Variazioni su Temi di Diritto del LavoroISSN 2499-4650
G. Giappichelli Editore

08/12/2018 - Quali spunti suggerisce la sentenza Bǎrbulescu nell’ambito della disciplina dei controlli a distanza?

argomento: Editoriale

Costituisce violazione dell’art. 8 della Convezione, il controllo da parte dell'impresa che sia sproporzionato, ovvero non effettuato secondo un corretto bilanciamento tra gli interessi del datore di lavoro ed il diritto alla privacy del dipendente (massima redazionale).

» visualizza: il documento (Cedu, Grande Camera, 5 settembre 2017, C.-61496/2008) scarica file

Articoli Correlati: lavoro subordinato - controllo a distanza - illegittimità del licenziamento

di Dott.ssa Marta Selicorni

SOMMARIO: 1. Introduzione. – 2. La sentenza Bǎrbulescu: il necessario bilanciamento tra la tutela del diritto alla privacy e i controlli sul luogo di lavoro. – 3. La disciplina dei controlli a distanza nell’ordinamento italiano: il nuovo art. 4 St. lav. – 4. Se il caso Bǎrbulescu fosse stato italiano?


1. Introduzione.

L’interazione sempre più stretta tra la prestazione lavorativa e le tecnologie applicate ai processi produttivi realizza una nuova “complementarietà” tra il lavoro umano e l’informatica (P. TULLINI, La digitalizzazione del lavoro, la produzione intelligente e il controllo tecnologico nell’impresa, in Web e lavoro. Profili evolutivi e di tutela, Torino, Giappicchelli, 2017). La tecnologia incide sempre più sia sulla dimensione quantitativa, sia sulla dimensione qualitativa della prestazione: si verificano casi in cui lo spazio di volontà individuale diminuisce a favore di sistemi tecnologici intelligenti, ponendo in tensione il criterio della diligenza richiesta al prestatore di lavoro subordinato (art 2104 cod. civ.); la tecnologia indirizza e scandisce le operazioni, previene errori, etero – dirige i prestatori di lavoro subordinato (come proposto nel celeberrimo caso Amazon). Inoltre, gli strumenti tecnologici sono utilizzati per comunicare, indirizzare percorsi, confermare lo svolgimento di una singola prestazione. Di fronte a questi cambiamenti epocali anche il diritto del lavoro è chiamato a cambiare e a trovare nuovi schemi che bilancino l’interesse dell’imprenditore ad ottenere un’impresa sempre più tecnologica e, quindi, maggiormente produttiva e l’interesse del lavoratore a che la sua privacy sia rispettata e non inglobata nella dimensione tecnologica dell’impresa.

Sul tema dei controlli a distanza, la sentenza Bǎrbulescu si inserisce nell’analisi delle comunicazioni elettroniche e dei limiti dell’ingerenza del datore di lavoro. La sentenza ribadisce che la disciplina dei controlli a distanza e quella della privacy sono sempre più connesse tra loro (e di questo ne ha preso atto anche il legislatore italiano tramite la modifica all’art. 4 dello Statuto dei lavoratori). La sfida del diritto del lavoro moderno risiede, dunque, nella capacità di trovare, ancora una volta, un bilanciamento ad esigenze contrapposte, creando categorie il più possibile elastiche, che riescano a tenere il passo con una tecnologia che si evolve a ritmi ben più veloci della legge.
2. La sentenza Bǎrbulescu:il necessario bilanciamento tra la tutela del diritto alla privacy e i controlli sul luogo di lavoro.

Con la sentenza del 5 settembre 2017, la Grande Camera della Corte europea dei diritti dell’uomo si è definitivamente pronunciata sul caso Bǎrbulescu. Il lavoratore aveva presentato ricorso, lamentando una violazione dell’art. 8 della Convenzione europea sulla salvaguardia dei diritti dell’uomo e delle libertà fondamentali. In particolare, il Sig. Bogdan Mihai Bǎrbulescu era stato licenziato, poiché, in seguito a dei controlli da parte del proprio datore di lavoro, era emerso che egli aveva utilizzato l’account “Yahoo Messenger” aziendale per fini privati durante l’orario di lavoro. Tale condotta era stata ritenuta contraria al regolamento aziendale, il quale vietava l’utilizzo degli strumenti aziendali (tra cui computer, fax, fotocopiatrici) per scopi non lavorativi. In conseguenza del licenziamento, il Sig. Bǎrbulescu aveva adito dapprima le corti nazionali per ottenere la declaratoria di illegittimità del proprio licenziamento, poi, esauriti i rimedi di tutela interni, la Corte europea dei diritti dell’uomo, sostenendo che lo Stato della Romania e i suoi giudici non avessero tutelato il suo diritto al rispetto della vita privata e della corrispondenza.

Le corti nazionali di merito hanno ritenuto che il datore di lavoro avesse effettuato controlli finalizzati alla verifica dell’adempimento contrattuale della prestazione lavorativa e, quindi, conformi alla disciplina di legge. Pertanto, non hanno riscontrato una violazione della segretezza della corrispondenza privata. Successivamente, la quarta sezione della Corte Edu ha valutato condivisibile l’iter decisionale delle corti nazionali, ritenendo corretto il bilanciamento operato dalle Corti tra l’interesse datoriale e la privacy del dipendente: la sentenza ha effettuato un giudizio di bilanciamento tra il diritto alla privacy dei lavoratori e la (legittima) necessità datoriale di operare controlli sul luogo di lavoro, sia per supervisionare l’adempimento della prestazione, sia per tutelare i beni aziendali (nel caso di specie, il sistema internet aziendale, il quale può essere danneggiato da azioni illegali nel cyberspazio).

