Home / Categorie Violazioni CEDU / Dalla “reasonable expectation of privacy” al “right to privacy” nell’alveo applicativo dell’articolo 8 CEDU

Dalla “reasonable expectation of privacy” al “right to privacy” nell’alveo applicativo dell’articolo 8 CEDU

Il difficile bilanciamento tra passato e futuro nel caso Bărbulescu contro Romania

La risonanza che ha ottenuto il recente caso Bărbulescu contro Romania, su cui la Corte Europea dei Diritti dell’Uomo ha avuto modo di pronunciarsi ben due volte – capovolgendo la propria decisione -, testimonia la grande rilevanza che ricopre il tema del trattamento dei dati personali sul luogo di lavoro (e, di riflesso, la delimitazione del potere di controllo dell’imprenditore) in questa fase di paradigmatica trasformazione del mondo del lavoro, conosciuta come Quarta Rivoluzione Industriale o Industria 4.0.
La vicenda in esame può rientrare in quella casistica definita dalla scienza economica dell’organizzazione del lavoro come “cyberslacking” o “cyberloafing”, ossia l’utilizzo improprio e per fini personali degli strumenti digitali e delle risorse tecnologiche aziendali, che – oltre a sottrarre tempo ed efficienza al lavoro – può comportare rischi per la sicurezza dei sistemi informatici o l’involontaria diffusione di dati e informazioni riservate di un’azienda.

IL CASO IN PILLOLE

Il caso giudiziario del sig. Bărbulescu trae origine da un licenziamento intimatogli a seguito del monitoraggio da parte del suo datore di lavoro sulle conversazioni personali effettuate dall’account aziendale.
Ma partiamo con ordine. Il lavoratore, responsabile delle vendite di un’impresa privata rumena, in ottemperanza a specifiche direttive aziendali, creò un account Yahoo Messenger al fine di garantire un riscontro più rapido e diretto alle richieste della clientela.
Ancorché il regolamento aziendale vietasse categoricamente l’utilizzo dei sistemi informatici per scopi personali (senza però indicare un possibile monitoraggio della corrispondenza elettronica, tanto meno fornendo debita europa-sicurezza-mano jpginformativa a riguardo), il dipendente si avvalse dell’account aziendale, durante l’orario di lavoro, per chattare con la fidanzata ed il fratello su questioni di carattere extra-lavorativo (nello specifico afferenti alla propria salute sessuale).
A seguito di controlli sulla cronologia della chat, eseguiti in un breve lasso di tempo (dal 5 al 13 luglio 2007), il datore di lavoro riscontrò l’infrazione disciplinare, la quale venne immediatamente contestata e corroborata da una consistente documentazione (45 pagine di trascrizioni delle comunicazioni su Yahoo Messenger dall’account aziendale del sig. Bărbulescu), prodotta solo dopo che il proprio dipendente aveva formalizzato le proprie difese.
Va segnalato anche che le trascrizioni erano così complete da contenere cinque brevi messaggi che il lavoratore rumeno aveva scambiato con la propria fidanzata attraverso un account Yahoo Messenger personale in data 12 luglio 2007.
A fronte di questa condotta negligente la decisione dell’azienda è stata severa ed intransigente, concludendo il procedimento disciplinare con l’erogazione della massima sanzione: il licenziamento.
Come è facilmente prevedibile la controversia si trasferì nelle aule giudiziarie. Il lavoratore rumeno impugnò il licenziamento dinanzi alla Bucarest Country Court in base al presupposto che il procedimento disciplinare fosse stato istruito mediante una condotta aziendale illecita poiché in violazione della legge penale rumena ed delle garanzie costituzionali poste a presidio del diritto alla segretezza della corrispondenza del lavoratore (1).

Il Giudice del Lavoro rumeno, con la sentenza del 7 dicembre 2007, rigettò il ricorso ritenendo la condotta aziendale conforme alle norme del codice del lavoro rumeno (Codul Muncii) poiché il lavoratore, prima dell’irrogazione della sanzione disciplinare, era stato debitamente edotto sia del divieto di utilizzo delle risorse aziendali per fini personali, sia che la propria attività sarebbe stata monitorata, in quanto era stato diffuso un invito scritto dell’azienda a non adoperare impropriamente i pc aziendali in occasione di un licenziamento avvenuto per tale ragione (invito firmato dai dipendenti, tra cui il signor Bărbulescu) (2).
Il secondo grado di giudizio ebbe il medesimo esito del primo, dato che The Bucharest Court of Appeal confermò la decisione del Giudice di primo grado, osservando che il comportamento del datore di lavoro doveva considerarsi ragionevole e necessario per poter riscontrare l’illecito disciplinare – anche ai sensi della direttiva UE 95/46/CE -, e riconnettendo il diritto del datore di lavoro di monitorare ed accertare le modalità di utilizzo degli strumenti e beni aziendali nel più ampio potere di controllo imprenditoriale dell’esecuzione della prestazione lavorativa (3) (4).

