venerdì, Luglio 19, 2024
Uncategorized

Privacy sul posto di lavoro: la Corte EDU fa marcia indietro

Con la sentenza López Ribalda e altri c. Spagna[1] del 17 ottobre 2019, la Corte europea dei diritti dell’uomo (di seguito anche “Corte EDU”) ha riaperto il dibattito relativo all’estensione della tutela del diritto alla privacy sul posto di lavoro.

La questione ruota intorno al delicato bilanciamento tra le esigenze del datore di lavoro – che rivendica il diritto di vigilare sulla condotta dei propri dipendenti e garantire sicurezza e rispetto delle regole sul posto di lavoro, prevenendo la commissione di eventuali illeciti – e le esigenze dei lavoratori – che devono poter godere, anche sul posto di lavoro, di un minimo margine di riservatezza e privacy. I recenti sviluppi tecnologici hanno reso ancora più fragile questo equilibrio: i dipendenti hanno ora a disposizione strumenti telematici ed informatici che, sebbene fondamentali per l’esecuzione delle proprie mansioni, sono anche utilizzabili dal datore di lavoro per tracciare le attività svolte, i tempi di esecuzione o i luoghi visitati (pensiamo, ad esempio, al GPS ormai presente in qualsiasi smartphone e che ne registra ogni spostamento).

Giudici e legislatori si sono dovuti adeguare a quest’evoluzione, cercando di definire – non senza difficoltà – limiti del potere di controllo e sorveglianza del datore di lavoro ed estensione della privacy dei lavoratori.

Le differenti conclusioni a cui sono giunte le Corti, sia nazionali che internazionali, dimostrano come sulla questione non esistano criteri ermeneutici univoci[2]. Una risposta potrebbe essere invece ricercata nella giurisprudenza della Corte di Strasburgo, più volte chiamata a pronunciarsi su casi di intrusione nella sfera privata e nella privacy dell’individuo – in particolare sul posto di lavoro – che integrino violazione dell’art. 8 §1 CEDU, il quale tutela il diritto “al rispetto della propria vita privata (…) e della propria corrispondenza.”.

Bărbulescu c. Romania: un passo in avanti…

Il caso Bărbulescu c. Romania[3], discusso dai giudici della Corte di Strasburgo, è esemplificativo di questa difficile opera di bilanciamento.

In breve, l’azienda in cui il ricorrente lavorava imponeva ai propri dipendenti di utilizzare, per le comunicazioni interne, un servizio di messaggistica elettronica legato al provider Yahoo!, avvertendoli che le loro attività sarebbero state monitorate. Dopo qualche tempo, il ricorrente veniva licenziato per aver violato il regolamento aziendale: l’azienda era infatti venuta in possesso delle trascrizioni di alcune sue conversazioni personali ed intime con il fratello e con la fidanzata, realizzate proprio tramite l’account Yahoo! aziendale.

Il ricorrente, ritenendo illegittima l’attività di controllo esercitata dall’azienda, provvedeva quindi ad impugnare il licenziamento dinanzi alle corti nazionali ma, sia in primo grado che in appello, il ricorso veniva respinto. Secondo i giudici rumeni, infatti, l’accesso ad Internet e, in particolare, al software di Yahoo! Messenger, erano stati messi a disposizione dei lavoratori solo ed esclusivamente per ragioni lavorative; i dipendenti, inoltre, erano a conoscenza del monitoraggio effettuato dall’azienda, il quale era esplicitamente previsto dal regolamento aziendale e motivato da serie ragioni di sicurezza e trasparenza nelle comunicazioni interne. I giudici nazionali ritenevano dunque legittimo il licenziamento del sig. Bărbulescu.

Inizialmente, anche la Corte di Strasburgo ha confermato la decisione dei giudici interni: la Quarta sezione, infatti, ha ritenuto corretta la valutazione svolta dalle corti rumene, le quali hanno riconosciuto legittima l’attività di controllo svolta dal datore di lavoro, senza fare alcun riferimento al contenuto delle conversazioni trascritte – e, dunque, senza violare la privacy del ricorrente, concludendo per una non violazione dell’art. 8 §1 CEDU.