Sebbene la littera dell’art. 8 faccia riferimento alla vita privata, tale nozione non deve essere interpretata in senso restrittivo. Analogamente alle altre disposizioni della Convenzione che tutelano i diritti c. d. “non assoluti”, la norma presenta una struttura bipartita: il primo paragrafo enuncia il contenuto del diritto tutelato (“Ogni persona ha diritto al rispetto della propria vita familiare, del proprio domicilio e delle propria corrispondenza”, art. 8, primo paragrafo, CEDU), mentre il secondo paragrafo enuclea i presupposti in presenza dei quali ogni Stato membro è legittimato a sottoporre restrizioni (ai sensi del secondo paragrafo dell’art. 8 CEDU, uno Stato membro può sottoporre a restrizioni il diritto di cui all’art. 8, primo paragrafo, purché tali restrizioni siano previste dalla legge - in accordante with the law - siano necessaria in una società democratica - necessary in a democratic society - e siano necessaria per il raggiungimento di uno dei fini tassativamente indicati nella norma - a legitimate aim). Nella prima sentenza Bǎrbulescu la Corte Edu, richiamando la propria giurisprudenza (la Corte cita Copland v. the United Kingdom n. 62617 / 00 ECHR 2007 – I; cfr. anche Niemietz v. Germany, n. 13710/88, ECHR, 1992, in cui la Corte Edu ha affermato che il rispetto della vita privata deve essere tutelato anche nell’ambito dei rapporti di lavoro), ha ribadito come le comunicazioni e – mail effettuate sul posto di lavoro siano riconducibili ai concetti di “vita privata” e “corrispondenza” tutelati dall’art. 8. Nel caso di specie, la quarta sezione ha valutato corretta l’operazione datoriale di controllo della corrispondenza del proprio dipendente, senza soffermarsi sulla effettiva esistenza di una normativa di diritto interno giustificativa della restrizione, ma valutando il margine di apprezzamento che ogni Stato membro ha nel bilanciare gli interessi contrapposti.

Peraltro, è risultata fondamentale nella decisione della quarta sezione la comunicazione aziendale inviata a tutti i dipendenti della Società, di poco antecedente al procedimento disciplinare nei confronti del Sig. Bǎrbulescu. Con tale informazione la Società aveva avvertito i propri dipendenti delle ragioni del licenziamento di un collega, il quale era stato colto ad utilizzare internet per scopi personali. I Giudici della quarta sezione della Corte Edu hanno ritenuto che tale comunicazione avvertisse i lavoratori della possibilità di essere monitorati nelle proprie comunicazioni elettroniche e nell’uso degli strumenti aziendali: per tale motivo, non si poteva accusare il datore di lavoro di avere svolto dei controlli occulti.

Tuttavia, la Grande Camera ha ribaltato la precedente pronuncia, accertando una violazione dell’art. 8 della Convezione: in particolare, essa ha valutato sproporzionato il controllo dell’impresa, ritenendo che, nel caso di specie, non fosse stato effettuato un corretto bilanciamento tra gli interessi del datore di lavoro ed il diritto alla privacy del dipendente. La decisione della Grande Camera è stata emessa non senza contrasti al suo interno. Infatti, la votazione è stata assunta con undici voti favorevoli, contro sei contrari e la sentenza è seguita da due dissenting opinion (la prima relativa alle modalità di erogazione – o meglio, sulla mancata erogazione – di una somma di danaro a ristoro del danno subito, la seconda relativa al merito della decisione e sottoscritta dai sei giudici dissenzienti). La sentenza si inserisce in un filone giurisprudenziale che ha trattato, da diverse prospettive, la tematica dei controlli datoriali e delle violazioni dell’art. 8. Tuttavia, tale decisione, “pur confermando alcuni principi interpretativi già espressi” rappresenta un “unicum nel panorama giurisprudenziale dell’organo giudiziario europeo”(A. AMBROSINO, Riflessioni sul potere datoriale di controllo alla luce delle pronunce della Corte europea dei diritti dell’uomo sul caso Bǎrbulescu c. Romania, in Var. temi dir. Lav., 2018, pag. 263).

Il tema del rispetto della privacy del dipendente (minata dai controlli datoriali a mezzo di dispositivi informatici) è stato affrontato dalla Corte Edu anche in Copland v. United Kingdom (le differenze tra la sentenza Bǎrbulescu e la sentenza Copland sono illustrate da C. CARTA, Corte europea dei diritti dell’uomo: la Grande camera torna sul (e difende il) diritto alla privacy del lavoratore, in Labor – il lavoro nel diritto, rubrica on line consultabile all’indirizzo www.rivistalabor.it). Anche in questo caso la Corte ha deciso a favore del lavoratore: infatti, il datore di lavoro non aveva provveduto a informare i propri dipendenti circa la possibilità del monitoraggio dei dati personali. Inoltre, la fattispecie differisce dal caso rumeno, poiché il datore di lavoro era pubblico (trattandosi di un college pubblico) e su di lui (quale diretta espressione di uno Stato aderente alla Convenzione) gravava l’obbligo di implementare le tutele dell’art. 8. Anche nel caso Halford v. United Kingdom (n. 20605 / 92 ECHR 1997) la Corte ha condannato il Regno Unito per violazione dell’art. 8, sempre rilevando sia il carattere pubblicistico del datore di lavoro (la Polizia di Stato), sia l’assenza di una adeguata informativa sui controlli.

