporzionali e conformi da parte del datore di lavoro;
  • devono essere fornite al lavoratore adeguate garanzie. Tali garanzie prevedono che il datore di lavoro non possa accedere al contenuto effettivo delle comunicazioni in questione, salvo che il dipendente non ne sia stato preventivamente informato.

La tutela del lavoratore fornita dal GDPR

Il diritto alla privacy dei lavoratori non viene tutelato unicamente dall’articolo 8 della Convenzione Europea dei Diritti dell’Uomo, ma anche dal Regolamento Generale sulla Protezione dei Dati.

La tutela si riscontra dapprima nell’articolo 88 del GDPR che offre la possibilità agli Stati Membri di poter porre regole per assicurare la protezione dei diritti e delle libertà dei lavoratori sul posto di lavoro anche in merito al monitoraggio.

Inoltre, si può far ricorso alla tutela offerta dall’articolo 9 del GDPR. La disposizione si occupa di una categoria particolare di dati sensibili che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici che identificano in maniera univoca una persona fisica, nella categoria vengono compresi anche dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della stessa persona. Si può capire bene come l’accesso a questa categoria di dati potrebbe portare in maniera diretta o indiretta ad un trattamento discriminatorio o quanto meno differente del lavoratore da parte del datore di lavoro che potrebbe essere influenzato dalla presa di coscienza di suddetti dati che dovrebbero restare privati. Questi dati infatti possono essere processati solo in determinati casi specificati dell’articolo stesso e comunque adottando apposite garanzie a protezione dei diritti fondamentali del soggetto interessato dal trattamento.

Per questi motivi il monitoraggio delle conversazioni deve risultare limitato, regolato e comunicato al lavoratore in modo da controbilanciare l’interesse  alla produttività dell’azienda e la tutela del lavoratore.

Una casistica nazionale

Problematiche attinenti alla privacy sul lavoro non sono estranee alla casistica italiana. Difatti, Il 13 maggio del 2021 è stato accertato da parte del Garante della Privacy con un’ordinanza di ingiunzione nei confronti del Comune di Bolzano, con cui l’ente pubblico aveva monitorato in maniera illegittima la navigazione Internet dei propri dipendenti.

La questione nasceva da un reclamo proposto da uno dei dipendente, il quale era stato accusato di aver utilizzato Facebook e YouTube durante l’orario lavorativo.

Il Garante nel corso dell’istruttoria aveva rinvenuto che l’Ente aveva impiegato un sistema di monitoraggio delle attività in rete dei suoi dipendenti senza una adeguata e preventiva comunicazione. Dalle risultanze è poi emerso che tale tipo di attività risultava non necessaria ed esorbitante rispetto alle finalità del controllo.

Il Garante ha così concluso che pur essendo possibile introdurre misure per arginare un uso improprio della navigazione Internet sul posto di lavoro, al contempo non risulta possibile ledere in toto la riservatezza dei diritti del lavoratore anche qualora questi utilizzi mezzi messi a disposizione dal datore di lavoro.

In conclusione

La casistica affrontata in questo articolo risulta di estremo interesse, perché mostra come la riservatezza delle conversazioni private del lavoratore possa e debba essere tutelata anche in presenza di un regolamento interno posto dal datore di lavoro che inibisce l’impiego dei mezzi aziendali per lo svolgimento delle stesse.

Il dipendente potrà quindi in un caso analogo addurre una violazione dell’articolo 8 della CEDU e degli articoli 88 e 9 del GDPR.

Volume consigliato”Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
“. 
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.
Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo.

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

 

Adelaide Casciato

Scrivi un commento

Accedi per poter inserire un commento