Il tema dell’uso della posta elettronica e della navigazione internet nell’ambito lavorativo ha natura complessa, poiché vertendo sulla tutela dei valori costituzionali di libertà e di dignità del lavoratore, coinvolge sia la norma sul divieto di controllo a distanza ex art. 4 L. 300/1970, sia i profili di tutela della privacy e del trattamento dei dati personali di cui al Codice della Privacy e successivo provvedimento del Garante per la Privacy, delibera n. 13 del 1 marzo 2007, recante le Linee guida su posta elettronica e internet ( provvedimento del 29/04/2009 sul divieto di controllo dell’accesso a internet dei lavoratori da parte datoriale, se non per necessarie esigenze aziendali in riferimento alle previsioni ex art. 4 Stat. Lav.).
1) Orientamenti giurisprudenziali in tema di privacy sul luogo di lavoro
La Giurisprudenza maggioritaria è orientata nel qualificare la posta elettronica aziendale e la connessione internet quali strumenti/mezzi di lavoro, messi a disposizione del dipendente dal datore di lavoro per lo svolgimento della prestazione lavorativa. Di conseguenza, al di là dell'uso solo apparentemente personale dell'indirizzo di posta elettronica aziendale da parte del dipendente quale principale utilizzatore, la titolarità esclusiva dell’account rimane di dominio aziendale, pertanto, può sempre essere accessibile a soggetti diversi, appartenenti alla stessa impresa.
Tuttavia, l’accesso alla casella di posta elettronica del dipendente rientra tra le forme di controllo a distanza lesive dei diritti propri del lavoratore, eccetto che non sia inquadrabile come modalità di “controllo difensivo”, ritenuto ammissibile per la riconosciuta e prevalente esigenza datoriale di prevenire o reprimere gli illeciti commessi dal lavoratore in danno dell’impresa, a tutela del patrimonio e dell’immagine aziendale. Sul punto, la Suprema Corte di Cassazione nella sentenza del 23 febbraio 2012, n. 2722 ha statuito l’inapplicabilità al caso di specie dell’articolo 4 Stat. Lav., poiché trattandosi di controllo difensivo realizzato ex post sulle strutture informatiche aziendali, prescinde dalla pura e semplice sorveglianza sull'esecuzione della prestazione lavorativa del dipendente, essendo finalizzato all’accertamento di eventuali reiterati comportamenti illeciti atti a porre in pericolo la immagine stessa della società datrice presso terzi.
Sono ritenute vietate dalla giurisprudenza :
• la lettura e la registrazione sistematica dei messaggi di posta elettronica, ovvero dei relativi dati esteriori, salvo quanto tecnicamente necessario per svolgere il servizio e-mail;
• la riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
• la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo e
• l’analisi occulta di computer portatili in uso.
Per quanto concerne la tutela della privacy e il trattamento dei dati personali, sulla base delle disposizioni contenute nelle Linee Guida del Garante della Privacy, in capo al datore di lavoro sussiste l’onere di redigere, in modo chiaro e senza formule generiche, una policy disciplinare interna atta a regolamentare il corretto uso dei mezzi di informatici e le forme di controllo, soggetta ad adeguato regime di pubblicità aziendale e ad aggiornamento periodico. In particolare, tale protocollo disciplinare sull’uso della posta elettronica e di internet deve contenere l’indicazione specifica dei comportamenti ammessi rispetto all’accesso internet e alla tenuta dei files; del consenso aziendale alla navigazione privata; del potere di controllo, ordinario e straordinario, e delle relative modalità di esercizio; delle caratteristiche di trattamento dei dati sensibili acquisiti; e delle sanzioni disciplinari applicabili nel caso di indebito utilizzo degli strumenti informatici.
Il Garante della Privacy è intervenuto più volte sull’argomento del trattamento dei dati sensibili acquisiti nel corso dei controlli aziendali, in merito, si ritengono di particolare evidenza le decisioni del 02 febbraio 2006 e del 02 aprile 2008 , in cui l’Autorità Garante ha stabilito che qualora venga accertato l’uso illegittimo del computer e in particolare del trattamento dei dati internet in violazione del principio di non eccedenza, è da ritenersi illegittimo il monitoraggio del contenuto dei siti visitati, idoneo a rilevare dati sensibili, poiché ai fini della sanzionabilità dell’infrazione disciplinare è sufficiente accertare l’illegittimità dell’uso personale, senza rilevare i dettagli sensibili specifici dell’uso. Infatti, in base al Codice della Privacy ai controlli, che presuppongono inevitabilmente il trattamento di dati personali, vanno applicate le regole previste dallo stesso codice e i principi generali ivi contenuti, quali la liceità, l’esattezza, la pertinenza e la non eccedenza rispetto alle finalità ex art. 11 Codice della Privacy .
Ne consegue, che a pena di inutilizzabilità, i dati oggetto del trattamento dovranno essere pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti ex art. 11, comma II Codice della Privacy.