Invece, la sentenza Köpke v. Germany (n. 420 /07 ECHR 2008) incentra la sua motivazione sul fatto che il datore di lavoro aveva subito dei danni economici a seguito delle condotte dei prestatori di lavoro (i quali erano stati filmati mentre alteravano la contabilità relativa ad alcuni prodotti venduti per conto della Società). In tale caso, la Corte non ha ravvisato una violazione dell’art. 8 poiché il datore di lavoro aveva usato le misure restrittive meno invasive tra quelle disponibili, effettuando un corretto bilanciamento degli interessi in gioco.

A stretto giro dalla sentenza Bǎrbulescu, la Corte si è pronunciata sul tema del bilanciamento tra i controlli datoriali e il diritto alla privacy del lavoratore nelle sentenze Antović and Mirković v. Montenegro (n. 70838 / 13 ECHR 2017) e Lopez Ribalda and others v. Spain (n. 1874 / 13, n. 8567 / 13 ECHR 2018). Nel primo caso, due docenti universitari lamentavano l’installazione di telecamere nelle aule dove tenevano le lezioni. La circostanza che le lezioni “si svolgessero in un luogo pubblico per un soggetto di diritto pubblico (…) non poteva essere da sola sufficiente a giustificare il controllo, il quale deve, al contrario, fondarsi su precisi presupposti e rispondere a concrete necessità datoriali” (A. AMBROSINO, op. cit., in Var. temi dir. Lav., 2018, pag. 265). Infatti, l’aspettativa di protezione del diritto alla privacy non svanisce solo perché la prestazione lavorativa si svolge in un luogo pubblico (o aperto al pubblico, secondo la nostra terminologia giuridica nazionale), altrimenti il mero fatto di trovarsi in un luogo pubblico determinerebbe “de plano una declaratoria di inammissibilità del ricorso per incompatibilità ratione materiae con la Convezione ai sensi dell’art. 35, par. 3, lett. a, Cedu” (F. PERRONE, Corte Europea dei Diritti dell’Uomo, sentenza López Ribalda c. Spagna: la tutela della privacy sul luogo di lavoro dopo Bǎrbulescu 2, in Labor – il lavoro nel diritto, rubrica on line consultabile all’indirizzo www.rivistalabor.it).

Un profilo di interesse della sentenza Antović and Mirković risiede nel fatto che la Corte non ha affermato che gli scopi perseguiti dal datore di lavoro fossero illegittimi, ma ha ritenuto che le finalità protettive dell’incolumità pubblica e del patrimonio dell’ente non fossero di rilevanza tale da poter bilanciare le misure restrittive adottate. A differenza del caso Köpke, l’Università avrebbe potuto impiegare diversi strumenti a sua disposizione (meno invasivi) per tutelare il perseguimento di detti scopi. Nel caso di specie, la presenza di una compiuta informazione dei lavoratori non è stato un elemento di valutazione da parte della Corte Edu.

Invece, la fattispecie alla base della sentenza Lopez Ribalda riguarda la vicenda di alcuni dipendenti di un supermercato, licenziati a causa di alcuni furti commessi e ripresi mediante delle videocamere presenti sul luogo di lavoro. La Corte Edu, pur ritenendo legittimo il recesso, ha rilevato una violazione dell’art. 8 nell’assenza di una informativa su tali controlli. Inoltre l’attività di sorveglianza occulta colpiva indistintamente l’intero staff impiegato presso il punto vendita, risultando pertanto sproporzionata rispetto al fine legittimo della tutela del patrimonio del datore di lavoro. Nella motivazione della sentenza, rileva il fatto che la legge spagnola disciplina espressamente strumenti normativi a protezione della privacy sul luogo di lavoro. Pertanto, l’esistenza nell’ordinamento domestico di una compiuta disciplina legislativa valuta “non solo quale base legale su cui fondare una limitazione di un diritto fondamentale (in accordance with the law), ma anche quale elemento costitutivo dell’affidamento dei destinatari della garanzia convenzionale, in quanto tale rilevante alla stregua di autonoma struttura di bilanciamento del giudizio di necessità in una società democratica” (F. PERRONE, op. cit., in Labor – il lavoro nel diritto).

Avendo analizzato la più recente giurisprudenza della Corte Edu, si comprende l’opinione di Ambrosino nel ritenere la sentenza Bǎrbulescu un unicum (di opinione contraria, A. LOMBARDI, Il potere di controllo del datore di lavoro alla luce della giurisprudenza CEDU. Riflessioni a margine della sentenza Bǎrbulescu, in L’effettività dei diritti alla luce della giurisprudenza della Corte europea dei diritti dell’uomo di Strasburgo, saggio consultabile su http://diritti-cedu.unipg.it, la quale afferma che “la sentenza Bǎrbulescu c. Romania non rappresenta un unicum nel panorama della Corte Edu e delle Corti nazionali. (…) Nei Paesi europei (…) da anni ormai è in corso un ampio dibattito, a livello sia nazionale sia comunitario, sulla necessità di un corretto bilanciamento tra le esigenze di controllo del datore di lavoro e il diritto alla privacy del lavoratore, ritenuto comunque meritevole di salvaguardia anche nel contesto lavorativo”). Infatti, il datore di lavoro del Sig. Bǎrbulescu era un soggetto di diritto privato, sul quale non gravava direttamente l’obbligo di implementare le tutele dell’art. 8: la violazione dell’art. 8 della Convenzione si è ricavata aliunde, nella totale assenza di un idoneo strumento di tutela della privacy del lavoratore nell’ordinamento rumeno. Non sono risultate sufficienti le generiche previsioni degli artt. 26 e 28 della Costituzione rumena, i quali prevedono il rispetto della vita privata e della segretezza della corrispondenza, né l’art. 40 del Codice del lavoro, che prevede sia il potere di controllo del datore di lavoro, sia il dovere dello stesso datore di lavoro di garantire la confidenzialità dei dati personali dei lavoratori dipendenti. Infatti, il dovere di tutela “che risulta insoddisfatto è quello rinvenibile in capo allo Stato, da cui si pretende che appresti strumenti di reazione alle violazioni della privacy positivamente realizzate dai privati.” (M. DALLACASA, Controlli su strumenti informatici dopo la sentenza Bǎrbulescu del 2017 della Cedu, in Il lavoro nella giurisprudenza, 2018, pag. 438). La responsabilità dello Stato rumeno è dunque una responsabilità per violazione della “obbligazione positiva” a cui egli è sottoposto (Cfr. F. PERRONE, op. cit., in Labor – il lavoro nel diritto): infatti, ogni Stato aderente la Convenzione si è vincolato al rispetto non solo di obblighi di natura negativa (quali l’astinenza dal porre in essere comportamenti lesivi i diritti tutelati dalla Convenzione), ma anche al rispetto di specifici obblighi di natura positiva, tesi a garantire l’effettività dei diritti sanciti.