La Grande Camera ha però ribaltato la precedente decisione, adottando un atteggiamento più pragmatico, tenuto conto anche della normativa internazionale e comunitaria in materia. In particolare, i giudici hanno fatto riferimento non solo alla Risoluzione 45/95 delle Nazioni Unite[4] e alla Convenzione di Strasburgo del 1981[5], ma soprattutto alla Direttiva 95/46/CE[6] sul trattamento dei dati personali – abrogata e oggi sostituita dal Regolamento (UE) 2016/679[7]. Particolarmente puntuale è inoltre il riferimento al documento di lavoro prodotto dal Gruppo per la tutela dei dati (ex art. 29 della Direttiva) nel quale si evidenzia come “il semplice fatto che un’attività di controllo e sorveglianza sia funzionale agli interessi del datore di lavoro non può giustificare di per sé qualsiasi intrusione nella privacy del dipendente e che qualsiasi misura di controllo deve soddisfare quattro criteri: trasparenza, necessità, lealtà e proporzionalità[8].

È però necessario soffermarsi sui criteri che la Corte utilizza nel valutare eventuali violazioni della sfera di riservatezza degli individui.

I giudici di Strasburgo hanno da sempre interpretato nozioni quali “corrispondenza” e “vita privata” in maniera molto estesa, ricomprendendovi tutte le comunicazioni personali, attinenti tanto alla sfera privata quanto a quella lavorativa, indipendentemente dal mezzo con cui sono realizzate[9]. Inoltre, ogni dipendente, sul posto di lavoro, deve poter contare sulla “ragionevole aspettativa” che la loro privacy sia rispettata e difesa; dunque, qualora la loro sfera privata debba essere in qualche modo compressa per esigenze diverse, questi devono essere messi a conoscenza delle modalità di esecuzione di eventuali procedure di controllo e monitoraggio[10].

Per potersi pronunciare su eventuali violazioni dei diritti convenzionalmente garantiti, la Corte ha elaborato, sul punto, una serie di requisiti specifici: una determinata attività di controllo e monitoraggio deve infatti essere (1) necessaria e (2) finalizzata al raggiungimento di uno specifico e legittimo obiettivo ed essere, in concreto, svolta mediante attività (3) legittime e (4) proporzionate rispetto all’obiettivo che si vuole raggiungere; infine, qualunque procedura di monitoraggio deve comunque essere (5) trasparente, ossia pienamente conoscibile, nelle sue modalità di esecuzione, dal dipendente e (6) sicura per i suoi dati, che non devono essere condivisi con terzi.

Analizzando il caso di specie alla luce di questi criteri, la Grande Camera ha dunque ravvisato una violazione dell’art. 8 CEDU, ritenendo insufficiente la protezione accordata dalle autorità nazionali sotto due profili: (i) la sfera privata del ricorrente è stata fatta oggetto di un’attività di controllo eseguita con modalità ed estensione poco chiare o comunque sconosciute, in dettaglio, al ricorrente; (ii) alla mancanza di trasparenza è conseguita anche una più generale sproporzionalità nell’azione del datore di lavoro, che è risultata essere priva di un reale obiettivo e senza alcuna ragione concreta che legittimasse detta inferenza.

Questo diverso orientamento è stato, invero, parzialmente anticipato dal giudice Pinto de Albuquerque che, nell’opinione rilasciata in calce alla sentenza della Quarta sezione, ha riconosciuto l’accesso ad Internet e la privacy sul web come un vero e proprio diritto umano – e, come tale, meritevole di tutela ai sensi della Convenzione, eccependo non solo l’assoluta illegittimità della condotta del datore di lavoro, ma evidenziando anche come “Workers do not abandon their right to privacy and data protection every morning at the doors of the workplace[11].

