Oggi il lavoro in ufficio non può prescindere dall’uso di dispositivi informatici quali pc e smartphone, ma il rischio – nell’epoca digitale del “sempre connessi” – è quello di travalicare i confini degli spazi personali, per scopi anche condivisibili ma non sostenuti da pratiche rispettose della legge.
Fin dove possono spingersi i poteri del datore di lavoro, che vuole tutelarsi contro atti illegali dei propri dipendenti? Il capo può visionare la mail personale di questi ultimi, attraverso i server aziendali? Oppure gli è vietato, perché vincolato al rispetto di rigide norme di tutela della riservatezza?
A queste domande è possibile trovare risposta in una recente sentenza della Corte di Cassazione, la n. 24204, Sezione Lavoro, che ha ricordato i limiti all’accesso alla corrispondenza privata dei personale aziendale. Vediamo allora cosa ha deciso la Suprema Corte e spieghiamo a che cosa i datori debbono fare molta attenzione per evitare sentenze sfavorevoli.
Indice
La violazione compiuta dall’azienda e l’esito dell’appello
La vicenda che qui interessa riguarda una società, che aveva cercato di raccogliere elementi di prova di concorrenza sleale perpetrata da alcuni ex lavoratori, servendosi delle loro e-mail private rintracciabili nei sistemi informatici aziendali messi a disposizione degli impiegati.
Per giustificare l’accesso ai dati personali, l’azienda sosteneva la tesi per cui – essendo strumenti informatici in dotazione – non fosse necessaria alcuna chiave di accesso, o specifica autorizzazione da parte dei soggetti a cui il trattamento delle informazioni, pur con finalità difensive, si riferiva.
Ebbene, nella disputa giudiziaria che insorse tra ex lavoratori e azienda, la strategia di quest’ultima si rivelò una sorta di boomerang. Infatti, la corte d’appello ritenne che il materiale raccolto e conservato per finalità di tutela, non potesse essere usato come prova di concorrenza sleale in tribunale, perché ottenuto in violazione dei principi che regolano la tutela della riservatezza dei lavoratori.
A differenza del tribunale di primo grado, infatti, il giudice d’appello respinse la posizione della società e qualificò la corrispondenza elettronica chiusa e non aperta, valutando quindi inutilizzabile la relativa consulenza tecnica informatica compiuta dalla datrice. Tutte le comunicazioni mail dei lavoratori estratte da account privati, restavano comunque inviolabili pur dopo essere confluite sul server aziendale.
Non solo. Il “castello” delle accuse da parte dell’azienda crollò perché, oltre all’accertamento tecnico valutato inutilizzabile dal giudice, mancava ogni altra prova della responsabilità per atti sleali degli ex dipendenti, non essendo desumibile da alcun altra risultanza processuale.
La decisione della Cassazione riconosce la violazione dell’art. 8 CEDU
La Suprema Corte non cambiò le carte in tavole e, anzi, riconoscendo la correttezza del ragionamento logico-giuridico della magistratura di secondo grado, ribadì l’inutilizzabilità del materiale “digitale” come fonte di prova contro gli ex lavoratori.
Al fine di porre fine alla disputa giudiziaria in oggetto, i giudici di piazza Cavour hanno richiamato un pronunciamento della Corte europea dei Diritti dell’uomo (ricorso 61496/08 – caso Barbulescu c. Romania del 2017). In particolare, richiamando l’art. 8 della Convenzione Europea dei Diritti dell’Uomo, i giudici hanno rimarcato che le comunicazioni digitali, anche se trasmesse dai locali dell’impresa, rientrano a pieno titolo nella nozione di “vita privata” e “corrispondenza”.
Pur transitate o archiviate nell’ambito delle infrastrutture informatiche dei locali della società, le mail private restano cioè coperte dall’appena citato articolo, che tutela il diritto al rispetto della dignità, della vita privata e della corrispondenza. Il principio – si badi bene – è di portata generale perché vale sia per le conversazioni telefoniche che quelle elettroniche o via mail, ricevute o inviate dal luogo di lavoro.
La mancata informativa e il ruolo delle credenziali personali
Inoltre, nel caso qui analizzato dalla Cassazione i lavoratori non avevano ricevuto un’informativa (art. 13 Regolamento UE 2016/679) chiara e preventiva sulle possibilità, sulle forme e sui limiti dei controlli sulla posta elettronica e dati personali e, conseguentemente, a loro insaputa avevano “subìto” una ingiustificata invasione della privacy. Men che meno avevano potuto esprimere un’eventuale autorizzazione all’accesso di dati altrimenti inviolabili.
Non solo. In tali circostanze, i giudici hanno spiegato che per accedere agli account in oggetto era sempre obbligatoria l’immissione di password e credenziali personali, e che gli ex dipendenti coinvolti non avevano mai attivato alcuna opzione per ricevere le email personali sull’applicativo dell’ufficio.
In breve, il monitoraggio delle comunicazioni dei dipendenti travalicava i principi di necessità, finalità legittima e proporzionalità, condivisi a livello europeo: quanto basta per invalidare il comportamento dell’azienda e, a ben vedere, un classico caso di fine che non giustifica i mezzi, un abuso che potenzialmente espone il datore a conseguenze anche penali (ad es. la condanna per il reato di violazione di corrispondenza).
Che cosa cambia
La sentenza n. 24204 della Cassazione afferma un importante principio giuridico: il datore di lavoro non può visionare, spiare, conservare o utilizzare la mail private, ricevute e inviate dagli ex dipendenti – anche se considerati sleali – tramite i server aziendali. Pur se rinvenuti nel server in uso o sui pc assegnati per lo svolgimento delle mansioni contrattuali e pur se ciò sia dovuto a finalità difensive e di tutela dell’immagine e/o profitto aziendale, i messaggi di posta restano inviolabili anche su strumenti aziendali. A maggior ragione, è sempre vietato il controllo sistematico e la conservazione illimitata delle email.
La Corte ha così sottolineato che l’accesso (abusivo) a caselle di posta, protette da password, non può essere giustificato dalla proprietà degli strumenti informatici e, inoltre, gli interessi organizzativi e produttivi dell’azienda, pur legittimi e contrapposti a possibili violazioni delle regole di diligenza e lealtà del lavoratore, non possono restringere il diritto fondamentale del lavoratore alla segretezza delle sue comunicazioni personali.
Per evitare esiti come quello in oggetto, le aziende dovrebbero fare tesoro della sentenza n. 24204, adottando e comunicando regolamenti aziendali dettagliati e precisi anche in merito all’uso degli strumenti digitali e relativi limiti, separando con chiarezza l’uso professionale da quello personale ed evitando l’accesso non autorizzato a dati sensibili come quelli riconducibili alla posta elettronica privata. Per evitare rischi giudiziari, le aziende dovrebbero altresì circoscrivere i controlli a casi specifici e motivati e non disporre mai ispezioni retroattive di massa.
In conclusione, la sentenza n. 24204 della Cassazione ribadisce l’ampiezza e la delicatezza della questione privacy e dati personali (vista recentemente anche in riferimento allo smart working e alle multe inflitte a Google e Shein) e che quella dei lavoratori resta inviolabile, anche nell’ambiente digitale aziendale. Per i datori di lavoro il messaggio è chiaro: tutelare l’impresa non può mai significare abusare dei controlli sulla corrispondenza privata.