Inoltre, a differenza di altre fattispecie (tra cui i casi Copland v. United Kingdom e Halford v. United Kingdom), il datore di lavoro del sig. Bǎrbulescu aveva informato i propri dipendenti della possibilità del monitoraggio dei dati personali, sia tramite il regolamento interno (il quale dettava le modalità di utilizzo degli strumenti informatici), sia tramite la comunicazione di poco precedente al licenziamento del ricorrente. In realtà, la Grande Camera della Corte Edu, ribaltando la valutazione effettuata sul punto dalla quarta sezione, ha valutato generica la suddetta comunicazione, poiché essa non menzionava esplicitamente la possibilità del datore di lavoro di procedere al monitoraggio delle comunicazioni elettroniche dei dipendenti e, soprattutto, del loro contenuto. Anche il regolamento aziendale non è stato valutato idoneo ad informare il dipendente, poiché esso indicava genericamente il divieto di utilizzo degli strumenti aziendali a fini personali, ma il Governo rumeno non ha dimostrato che il lavoratore ne avesse avuto conoscenza (A. LOMBARDI, op. cit., in L’effettività dei diritti alla luce della giurisprudenza della Corte europea dei diritti dell’uomo di Strasburgo, saggio consultabile su http://diritti-cedu.unipg.it). Sul punto è evidente la differenza con il nostro ordinamento, nel quale si ritiene conoscibile e conosciuto il codice disciplinare “mediante affissione in un luogo accessibile a tutti” (art. 7, legge n. 300 del 1970). Pertanto, l’informativa aziendale è stata valutata insufficiente sia da un punto di vista formale, sia sostanziale. Di conseguenza la Corte Edu ha stabilito che le autorità rumene non avevano garantito l’attuazione del principio di trasparenza, sul quale si fonda il sistema di tutela della vita privata e familiare di cui all’art. 8 della Convenzione.

Un elemento distintivo della sentenza Bǎrbulescu (che la differenzia dalla sentenza Köpke) è la valutazione della Corte Edu circa l’assenza di una lesione patrimoniale. L’azienda datrice di lavoro del ricorrente Bǎrbulescu non aveva subito alcun danno dalla condotta del lavoratore; pertanto l’interesse giuridico meritevole di tutela in capo al datore di lavoro consisteva unicamente nel monitorare l’utilizzo degli strumenti aziendali da parte dei dipendenti. Infatti, il controllo a cui è stato sottoposto il Sig. Bǎrbulescu non aveva ad oggetto il diretto svolgimento della prestazione lavorativa, bensì l’uso di internet aziendale per fini non lavorativi (Cfr. A. AMBROSINO, , op. cit., in Var. temi dir. Lav., 2018, pag. 266). In tale prospettiva, in mancanza della tutela dell’interesse alla conservazione del patrimonio aziendale, il controllo non era idoneo a giustificare una restrizione del diritto alla privacy del lavoratore, senza una adeguata informazione.
3. La disciplina dei controlli a distanza nell’ordinamento italiano: il nuovo art. 4 St. lav.

Nel quadro comparatistico degli Stati membri della Convenzione Europea dei Diritti dell’Uomo è rinvenibile “un’ampia gamma tipologica di misure conformative dell’obbligo di bilanciamento cui l’art. 8, comma 2, Cedu rinvia” (F. PERRONE, op. cit., in Labor – il lavoro nel diritto, pag. 6). Alcuni ordinamenti impongono il compimento di adempimenti procedimentali preventivi rispetto all’inizio della attività di controllo sul luogo di lavoro. Ad esempio, in Estonia vige l’obbligo di comunicare preventivamente una particolare policy aziendale concernente l’uso a fini extraprofessionali della rete Internet o del sistema e-mail; invece Austria, Norvegia, Polonia è presente l’obbligo di preventivo avviso del compimento di atti di ispezione; in Lussemburgo il datore di lavoro ha l’obbligo di notifica preventiva agli organi nazionali di protezione dei dati personali del compimento di attività di trattamento o raccolta di dati; in Norvegia vige l’obbligo di preventivo avviso dei lavoratori interessati ovvero delle loro associazioni rappresentative di un sopravveniente atto di monitoraggio dei dati.

Viceversa, altri ordinamenti impongono misure di garanzia, in modo da disciplinare lo svolgimento del procedimento di sorveglianza, circoscrivendone l’oggetto, le finalità o la durata. In tale caso, le legislazioni nazionali distinguono tra misure di sorveglianza automatica (per i quali sono previsti presupposti legittimanti tendenzialmente più ristretti) e controlli individualizzati. In Lussemburgo vale il principio della c.d. “sorveglianza graduale”, tale per cui l’intensificazione dell’attività di controllo sugli strumenti di lavoro tecnologici è ammessa solo in presenza di sospetti ragionevoli e circostanziati della commissione di condotte illecite. Come è noto, l’Italia ha scelto questa seconda modalità di approccio in tema di controlli datoriali sul luogo di lavoro. Nel nostro ordinamento il c. d. automatic monitoring, finalizzato al controllo delle modalità esecutive della prestazione contrattuale da parte dei lavoratori, è radicalmente vietato, mentre è consentito qualora diretto al perseguimento di specifici scopi stabiliti dalla legge ed assistito da particolari garanzie procedimentali.