La sentenza della Corte resta comunque poco chiara su alcuni punti, come quello relativo alla “ragionevole aspettativa” di tutela della privacy sul posto di lavoro, criterio di per sé ambiguo, o all’obbligo di informazione nei confronti del dipendente, che non fa altro che preannunciare una limitazione della sua sfera privata rispetto alla quale quest’ultimo non può fare pressoché nulla per evitarla[12]. Come vedremo, quest’ambiguità non è stata ancora risolta.

López Ribalda e altri c. Spagna: … e due passi indietro

Recentemente, la Corte di Strasburgo pare aver rinunciato a proseguire il percorso positivo avviato con Bărbulescu.

Nel caso López Ribalda e altri c. Spagna[13] i ricorrenti, impiegati in un supermercato, venivano licenziati dopo che il loro datore di lavoro scopriva, tramite un sistema di telecamere nascoste, che questi avevano commesso alcuni furti nei suoi locali commerciali. Di fronte al Tribunale del lavoro nazionale, i ricorrenti lamentavano la natura illegittima del licenziamento, avvenuto sulla base di una registrazione segreta e realizzata in violazione della loro privacy, ma i giudici si pronunciavano in senso contrario, evidenziando la legittimità della condotta del datore di lavoro, motivata dai forti sospetti che i suoi stessi dipendenti effettuassero furti nel supermercato.

In una prima occasione, la Corte di Strasburgo si è pronunciata dando ragione ai ricorrenti: la Terza sezione, infatti, richiamando la legislazione nazionale sul tema, ha concluso per la violazione dell’art. 8 CEDU, in quanto i ricorrenti avrebbero dovuto essere previamente informati dell’esistenza di una specifica – e, nel caso di specie, invasiva – forma di sorveglianza[14]. Al contrario, il datore di lavoro, sebbene avesse sospetti sulla commissione di alcuni furti, ha messo in atto un sistema di controllo dei dipendenti attivo e rivolto indistintamente a tutti i dipendenti per un periodo prolungato di tempo[15].

Diverse sono state però le conclusioni a cui è giunta la Grande Camera. Partendo dai medesimi criteri già utilizzati nel caso Bărbulescu[16], i giudici non hanno ritenuto sussistente alcuna violazione del diritto al rispetto della vita privata di cui all’art. 8 CEDU. Le corti nazionali avevano infatti ben rilevato come il datore di lavoro avesse deciso di installare un sistema di sorveglianza proprio alla luce dei numerosi e frequenti furti subiti: conseguentemente, il proprietario del supermercato non avrebbe né potuto informare preventivamente i suoi dipendenti (che altrimenti avrebbero immediatamente smesso di rubare), né avrebbe potuto scegliere una modalità di sorveglianza meno invasiva per scoprirne gli autori; i filmati, poi, non sono stati utilizzati per nessun’altra finalità se non quella di provare gli avvenuti furti.

La sentenza sul caso López Ribalda conferma, dunque, solo in parte l’iter logico già utilizzato in Bărbulescu: non solo la Corte rinuncia a richiedere il rispetto di tutti e sei i requisiti, ma arriva ad ammetterne, implicitamente, una sorta di gerarchia interna. A conferma di ciò, i giudici evidenziano come la mancanza di un avviso rivolto ai dipendenti circa l’installazione di un sistema di videosorveglianza sia solo uno dei criteri utilizzati per stabilire la proporzionalità di una misura; se questa informativa non viene garantita – anche per una mancanza del datore di lavoro, non vi è comunque violazione della norma ma, al più, si considera in maniera più stringente  “the safeguards deriving from the other criteria will be all the more important[17].

La Corte ha quindi deciso di dare maggiore importanza all’efficacia concreta della misura di sorveglianza rispetto ad una seria valutazione sulla sua legittimità e legalità, esponendo la pronuncia ad alcune critiche: infatti, posto che il sistema di sorveglianza installato fosse contrario alla legislazione spagnola[18], anche volendo ammettere la legittimità di una simile scelta, riconoscere la possibilità di installare sistemi di sorveglianza nascosti non fa altro che promuovere un’atmosfera di insicurezza e sfiducia, minando alla base il rapporto tra datore di lavoro e lavoratori[19].

