L’accesso alla posta elettronica personale dei lavoratori non è consentito al datore di lavoro per finalità difensive, neppure se le e-mail sono state rinvenute sul server aziendale e sul personal computer assegnato ai dipendenti.
Non può trovare accoglimento la tesi secondo cui la titolarità dei sistemi informatici aziendali renderebbe tali comunicazioni liberamente utilizzabili in sede giudiziale, anche se provenienti da account privati dei lavoratori. Al contrario, gli account privati dei dipendenti conservano il carattere di corrispondenza “chiusa” anche se i lavoratori hanno utilizzato il personal computer in dotazione per la posta elettronica personale e le loro comunicazioni sono confluite sul server aziendale.
Indice degli argomenti
La vicenda sulle e-mail private dei dipendenti
La vicenda ha origine da un’azione legale promossa da un’azienda contro alcuni ex dipendenti, accusati di concorrenza sleale e violazione degli obblighi di fedeltà e diligenza. Per supportare la domanda risarcitoria, il datore ha prodotto una consulenza tecnica informatica contenente le e-mail private dei lavoratori, estratte da account personali protetti da password ma rinvenuti sul server aziendale. In primo grado, il Tribunale aveva accolto parzialmente il ricorso dell’azienda e i lavoratori, una volta accertate la concorrenza sleale e le condotte infedeli, erano stati condannati a risarcire il danno in misura pari alle retribuzioni ricevute nell’ultima fase dei rapporti di lavoro, incluse le competenze di fine rapporto.
La Corte d’Appello di Milano ha però ribaltato la decisione, ritenendo inutilizzabili gli esiti della consulenza informatica perché l’accesso agli account privati dei lavoratori, benché inseriti sul server aziendale, costituiva violazione del diritto di vita privata e di corrispondenza.
I principi europei sulla tutela della corrispondenza
La Cassazione fonda il proprio ragionamento sui principi elaborati dalla Corte europea dei diritti dell’uomo e sull’articolo 8 della Convenzione, che tutela il diritto alla vita privata e alla corrispondenza.
È decisivo, in questa prospettiva, che le comunicazioni acquisite provenissero da account di posta elettronica personali, protetti da password. Anche se tali comunicazioni sono transitate sul server aziendale, esse restano espressione della vita privata del lavoratore e mantengono il carattere di corrispondenza “chiusa”, non diversamente da una lettera sigillata.
Il richiamo alla sentenza Bărbulescu
In linea con la sentenza Bărbulescu c. Romania del 2017, la Corte europea ha chiarito che l’articolo 8 non distingue tra corrispondenza personale e professionale, né subordina la tutela al luogo da cui la comunicazione è inviata. Le e-mail inviate dal luogo di lavoro godono quindi della stessa protezione riconosciuta alle telefonate effettuate dai locali aziendali, indipendentemente dal loro contenuto.
Quanto al concetto di “corrispondenza”, la Corte europea ha sottolineato un aspetto decisivo: l’articolo 8 della Convenzione non qualifica questo termine con alcun aggettivo, non distingue tra corrispondenza personale e professionale. Le e-mail inviate dal luogo di lavoro godono della stessa tutela riconosciuta alle telefonate effettuate dai locali dell’impresa, che la giurisprudenza considera protette indipendentemente dal loro contenuto. Si applica lo stesso principio alle informazioni tratte dal controllo dell’utilizzo di internet: tutte queste comunicazioni, trasmesse dai locali dell’impresa, possono essere comprese nella nozione di “vita privata” e di “corrispondenza”. La Cassazione rimarca quindi che le comunicazioni dei dipendenti tramite l’account privato ricadono in queste nozioni anche se sono trasmesse dai locali aziendali e non sono utilizzabili per un’azione giudiziale risarcitoria.
Perché le e-mail private dei dipendenti restano “chiuse”
Il ragionamento della Corte si concentra su un elemento tecnico che assume un significato giuridico decisivo: la protezione tramite password. Anche se le comunicazioni transitano sul server aziendale, il fatto che l’account sia personale e richieda credenziali di accesso individuali qualifica quella corrispondenza come “chiusa”, non diversamente da una lettera sigillata. Non regge quindi la tesi del datore secondo cui, essendo proprietario dell’infrastruttura informatica, potesse considerare quelle comunicazioni come “aperte” e liberamente utilizzabili. La titolarità del server non equivale al diritto di accesso indiscriminato ai contenuti privati che vi transitano. Del resto, la stessa Cassazione penale ha precisato che l’accesso abusivo a una casella di posta elettronica protetta da password integra il delitto di accesso abusivo a un sistema informatico, che può concorrere con la violazione di corrispondenza.