La norma cardine in materia è l’art. 4 dello Statuto dei lavoratori, così come novellato dall’art. 23, primo comma, del decreto legislativo n. 151 del 2015 (c. d. Job act). In realtà, lo Statuto dei lavoratori, nel suo disegno originario, ha disciplinato separatamente un’ampia tipologia di controlli (cfr. art. 2, 3, 4, 6, 8 St. lav.), anche se il divieto del c. d. automatic monitoring è stato racchiuso nell’art. 4, il quale, nella sua versione originaria, prevedeva un divieto assoluto di installare impianti e apparecchiature tecnologiche “per finalità di controllo a distanza sull’attività dei lavoratori”. L’attuale formulazione dell’art. 4 dello Statuto dei lavoratori distingue due profili attinenti i controlli a distanza: da un lato l’impiego degli strumenti di controllo, dall’altro la gestione delle informazioni raccolte tramite tali strumenti. Infatti, mentre i primi due commi fissano le regole per l’utilizzo legittimo degli strumenti di controllo a distanza, il terzo comma pone le condizioni affinché i dati legittimamente raccolti possano essere utilizzati in concreto. Di fatto, la norma prevede un ampliamento delle causali che giustificano l’esercizio del controllo a distanza (esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale), ribadendo l’obbligo per il datore di lavoro di ottenere una autorizzazione sindacale. Al contempo, le causali e la autorizzazione del primo comma si rendono superflue nel caso in cui l’attività di controllo avvenga tramite “gli strumenti per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze” (art. 4, secondo comma, legge n. 300 del 1970). Le informazioni così raccolte potranno essere utilizzate “a tutti i fini connessi al rapporto di lavoro”, sempre che “sia data adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal d. lgs. 30 giugno 2003 n. 196”.

Il nuovo dettato statutario ha cercato di aggiornare la disciplina dei controlli, trovando un bilanciamento tra gli interessi delle parti del rapporto di lavoro. Tuttavia, stupisce come il nuovo testo dell’art. 4 non citi “gli innumerevoli apporti della digitalizzazione, né il potenziale dirompente di internet”, anzi continui a “richiamare genericamente gli strumenti di controllo nell’impresa” con una terminologia che richiama il precedente dettato normativo (“impianti audiovisivi e altri strumenti”) (P. TULLINI, op. cit., in Web e lavoro. Profili evolutivi e di tutela, Torino, Giappichelli, 2017, pag. 12). Rispetto alla vecchia versione dell’art. 4, il quale “prevedeva una netta distinzione concettuale tra la verifica effettuata sul corretto adempimento della prestazione e la vigilanza diretta a soddisfare esigenze organizzative ed interessi esterni al rapporto di lavoro”, alcuna parte della dottrina ritiene che la riforma abbia reso “meno limpido tale distinguo”, poiché il controllo tecnologico ora è associato anche all’area dell’adempimento e della attività dei lavoratori (P. TULLINI, op. cit., in Web e lavoro. Profili evolutivi e di tutela, Torino, Giappichelli, 2017, pag. 9). Certamente, la nuova scrittura dell’art. 4 St. lav. presenta un modello che bilancia una gestione “più unilaterale degli strumenti di controllo a distanza da parte dell’imprenditore (…) con inediti livelli di penetrazione del diritto della privacy nell’ambito del rapporto di lavoro” (M. MARAZZA, Dei poteri (del datore di lavoro), dei controlli (a distanza) e del trattamento dei dati (del lavoratore), in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016, pag. 5). Il risultato è un contemperamento dei diritti che si realizza sempre più su un piano individuale, rispetto a quello collettivo (in coerenza, del resto, con l’impianto generale della intera riforma del 2015).

A lungo la dottrina ha dibattuto sulla nuova distinzione tra gli strumenti di controllo e gli strumenti di lavoro (i c. d. “strumenti per rendere la prestazione lavorativa”), poiché a seconda della qualificazione dello strumento, il controllo datoriale deve essere mediato da una autorizzazione sindacale o amministrativa e dalle causali tipicamente previste dalla norma, oppure può essere libero (convincente, sulla novità legata agli strumenti per rendere la prestazione, è la teoria per cui il legislatore “ha fatto una valutazione ex ante di legittimità dell’installazione nonché dell’impiego dei medesimi, in quanto giustificati da esigenze aziendali qualificate”, cit. R. DEL PUNTA, La nuova disciplina dei controlli a distanza sull’attività dei lavoratori e la modernità post panottica, in Riv. It. Dir. Lav., 2016, 1, pag. 3). Tra le varie teorie dottrinali, pare più convincente quella per cui non esiste una “definizione ontologica di strumento di lavoro” (M. MARAZZA, op. cit., in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016, pag. 10). Infatti, lo stesso strumento può essere in grado di monitorare a distanza l’attività del lavoratore (in diretta o in differita) oppure essere uno strumento di lavoro, va da sé perché è utilizzato dal lavoratore per rendere la prestazione lavorativa. Risulta inutile tentare di creare in via astratta delle categorie di strumenti riconducibili all’una o all’altra categoria, poiché è sufficiente verificare in concreto ciò che l’organizzazione aziendale, determinata dall’imprenditore nell’esercizio del suo potere direttivo, ha stabilito (È bene sottolineare che non sarà possibile, per l’interprete, un giudizio sulla minore o maggiore utilità dello strumento, ferma la discrezionalità dell’imprenditore nell’organizzazione dell’impresa. Si veda, tra le altre, Cass. 23 ottobre 2013, n. 24037. Sul punto anche E. GRAGNOLI, Gli strumenti di controllo e i mezzi di produzione, in Var. temi dir. Lav., 2016, 4, pag. 657, il quale ritiene che “la prestazione è definita in ogni aspetto dal datore di lavoro, a fronte del programma negoziale (…). Su tale inerenza si pronuncia la sola impresa e non si può sovrapporre il giudizio di un terzo, tanto meno alla stregua della’rt. 4, comma 2, St. lav., il quale non dà nessuno spiraglio per una simile valutazione”). Proprio perché l’organizzazione è un elemento esterno il rapporto di lavoro (riguardante l’impresa e non il lavoratore dipendente) non ha senso valutare gli strumenti per rendere la prestazione in base alla inerenza “rispetto all’esecuzione del facere”, poiché si invertirebbero “i termini del ragionamento” (E. GRAGNOLI, op. cit., in Var. temi dir. Lav., 2016, 4, pag. 656 ss.).