LA DECISIONE DEL 12 GENNAIO 2016 DELLA CORTE EDU: IL POTERE DI CONTROLLO FUORI CONTROLLO

Esaurite le vie di ricorso interno, il signor Bărbulescu tentò la carta della tutela giudiziaria sovranazionale, ricorrendo alla Corte europea dei diritti dell’uomo. Il ricorso del lavoratore rumeno si è incentrato essenzialmente sull’asserita violazione del diritto alla vita personale e familiare di cui all’art. 8 CEDU, sostenendo che il datore di lavoro aveva esercitato un’indebita ingerenza nella propria sfera personale e privata attraverso l’accesso non autorizzato sia sull’account aziendale sia su un account personale, entrambi di Yahoo Messenger, (account che aveva un diverso ID da quello registrato per scopi professionali) e che le trascrizioni delle sue comunicazioni erano state rese disponibili ai suoi colleghi che ne avevano discusso pubblicamente (5).

I Giudici europei – che sono tornati a pronunciarsi su questo tema a distanza di nove anni dal famoso caso Copland c. Regno Unito – preliminarmente hanno dichiarato ammissibile il ricorso in base ad una interpretazione estensiva della nozione di “diritto alla vita privata e familiare”, ritenendo meritevoli di tutela non solo tutti gli aspetti afferenti la vita intima e familiare di un individuo ma anche le relazioni che una persona intesse per motivi professionali, sicché da includere nell’ambito di applicazione dell’art. 8 della Convenzione sia le chiamate telefoniche dei lavoratori dal luogo di lavoro (v. Sentenza Halford c. United Kingdom, punto 44, e Amann contro la Svizzera [GC], n. 27798/95, § 43, CEDU 2000-II) sia le informazioni derivate dal monitoraggio dell’uso personale di Internet in virtù di un parallelismo con le comunicazioni inviate tramite e-mail dal posto di lavoro (v. Sentenza Copland c. Regno Unito).

Nel merito, la Corte di Strasburgo aveva dichiarato (per sei voti ad uno) la non violazione dell’art. 8 CEDU, accertando la non configurabilità di una posizione giuridica meritevole di tutela in capo al ricorrente rumeno. Precisamente, si era sostenuto che non vi fosse una ragionevole aspettativa sul fatto che le comunicazioni non venissero monitorate (“reasonable expectation of privacy”) per una pluralità di motivi:

1. Il lavoratore era a conoscenza del preciso e chiaro divieto aziendale di utilizzo delle risorse aziendali per fini personali e, conseguenzialmente, avrebbe potuto nutrire quantomeno il dubbio di poter essere monitorato;

2. l’illecito disciplinare sussisteva nel caso di specie;Corte europea dei diritti dell'Uomo - Nella Grand Chamber

3. il datore di lavoro aveva agito nell’ambito delle competenze disciplinari previste dal codice del lavoro rumeno;

4. il contenuto delle comunicazioni era stato valutato dal datore di lavoro al fine di costatare l’effettività della violazione disciplinare e, dunque, per il corretto esercizio del potere disciplinare.

5. i giudici nazionali avevano ritenuto che il datore di lavoro fosse entrato nell’account Yahoo Messenger del proprio dipendente in buona fede e mosso dalla convinzione di accedere a messaggi di rilievo professionale, senza venire a conoscenza del contenuto delle conversazioni e senza trattare i dati personali del lavoratore;

6. il lavoratore aveva fatto valere le proprie ragioni dinanzi alle autorità giudiziarie nazionali (anche con specifico riferimento all’art. 8 Cedu).