I limiti ai controlli del datore di lavoro
Nel bilanciamento dei contrapposti interessi, il controllo datoriale soggiace ai limiti della proporzionalità, che significa utilizzo della modalità meno intrusiva, e della preventiva informazione ai lavoratori sui possibili controlli. Il primo principio è quello della finalità legittima: il controllo deve essere giustificato da gravi motivi e non può essere indiscriminato o esplorativo. Il secondo è il principio di proporzionalità, che impone al datore di scegliere, tra le varie forme di controllo possibili, quelle meno intrusive. Il terzo principio è quello della preventiva informazione dettagliata ai dipendenti sulle possibilità, forme e modalità del controllo.
In ossequio a questi criteri, non è consentita un’attività di controllo massivo, mentre sono indispensabili opportune informative che permettano al lavoratore di regolare consapevolmente la propria condotta. Si escludono inoltre i controlli preventivi, perché si esulerebbe dal piano difensivo per entrare in quello della sorveglianza sistematica.
Statuto dei lavoratori, privacy e inutilizzabilità delle prove
Nel rispetto di questi limiti, cui il datore è tenuto a presidio della riservatezza dei dipendenti secondo la disciplina vigente all’epoca dei fatti, è illegittima la conservazione dei dati personali dei lavoratori relativi alla posta elettronica privata, tanto più se acquisiti mediante sistemi di controllo rispetto ai quali non è stata osservata la procedura dell’articolo 4 dello Statuto dei lavoratori nel testo anteriore alle modifiche introdotte dal Jobs Act e non è stato raccolto il consenso individuale né rilasciate le informative previste dal D.Lgs. n. 196 del 2003, allora applicabile. Nel caso esaminato, avendo riguardo al tempo di commissione dei fatti – il 2013 – e alla circostanza che i controlli furono effettuati quando i dipendenti non erano più in servizio presso la società, la Cassazione ha rilevato che l’azienda non aveva rispettato le procedure previste dall’articolo 4 dello Statuto dei lavoratori nel testo vigente all’epoca. Queste procedure, che richiedono l’accordo sindacale o l’autorizzazione amministrativa, sono applicabili anche ai controlli diretti ad accertare comportamenti illeciti quando comportino la possibilità di verifica a distanza dell’attività dei lavoratori.
La società non aveva acquisito il consenso individuale dei lavoratori né rilasciato le informative previste dal Codice della privacy applicabile rationae temporis, e nemmeno dimostrato di aver impartito specifiche disposizioni per regolamentare le modalità di controllo della corrispondenza. I dipendenti avevano precisato di non aver impostato alcuna opzione per ricevere le mail personali sullo stesso applicativo aziendale e di non aver concesso alcuna autorizzazione. Il trattamento dei dati relativi alle e-mail estratte dagli account privati, in assenza di queste condizioni, costituisce violazione del divieto di indagini sulle opinioni e sulla vita personale del lavoratore previsto dall’articolo 8 dello Statuto, anche se le informazioni raccolte non siano in concreto utilizzate. L’illecito si consuma nel momento stesso dell’acquisizione non autorizzata.
Le e-mail illegittimamente acquisite sono state dichiarate inutilizzabili. Questa soluzione stabilisce che il datore non può bypassare le garanzie previste dalla legge confidando nella rilevanza delle prove che spera di trovare. Il rispetto delle procedure non è un optional ma un prerequisito per la legittimità del controllo, e la sua violazione preclude l’utilizzo dei risultati, anche quando questi rivelino effettivi comportamenti scorretti dei dipendenti.
Cosa devono fare le aziende
Per le aziende, la semplice titolarità dell’infrastruttura tecnologica non conferisce un potere di accesso illimitato ai contenuti che vi transitano. È necessario predisporre policy chiare che informino preventivamente i lavoratori sulle modalità di utilizzo degli strumenti informatici e sui controlli eventualmente previsti, seguire le procedure sindacali o amministrative richieste dallo Statuto dei lavoratori quando si installino sistemi che permettano il controllo a distanza, rispettare la normativa sulla protezione dei dati personali rilasciando le informative di legge, e soprattutto scegliere modalità di controllo proporzionate e le meno intrusive possibile, evitando accessi indiscriminati alla corrispondenza privata.
Cosa cambia per i lavoratori
Per i lavoratori, la sentenza conferma che l’utilizzo occasionale o abituale del PC aziendale per questioni personali non comporta la rinuncia automatica alla riservatezza. La protezione della corrispondenza privata resta garantita quando si utilizzino account personali protetti da credenziali individuali, anche se vi si accede dal computer dell’ufficio e anche se i messaggi transitano sul server aziendale. Naturalmente, questa tutela non è assoluta e incontra i limiti delle informative ricevute e delle policy aziendali correttamente implementate, ma il punto di partenza è la presunzione di riservatezza, non la sua negazione.