L’interpretazione più convincente pare quella per cui strumento “per rendere la prestazione” può essere solo uno strumento utilizzato dal lavoratore in modo attivo, ovvero uno strumento necessario allo svolgimento delle mansioni: esso deve essere nella disponibilità operativa del dipendente, il quale lo utilizza per rendere la prestazione (In tale senso M. MARAZZA, op. cit., in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016, per cui il “profilo da considerare è infatti di natura strettamente oggettiva, è giudizialmente verificabile (…) se il lavoratore ha un ruolo attivo nel suo utilizzo”; R. DEL PUNTA, op. cit., in Riv. It. Dir. Lav., 2016, 1, secondo cui lo strumento rientra nel secondo comma dell’art. 4 se è “direttamente funzionale allo svolgimento della prestazione lavorativa”; M. T. SALIMBENI, La riforma dell’art. 4 dello Statuto dei lavoratori: l’ambigua risolutezza del legislatore, in Riv. It. Dir. Lav., 2015, 4, che ritiene che non si applica il primo comma dell’art. 4 “soltanto nelle ipotesi in cui il meccanismo che genera il controllo è nella gestione del lavoratore che lo attiva e disattiva per rendere la prestazione”). Gli esempi maggiori sono ricaduti sugli strumenti di geolocalizzazione: tali strumenti, utilizzati dal conducente di autobus dipendente di un’azienda di trasporto, diventano strumenti per rendere la prestazione, poiché sono utilizzati per dare conferma dell’effettuazione di ogni fermata, oltre che per comprendere quanti e quali servizi offrire a seconda del traffico nelle diverse fasce orarie. Invece, il GPS del computer o del cellulare aziendale utilizzato da un dipendente non può che qualificarsi come strumento di controllo a distanza, poiché il lavoratore non lo utilizza attivamente nello svolgimento delle proprie mansioni, ma ne subisce passivamente la sola efficacia.

Pertanto, è evidente che nel momento in cui i meccanismi “non sono di produzione, ma funzionali al mero controllo” (inteso come la “verifica sul comportamento solutorio e sulle sue implicazioni”, anche se arreca “conseguenze organizzative e commerciali a più ampio raggio”), la loro legittimità è subordinata alla autorizzazione sindacale o amministrativa (E. GRAGNOLI, op. cit., in Var. temi dir. Lav., 2016, 4, pag. 659). In tale senso, allora, il ragionamento diventa più agevole: gli strumenti di geolocalizzazione, usati per capire dove si trova il lavoratore e se esegue correttamente la prestazione, sono riconducibili al primo comma, mentre gli stessi strumenti, finalizzati a definire migliori percorsi per i suoi spostamenti, sono riconducibili al secondo comma (pertanto, non è condivisibile la tesi di P. TULLINI, op. cit., in Web e lavoro. Profili evolutivi e di tutela, Torino, Giappichelli, 2017, pag. 14, secondo cui “l’ambito operativo della prima parte dell’art. 4 St. lav. risulterebbe davvero esiguo e marginale perché circoscritto alle ipotesi in cui i sistemi di vigilanza non abbiano alcuna utilità lavorativa o per l’organizzazione del lavoro”).

Dunque, seguendo tali ragionamenti, l’attuale testo dell’art. 4 St. lav. lascia inalterato il precedente regime sugli strumenti di mera vigilanza: risulta ancora possibile il riscontro sull’adempimento della prestazione (prerogativa di per sé legittima), ma rimane necessaria una autorizzazione. Il primo comma dell’art. 4 dello St. lav. stabilisce che l’oggetto del divieto del controllo a distanza è esteso alla più ampia gamma dei “lavoratori” (e non più dei soli dipendenti), con la precisazione che il concetto di distanza va inteso sia in senso spaziale e temporale (cfr. Cass., 12 febbraio 1983, n. 1236). Ciò che cambia rispetto alla vecchia stesura della norma sono le finalità per le quali gli strumenti di controllo a distanza possono essere utilizzati. Ad oggi, le modalità di utilizzo dell’impianto di controllo (oltre che delle informazioni assunte tramite di esso) sono determinate da finalità “esclusive” previste dalla legge, con la sola eventualità che “il provvedimento di autorizzazione” selezioni, “tra quelle teoricamente possibili, le funzionalità di controllo esercitabili dall’impianto” (M. MARAZZA, op. cit., in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016, pag. 16). Alcuna parte della dottrina ritiene che, di fatto, le finalità tipizzate dalla norma non introducano nel nostro ordinamento delle novità rispetto al vecchio dettato statutario e alla sua applicazione giurisprudenziale, se non per l’inserimento della tutela del patrimonio aziendale tra le ragioni oggettive legittimanti il controllo a distanza (ZOLI, Il controllo a distanza dell’attività dei lavoratori e la nuova struttura dell’art. 4 legge n. 300 / 1970, in Var. temi dir. Lav., 2016, 4).