In base a questi rilievi la Corte Edu aveva giudicato il monitoraggio del datore di lavoro sulle conversazioni private del proprio dipendente non irragionevole e proporzionato, poiché limitato nel tempo e finalizzato ad uno scopo specifico (Cfr. caso Wieser e Bicos Beteiligungen GmbH contro Austria, n. 74336/01, §§ 59 e 63, ECHR 2007-IV e Yuditskaya e altri contro Russia , n. 5678/06, § 30, 12 febbraio 2015).
Come emerge in prima battuta, la decisione della Corte Edu apparve fortemente allineata alle valutazioni dei giudici nazionali e nel classico bilanciamento tra interessi contrapposti le esigenze datoriali ebbero un peso maggiore rispetto al diritto alla privacy del lavoratore, lasciando però irrisolti molti dubbi ed interrogativi: soprattutto se fosse stato rispettato l’obbligo informativo ovvero il principio di trasparenza – enucleabile dalla disciplina europea di protezione dei dati personali (v. Principio n. 10 R(2015)5 del Consiglio d’Europa) -, il quale riconosce il diritto del lavoratore ad essere preventivamente ed adeguatamente informato sull’esistenza di un controllo della corrispondenza, sulle tempistiche e finalità dello stesso e sugli strumenti adoperati.

LA DECISIONE DEL 5 SETTEMBRE 2016 DELLA GRANDE CAMERA: LA RAGIONEVOLE ASPETTATIVA CHE DIVIENE DIRITTO

A fronte di tale criticità il caso Bărbulescu è stato riesaminato definitivamente dalla Grande Camera della Corte europea dei diritti dell’Uomo con la sentenza del 7 settembre 2017 (Application no. 61496/08).
Preliminarmente si nota come la Corte – a differenza della precedente decisione – abbia ricostruito in modo puntuale la normativa internazionale in materia di trattamento dei dati personali e libera circolazione di tali dati, passando in rassegna le principali convenzioni internazionali (6) e i principi vigenti in materia (7), soffermandosi in particolare sulla normativa europea e la giurisprudenza della Corte di giustizia dell’Ue (v. caso Österreichischer Rundfunk e a. C -465/00, C-138/01 e C-139/01, sentenza del 20 maggio 2003), tra cui il recente Regolamento (UE) 2016/679 che ha riavvicinato le legislazioni degli Stati membri dell’U.E. in questo ambito.

Tra i vari punti affrontati dalla Corte, quello di maggior rilievo attiene all’indicazione della natura e portata degli obblighi di cui all’art. 8 della Convenzione, i quali devono essere rispettati dallo Stato firmatario anche se l’interferenza arbitraria sia stata compiuta da un soggetto privato e non da un’autorità pubblica, come è avvenuto nel caso in esame.
In altre parole, ancorché il controllo delle comunicazioni del richiedente e l’ispezione del loro contenuto non siano state il risultato dell’intervento diretto delle autorità nazionali ma di una società privata, essendo stata la condotta del datore di lavoro sottoposta al controllo dei tribunali nazionali (v., mutatis mutandis, Obst c. Germania, n. / 03, §§ 40 e 43, 23 settembre 2010, e Schüth c. Germania, n. 1620/03, §§ 54 e 57, CEDU 2010), gravava in capo allo Stato convenuto l’obbligo positivo di garantire al richiedente il rispetto della vita privata e della corrispondenza in un contesto lavorativo.
Chiarito questo punto, la Corte europea fornisce – nell’ipotesi in cui uno Stato non si sia già adoperato di una legislazione specifica – un decalogo dei fattori necessari per poter accertare la proporzionalità e la ragionevolezza delle misure di monitoraggio introdotte dal datore di lavoro ai sensi dell’articolo 8 della Convenzione:

i) se al dipendente è stata notificata in anticipo la possibilità che il datore di lavoro possa adottare misure per monitorare la corrispondenza o altre comunicazioni;

Catturaii) se è stata indicata l’entità ed estensione del monitoraggio da parte del datore di lavoro;

iii) se il datore di lavoro ha addotto motivi legittimi per giustificare il monitoraggio delle comunicazioni e l’accesso al loro contenuto;

iv) se sarebbe stato possibile stabilire un sistema di monitoraggio basato su metodi e misure meno intrusivi dell’accesso diretto al contenuto delle comunicazioni del lavoratore, da accertarsi caso per caso;

v) le conseguenze del monitoraggio per il dipendente e l’utilizzo fatto dal datore di lavoro dei risultati dell’operazione di monitoraggio, in particolare se i risultati sono stati utilizzati per conseguire l’obiettivo dichiarato;

vi) se al dipendente sono state fornite garanzie adeguate soprattutto quando le operazioni di monitoraggio del datore di lavoro erano di natura intrusiva (ad esempio limitare l’accesso al contenuto effettivo delle comunicazioni interessate a meno che il dipendente non sia stato informato in anticipo di tale eventualità).

In osservanza di predetti criteri i Giudici europei hanno osservato che i tribunali nazionali non avevano statuito se il richiedente fosse stato informato in anticipo ed adeguatamente della possibilità del monitoraggio da parte del datore di lavoro e della portata e natura di tale misura – rectius: se fosse stato rispettato il principio di trasparenza -, dichiarando dunque la violazione dell’articolo 8 della Convenzione.