Critiche alla sentenza sono giunte anche da alcuni degli stessi giudici del collegio giudicante: nella loro opinione dissenziente, i giudici De Gaetano, Yudkivska e Grozev hanno evidenziato come, nel passaggio della pronuncia in cui si afferma come il datore di lavoro non avesse a disposizione sistemi meno invasivi per vigilare sui suoi dipendenti, non ha minimamente preso in considerazione altre misure alternative di sorveglianza (sarebbe bastato, ad esempio, mettere telecamere a vista – informando debitamente i dipendenti –, assumere guardie di sicurezza o denunciare i furti per permettere l’inizio di indagini da parte dell’autorità giudiziaria)[20]. Medesima superficialità è anche rinvenibile nel passaggio in cui la Corte pare dimenticare di realizzare un bilanciamento – invece necessario – tra le conseguenze particolarmente gravose del controllo esercitato dal datore di lavoro[21] e la gravità dei reati, considerati come minori dalle stesse corti nazionali[22].

Diritti umani e tecnologia, quali prospettive?

Il tema è sicuramente spinoso e una risposta, ad oggi, non esiste.

D’altra parte, questi due casi evidenziano come la tecnologia sia tanto importante, quanto pericolosa per i lavoratori, in particolare quando determinati dati ed informazioni possano essere utilizzati per controllare i dipendenti nello svolgimento delle loro mansioni o per garantire sicurezza sul posto di lavoro.

Accedere ai dati contenuti in un server o effettuare delle registrazioni tramite strumenti di videosorveglianza sono entrambe possibilità che il datore di lavoro può sfruttare ma che, allo stesso tempo, occorre vengano precisamente disciplinate e regolate, in modo da evitare abusi e condotte illegittime. La Corte di Strasburgo dovrebbe “dare il buon esempio” ed essere il primo organo giudicante ad accogliere un orientamento pragmatico ed attento ai rischi connessi all’utilizzo di qualsiasi strumento digitale e telematico che possa interferire con il rispetto della privacy e della vita privata dei dipendenti. In questo senso, si può capire l’affermazione dei giudici dell’opinione dissenziente sovramenzionata, laddove affermano che: “the Court not only needs to recognise the influence of modern technologies, but also has to develop more adequate legal safeguards to secure respect for private life of individuals[23].

[1] Corte EDU, López Ribalda e altri c. Spagna, ricorsi nn. 1874/12 e 8567/13, 9 gennaio 2018 (Terza Sezione) e 17 ottobre 2019 (Grande Camera).

[2] A titolo esemplificativo, nel nostro paese è lo stesso Statuto dei Lavoratori (legge 20 maggio 1970, n.300, confermata poi dal D.lgs. 30 giugno 2003, n.196) a prevedere, all’art. 4 §1, come “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e comunque previo accordo sindacale. Con il Jobs Act, la normativa è stata riformata per disciplinare anche i casi relativi allo smart working, adattando l’attuale normativa alle istanze comunitarie che, di lì a poco, avrebbero trovato compiuta realizzazione nel General Data Protection Regulation (Regolamento UE n. 2016/679). Numerose sono anche state le pronunce relative a casi di licenziamento disposti per comportamenti irregolari dei dipendenti scoperti con modalità in violazione delle norme dello Statuto dei Lavoratori, come nel caso di registrazioni video realizzate con videocamere nascoste (sul punto si vedano le sentenze Cass. n. 22313/2016 e n. 22662/2016 e Rocchetti P., I limiti al potere di controllo del datore di lavoro sulle condotte del lavoratore. Commento alle sentenze n.22662/16 e 22213/16 della Cassazione, QuestioneGiustizia, 31.1.2017 e Greco M.G., Qualche nota preliminare sullo schema di riforma dell’art. 4 dello Statuto dei lavoratori, QuestioneGiustiza, 22.9.2015).

[3] Corte EDU, Bărbulescu c. Romania, ricorso n. 614960/08, sentenza 12 gennaio 2016 (Quarta sezione).

[4] Risoluzione A/RES/45/95 dell’Assemblea Generale delle Nazioni Unite, 14 dicembre 1990.