In primo luogo, tale riferimento sembra dare un senso concreto all’eliminazione del divieto di utilizzare gli impianti per finalità di controllo dell’attività dei lavoratori (così come previsto dal vecchio testo dell’art. 4 St. lav.). Inoltre, il riferimento al patrimonio aziendale riconduce al primo comma i cc. dd. controlli difensivi (a favore R. DEL PUNTA, op. cit., in Riv. It. Dir. Lav., 2016, 1). La categoria dei controlli difensivi è stata creata dalla giurisprudenza per aggirare il divieto di controlli occulti e permettere al datore di lavoro di verificare il compimento, da parte dei dipendenti, di condotte illecite (sul piano extracontrattuale) lesive del patrimonio aziendale (tuttavia, come molte categorie giurisprudenziali, è stata utilizzata in modo creativo dalla giurisprudenza, tanto che parte della dottrina ha ritenuto “inevitabile” l’irrigidimento della disciplina legittimante tali controlli, cfr. C. ZOLI, op. cit., in Var. temi dir. Lav., 2016, 4, pag. 641). Essa comprende le attività di sorveglianza a distanza (quali ad esempio il monitoraggio degli accessi alla rete Internet o del sistema di posta elettronica aziendale) poste in essere per mezzo di strumenti tecnologici non allo scopo di verificare l’esatto adempimento delle obbligazioni contrattuali da parte dei lavoratori (in quanto tale tradizionalmente vietato dalla formulazione letterale dell’art. 4 dello Statuto dei lavoratori), bensì al fine di accertare la commissione di condotte illecite lesive del patrimonio aziendale ovvero pericolose per la sicurezza del luogo di lavoro (cfr., ex multis, Cassazione 3 aprile 2022, n. 4746, riguardante un controllo sull’utilizzo extraprofessionale della rete telefonica aziendale, ritenuto lecito in quanto strumentale alla tutela del patrimonio aziendale; Cassazione 27 maggio 2015, n. 10955, riguardante un caso di accesso all’account personale Facebook di un dipendente, ritenuto lecito in quanto strumentale alla tutela della sicurezza dello stabilimento messa a repentaglio dall’inceppamento di un macchinario verificatosi durante l’allontanamento ingiustificato del lavoratore).

Pertanto, inserendo i controlli difensivi nel primo comma dell’art. 4 St. lav., il legislatore ha optato per un irrigidimento delle condizioni richieste per la legittimità di tali controlli (in tale senso, M. MARAZZA, op. cit., in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016). Tuttavia, se i controlli difensivi, così come definiti inizialmente dalla giurisprudenza, rientrassero nell’art. 4, primo comma, si giungerebbe all’assurda conseguenza che non sarebbe possibile utilizzare ai fini disciplinari il furto di un lavoratore sul luogo di lavoro, tracciato dal sistema di videosorveglianza non autorizzato con le modalità del comma terzo (M. MARAZZA, op. cit., in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016). Per scongiurare tali conseguenze abnormi, la dottrina ha proposto un aggiornamento della nozione giurisprudenziale di controllo a distanza, ritenendo legittimo (anche in mancanza di autorizzazione) il controllo proporzionalmente orientato a evitare il rischio concreto (e attuale) di comportamenti di rilevanza penale dei propri dipendenti (cfr. M. MARAZZA, op. cit., in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016; V. MAIO, La nuova disciplina dei controlli a distanza sull’attività dei lavoratori e la modernità post panottica, in Arg. Dir. Lav., 2015, 6; in senso contrario E. BALETTI, I poteri del datore di lavoro tra legge e contratto, Relazione alle giornate di studio AIDLASS, Napoli, 16 – 17 giugno 2016, datt., pag. 40, secondo cui la possibilità che si verifichino condotte illecite - anche sul piano extracontrattuale - è “prevedibile ex ante e, quindi, conciliabile in linea di principio con l’assolvimento dei vincoli procedurali ex comma 1”). Inoltre, maggioritaria è la tesi secondo cui non è necessaria alcuna autorizzazione (sindacale o amministrativa) per l’utilizzazione di strumenti di controllo richiesti dalla legge, nel caso in cui l’imprenditore non abbia discrezionalità nella scelta delle modalità di adempimento (M. MARAZZA, op. cit., in WP C. S. D. L. E. “Massimo D’Antona”.IT, 300/2016; C. ZOLI, op. cit., in Var. temi dir. Lav., 2016, 4. È il caso dei dischi cronotachigrafi, anche se la loro esenzione dal comma primo può essere dedotta anche riconducendoli alla categoria degli strumenti di lavoro, così E. GRAGNOLI, op. cit., in Var. temi dir. Lav., 2016, 4).
4. Se il caso Bǎrbulescu fosse stato italiano?

Alla luce dell’analisi della sentenza Bǎrbulescu e della giurisprudenza della Corte Edu, oltre che della disciplina sui controlli a distanza del nostro ordinamento, è interessante chiedersi: cosa sarebbe successo se il Sig. Bǎrbulescu fosse stato un lavoratore italiano? Si potrebbe ugualmente dire che è stata violato il rispetto della sua vita familiare, oltre che della sua corrispondenza?