QUALI EFFETTI PER L’ORDINAMENTO GIURIDICO ITALIANO?

Dopo aver analizzato le due pronunce relative al caso Bărbulescu, ed in particolare la decisione del 5 Settembre 2017, sorge spontaneo interrogarsi su quali effetti possano ripercuotersi all’interno del nostro ordinamento giuridico.
La norma architrave del sistema giuslavoristico di tutela della privacy del lavoratore è l’art. 4 St. lav., la cui disciplina è stata recentemente rinnovata in forza dell’art. 23 del d.lgs. n. 151 del 2015 al fine di adeguarla alle nuove esigenze dettate dalla progressiva evoluzione tecnologica.
Tale norma ha posto e pone tutt’ora numerosi problemi interpretativi con riguardo alla limitazione del potere di controllo datoriale in relazione all’impiego di risorse tecnologiche aziendali e di strumenti di lavoro che possono essere facilmente sottoposti a registrazione continuativa e controllo a distanza nel corso dell’orario di lavoro, così concedendo  al datore di lavoro un controllo forte sui propri dipendenti. Infatti, attualmente, il secondo e terzo comma dell’art. 4 St. lav., oltre ad esonerare il datore di lavoro dai limiti sostanziali e procedurali previsti al primo comma (obbligo di autorizzazione) con riguardo agli strumenti che “servono al lavoratore per rendere la prestazione lavorativa” e per “la registrazione degli accessi e delle presenze”, stabilisce che le informazioni raccolte con gli strumenti predetti sono utilizzabili a tutti i fini connessi al rapporto di lavoro. Da qui si sviluppa un infinito dibattito riguardo alla delimitazione della categoria degli “strumento di lavoro”.

A fronte di questi problemi vecchi e nuovi soccorre la disciplina enucleabile dal Codice della Privacy (D. Lgs 196/2003) e dai vari provvedimenti e linee guida del Garante della Privacy (fra molti, il provvedimento generale del 1° marzo 2007 e il provvedimento del 10 novembre 2011), che sanciscono quei punti fermi che la Corte europea dei diritti dell’uomo ha riaffermato nitidamente nella decisione del 7 settembre 2017.
Pertanto, si può ritenere che questa decisione abbia una forte valenza evocativa di quei principi e precetti normativi già previsti nel nostro ordinamento – e che ci auguriamo siano maggiormente osservati anche in forza del recente Regolamento (UE) 2016/679 -, i quali ci rammentano che “l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti non può giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e della riservatezza del lavoratore” (9).

NOTE

1. La parte ricorrente ha fatto espresso riferimento all’art. 26 della Costituzione rumena, che garantisce il diritto alla protezione della vita intima, privata e familiare, all’art. 28 della Costituzione rumena, che tutela la corrispondenza privata, nonché all’art. 195 del codice penale rumeno, il quale prevede espressamente che: “chiunque apre illegalmente la corrispondenza di qualcun altro o intercetta conversazioni o comunicazioni di qualcun altro via telefono, telegrafo o qualsiasi altro mezzo di trasmissione a lunga distanza, è punito con la reclusione da sei mesi a tre anni“.

2. “The court takes the view that the monitoring of the [applicant]’s Yahoo Messenger communications from the company’s computer … during working hours – regardless of whether the employer’s actions were or were not illegal (îmbracă sau nu forma ilicitului penal) – cannot affect the validity of the disciplinary proceedings in the instant case”.

3. “In view of the fact that the employer has the right and the obligation to ensure the functioning of the company and, to this end, [the right] to check the manner in which its employees complete their professional tasks, and of the fact that [the employer] holds the disciplinary power of which it can legitimately dispose and which [entitled it] to monitor and to transcribe the communications on Yahoo Messenger that the employee denied having had for personal purposes, after having been, together with his other colleagues, warned against using the company’s resources for personal purposes, it cannot be held that the violation of his correspondence (violarea secretului corespondenţei) was not the only manner to achieve this legitimate aim and that the proper balance between the need to protect his private life and the right of the employer to supervise the functioning of its business was not struck.

4. Il codice del lavoro vigente all’epoca dei fatti prevedeva all’articolo 40, paragrafo 1, lettera d), il diritto in capo al datore di lavoro di controllare il modo in cui i lavoratori svolgessero i loro compiti professionali, purché fosse garantito loro la riservatezza dei dati personali (articolo 40, paragrafo 2, lettera i)).