[5] Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, Strasburgo, 28 gennaio 1981.

[6] Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[7] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati

[8] Corte EDU, Bărbulescu c. Romania, Quarta sezione, cit., §47.

[9] Si vedano, ex multis, Corte EDU, Halford c. Regno Unito, ricorso n. 20605/92, sentenza 25 giugno 1997, e Corte EDU, Copland c. Regno Unito, ricorso n. 61627/00, sentenza 3 aprile 2007.

[10] Corte EDU, Köpke c. Germania, ricorso n. 420/07, decisione 5 ottobre 2010.

[11] Ibid., opinione parzialmente dissenziente del giudice Pinto de Albuquerque, §22.

[12] Chatzinikolaou A., Bărbulescu v Romania and workplace privacy: is the Grand Chamber’s judgment a reason to celebrate?, StrasbourgObserver, 19 ottobre 2017 (https://strasbourgobservers.com/2017/10/19/barbulescu-v-romania-and-workplace-privacy-is-the-grand-chambers-judgment-a-reason-to-celebrate/).

[13] Corte EDU, López Ribalda e altri c. Spagna, cit.

[14] Corte EDU, López Ribalda e altri c. Spagna, ricorsi nn. 1874/12 e 8567/13, 9 gennaio 2018 (Terza Sezione), §64.

[15] Ibid., §§68-69.

[16] Corte EDU, López Ribalda e altri c. Spagna, ricorsi nn. 1874/12 e 8567/13, 17 ottobre 2019 (Grande Camera), §116.

[17] Ibid., §131; occorre ricordare che, nell’opinione della Corte, se il datore di lavoro avesse avvisato i dipendenti dell’installazione di telecamere nascoste, questi avrebbero smesso di compiere furti, “annullando”, in concreto, il senso della sorveglianza

[18] Art. 89 §1 della legge n. 3/2018, secondo la quale i datori di lavoro devono informare i dipendenti dell’installazione di sistemi di sorveglianza in maniera chiara, esplicita e puntuale.

[19] Bregiannis F., López Ribalda and Others v. Spain – covert surveillance in the workplace: attenuating the protection of privacy for employees, StrasbourgObserver, 6 dicembre 2019 (https://strasbourgobservers.com/2019/12/06/lopez-ribalda-and-others-v-spain-covert-surveillance-in-the-workplace-attenuating-the-protection-of-privacy-for-employees/).

[20] Corte EDU, López Ribalda e altri c. Spagna, ricorsi nn. 1874/12 e 8567/13, 17 ottobre 2019 (Grande Camera), opinione dissenziente giudici De Gaetano, Yudkivska e Grozev.

[21] Corte EDU, López Ribalda e altri c. Spagna, ricorsi nn. 1874/12 e 8567/13, 17 ottobre 2019 (Grande Camera), §§127-128.

[22] Ibid., §40.

[23] Corte EDU, López Ribalda e altri c. Spagna, ricorsi nn. 1874/12 e 8567/13, 17 ottobre 2019 (Grande Camera), opinione dissenziente giudici De Gaetano, Yudkivska e Grozev, §2.

Fabio Tumminello

30 anni, attualmente attivo nel ramo assicurativo, abilitato all'esercizio della professione forense, laureato in giurisprudenza presso l'Università degli Studi di Torino con tesi sulla responsabilità medico-sanitaria nella giurisprudenza della Corte europea dei diritti dell'uomo e vincitore del Premio Sperduti 2017. Vice-responsabile della sezione di diritto internazionale di Ius in itinere, con particolare interesse per diritto internazionale, diritti umani e diritto dell'Unione Europea. Già autore per M.S.O.I. ThePost e per il periodico giuridico Nomodos - Il Cantore delle Leggi, ha collaborato alla stesura di una raccolta di sentenze ed opinioni del Giudice della Corte europea dei diritti dell'uomo Paulo Pinto de Albuquerque ("I diritti umani in una prospettiva europea. Opinioni dissenzienti e concorrenti 2016 - 2020").

Lascia un commento