Nei paragrafi precedenti si è già sottolineata la differenza del nostro ordinamento sulla questione della conoscenza o conoscibilità dei divieti inseriti nel regolamento aziendale, pertanto sul punto la riflessione della Corte sarebbe stata certamente diversa. Il vero snodo della questione, tuttavia, risiede nella disciplina dell’art. 4 St. lav., ossia nella qualificazione dell’account “Yahoo Messenger” aziendale come strumento di controllo oppure strumento per rendere la prestazione. Trattandosi di un account aziendale che il lavoratore aveva creato per rispondere alle richieste dei clienti, si potrebbe affermare che esso sia uno strumento per svolgere la prestazione, riconducibile alla disciplina del secondo comma dell’art. 4 St. lav. (sul tema, è interessante la decisione del Garante per la protezione dei dati personali, 13 luglio 2016, n. web 5408460, che tenta una tipizzazione degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa: vi rientrerebbero anche il servizio di posta elettronica e di accesso a internet). Infatti, tale strumento e le sue potenzialità non erano semplicemente subite dal lavoratore, ma utilizzate in modo attivo per rendere la prestazione le mansioni a cui era adibito, in base alla organizzazione del lavoro determinata dal datore di lavoro. Tuttavia, nella lettura della sentenza si apprende che l’ingerenza ha riguardato sia un account aperto per conto del datore di lavoro, sia un account personale. In questo secondo caso l’accesso del datore di lavoro (ma, soprattutto, la lettura del contenuto delle conversazioni) dovrebbe essere nettamente precluso (venendo anche in rilievo il principio costituzionale – prima che della Convenzione Edu – della segretezza della corrispondenza). La preclusione non impedisce di dare rilevanza disciplinare al comportamento del lavoratore, infatti il comportamento (inviare mail private durante l’orario di lavoro) può essere permesso o vietato, ma nel secondo caso la mera conoscenza della violazione non richiede la verifica del contenuto dei messaggi scambiati.

In ogni caso, anche se l’account fosse uno strumento per rendere la prestazione, il controllo datoriale deve avvenire nel rispetto del decreto legislativo n. 196 del 2003, ovvero del c. d. Codice sulla privacy (ormai tale riferimento va esteso alla disciplina contenuta nel Regolamento della Unione Europea n. 679 del 2016). Il controllo datoriale (di per sé lecito) deve comunque rispettare i principi di necessità, correttezza, pertinenza, trasparenza e non eccedenza a pena di inutilizzabilità dei dati raccolti. Inoltre, è necessaria un’autorizzazione generica al trattamento dei dati sensibili nei rapporti di lavoro, oltre che una informativa specifica circa le modalità di effettuazione dei controlli.

Pertanto, i quesiti sono duplici. Il primo è procedurale e riguarda l’adeguatezza delle modalità del controllo e il rispetto della privacy del dipendente. Il secondo è sostanziale e riguarda le conseguenze del comportamento lesivo della regola posta dal datore di lavoro. La Corte nella sentenza Bǎrbulescu sembra suggerire che le norme disciplinare dettate dal datore di lavoro non possano annullare in toto la vita privata del lavoratore sul posto di lavoro (cfr. anche la decisione del Garante della privacy, 22 dicembre 2016, n. web 5958296, nella quale si parla di “legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti, nonché dei terzi”). Pertanto, la lettura del contenuto delle conversazioni potrebbe comunque rilevare come violazione del diritto della privacy, soprattutto per quanto riguarda l’account privato. Diversamente, per quanto riguarda l’account aziendale, bisognerebbe analizzare meglio le modalità di svolgimento delle conversazioni, se fossero aperte anche ad altri soggetti, se fossero archiviate e per quanto tempo ecc., per valutare se la lettura del contenuto abbia violato o meno la privacy del dipendente stesso.

Per valutare la legittimità del licenziamento, ci si dovrebbe chiedere se esiste “una misura minima di libera disponibilità dello strumento informatico da parte del lavoratore, che non può costituire oggetto di sanzione” e che, quindi, risulta un “diritto incomprimibile del lavoratore” (M. DALLACASA, Controlli su strumenti informatici dopo la sentenza Barbulescu del 2017 della Cedu, in Lavoro nella giurisprudenza, 2018, 5, pag. 441). In dottrina si è proposto di assimilare il moderato utilizzo di internet e della posta elettronica alle due chiacchiere fatte con i colleghi sul luogo di lavoro e si è escluso che il lavoratore possa essere licenziato per avere spedito due o tre mail con la posta elettronica aziendale (R. DEL PUNTA, op. cit., in Riv. It. Dir. Lav., 2016, 1, pag. 106). Secondo questa teoria, se il numero di e – mail private inviate dal Sig. Bǎrbulescu non fosse esorbitante, il licenziamento potrebbe risultare un provvedimento sproporzionato rispetto alla condotta tenuta dal lavoratore stesso.

In conclusione, si può immaginare che, nonostante la disciplina di maggior favore alla parte datoriale (ossia, il secondo comma dell’art. 4 St. lav.), la lettura delle conversazioni private del Sig. Bǎrbulescu sarebbe stata rilevata una violazione della privacy del lavoratore e, pertanto, le notizie apprese tramite il controllo non avrebbero potuto essere utilizzate a fini disciplinari. Di fatto, la sentenza Bǎrbulescu pone dei principi utilizzabili anche nell’ordinamento italiano sul tema della compenetrazione tra la disciplina della privacy e quella giuslavoristica, puntualizzando (ancora una volta) l’importanza della tutela della vita privata del dipendente che, pertanto, può essere sottoposta ad ingerenza da parte del datore di lavoro solo in casi eccezionali.