5. Il lavoratore Bărbulescu ha richiamato nel suo ricorso la giurisprudenza espressa nella decisione Copland c. United Kingdom (3 aprile 2007, 62617/00), che aveva riconosciuto l’obbligo da parte di un’amministrazione pubblica datrice di lavoro di applicare l’art. 8 della Convenzione nel senso di non interferire con la vita privata dei propri dipendenti monitorandone durata e numeri delle conversazioni telefoniche avvenute durante l’orario di lavoro. Tuttavia la principale e rilevante differenza tra questi casi è che nel caso Copland la controparte nei confronti della quale poteva gravare direttamente l’obbligo di implementare la ratio dell’art. 8 era un ente pubblico – espressione diretta dello Stato membro della Convenzione –, diversamente dal caso Bărbulescu ove ci si trovava difronte un soggetto privato, la società datrice di lavoro.

6. Tra le fonti normative sovranazionali in tema di trattamento dei dati personali e sulla libera circolazione di tali dati vi sono a titolo esemplificativo e non esaustivo: la direttiva 95/46/CE del Parlamento europeo e del Consiglio dell’Unione europea, del 24 ottobre 1995; la risoluzione 45/95 (A / RES / 45/95) dell’Assemblea generale delle Nazioni Unite, Code of Practice on the Protection of Workers’ Personal Data dell’ILO del 1997; la delibera n. 68/167 sul diritto alla vita privata nell’era digitale (A/RES/68/167) dell’Assemblea generale delle Nazioni Unite; La Convenzione del Consiglio d’Europa per la tutela delle persone in materia di trattamento automatico dei dati personali (1981, ETS n. 108); La carta dei diritti fondamentali dell’Ue; Il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 24 maggio 2016, che abroga la direttiva 95/46 CE a decorrere dal 25 maggio 2018).

7. Tra i più importanti principi vigenti in materia di Privacy, che possiamo rinvenire anche all’art. 11 del D. Lgs. 196/2003, vi sono a titolo esemplificativo: il Principio di legalità e correttezza; il Principio di accuratezza; il Principio di trasparenza; il Principio della specificità di scopo; il Principio dell’accesso delle persone interessate.

8. “It is open to question whether – and if so, to what extent – the employer’s restrictive regulations left the applicant with a reasonable expectation of privacy. Be that as it may, an employer’s instructions cannot reduce private social life in the workplace to zero. Respect for private life and for the privacy of correspondence continues to exist, even if these may be restricted in so far as necessary“.

9. Cass. 18 aprile 2012, n. 16622.

APPROFONDIMENTI

  • ALESSANDRA INGRAO, Il “cyberslacking” e i diritti del lavoratore “catturato nella rete informatica”. Note critiche a margine della sentenza della Corte Europea dei diritti dell’uomo, sez. IV, 12 gennaio 2016, n. 61496, Bărbulescu vs. Romania, in Osservatorio costituzionale, fasc. 3/2016, 22 novembre 2016
  • ILARIA BRESCIANI, Il potere di controllo del datore di lavoro sulla posta elettronica aziendale del lavoratore (nota di commento a CEDU, sez. IV, 12 gennaio 2016, C-61496/08) in Variazioni su Temi di Diritto del Lavoro
  • ANDREA SITZIA e DOMENICO PIZZONIA, Il controllo del datore di lavoro su internet e posta elettronica: quale riservatezza sul luogo di lavoro?, in Nuova Giur. Civ., 2016, 6, 899
  • CINZIA CARTA, Corte europea dei diritti dell’uomo: la Grande camera torna sul (e difende il) diritto alla privacy del lavoratore, in www.rivistalabor.it, 27 settembre 2017

About Roberto Federico Proto

Sono nato ad Ostuni, comunemente conosciuta come la città bianca, nel 1990 di un martedì 17, numero che mi ha sempre portato molta fortuna. Conclusi gli anni scolastici obbligatori ho deciso, inconsapevolmente, d'iscrivermi alla Facoltà di Giurisprudenza dell'Università Cattolica del Sacro Cuore (sede di Piacenza). Grazie agli studi universitari ho iniziato ad appassionarmi di Diritti Sociali, con un occhio sempre attento e vigile a tutte le vicende e i mutamenti del Diritto del Lavoro. Dal febbraio del 2012 faccio parte della redazione del webmagazine Diritti d'Europa ( ex Generazionezeroitalia.org), dove commentiamo e divulghiamo le pronunce della Corte Europea dei Diritti dell'Uomo.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

Scroll To Top