Nella sua recente decisione sul caso Bărbulescu contro Romania, la Grande Camera della Corte EDU ha dichiarato che la Romania ha violato l'articolo 8 della Convenzione Europea sui Diritti dell'Uomo, non essendo riuscita a garantire un equilibrio tra il diritto alla privacy del lavoratore e il diritto di proteggere i propri interessi da parte del datore di lavoro.

I fatti

Bogdan Bărbulescu lavorava in una società di vendita a Bucarest. Uno dei suoi compiti era quello di creare e gestire un account yahoo per gli utenti del servizio - Facebook non era ancora diffuso.

Era lui che gestiva l’account. Aveva la password e pensava di essere l’unico a conoscerla e ad utilizzarla. Secondo i dati citati nella sentenza della Grande Camera, Bărbulescu avrebbe scoperto che l’azienda monitorava la corrispondenza dei dipendenti solo nel 2007, quando una dipendente è stata umiliata pubblicamente e poi licenziata per aver utilizzato telefono e stampante aziendali a fini personali.

Qualche tempo dopo, Bărbulescu è stato chiamato dai suoi supervisori e rimproverato per aver usufruito di internet molto più di suoi colleghi. Alle accuse ha replicato che lo stava facendo per motivi di lavoro.

In tutta risposta il suo supervisore gli ha mostrato 40 pagine di conversazioni trascritte dal suo account yahoo privato, che riportavano scambi con la sua ragazza e con il fratello. Bărbulescu ha accusato l’azienda di aver violato il suo diritto alla privacy. Alla fine è stato licenziato.

Procedimenti nazionali

Bogdan Bărbulescu ha cercato il sostegno delle autorità giudiziarie romene, lamentando la violazione dei suoi diritti. Ma il sistema giudiziario rumeno ha confermato che era stato licenziato legalmente e che il suo datore aveva rispettato il codice del lavoro e tutte le altre normative esistenti, dal momento che era stato informato di essere monitorato durante l’utilizzo del computer e della connessione internet aziendale. A parere dei giudici, tale monitoraggio era uno degli strumenti dell'azienda per proteggersi contro gli attacchi informatici o potenziali frodi da parte dei dipendenti.

Nel 2008, dopo aver esaurito tutte le vie legali disponibili in Romania, Bărbulescu ha presentato un ricorso alla CEDU, che nella prima decisione del 2016 ha confermato in parte le decisioni dei giudice rumeni. Tuttavia, il processo è stato rinviato alla Grande Camera, che, il 5 settembre 2017, ha deciso che per poter fare quello che ha fatto, l’impresa deve soddisfare determinate condizioni. Allo stesso tempo, gli Stati devono adottare misure specifiche per garantire che i diritti dei lavoratori siano rispettati anche in tali situazioni.

In un articolo pubblicato da hotnews.com, i legali che hanno rappresentato Bărbulescu alla Grande Camera della Corte EDU, Emeric Domokos-Hancu e Ovidiu Juverdeanu, hanno elencato ciò a cui i datori di lavoro devono prestare attenzione se intendono monitorare i loro dipendenti:

• non è sufficiente avere una politica generale (come un regolamento interno) che prevede un divieto generale sull’utilizzo delle risorse dell'azienda da parte degli impiegati né informare in maniera generica gli impiegati del monitoraggio della loro corrispondenza mail e/o di altre comunicazioni

• L’informazione ai dipendenti e/o la politica aziendale su questo tema devono essere personalizzate e chiare circa la natura del monitoraggio, e dovrebbero essere dettagliate in modo tale da indicare almeno i seguenti elementi:

• se viene monitorato solo il flusso della corrispondenza o anche i suoi contenuti;
• se vengono monitorati tutti i tipi di comunicazione o solo una parte di queste;
• se il monitoraggio è limitato nel tempo e chi sono le persone che hanno accesso a tali comunicazioni;
• le conseguenze del monitoraggio per i dipendenti coinvolti;
• l’uso dei dati del monitoraggio da parte del datore di lavoro.

• Il datore di lavoro dovrebbe giustificare ed esprimere un motivo legittimo per monitorare tali dati. A causa della natura sensibile della corrispondenza, la Corte ha sottolineato che monitorare il contenuto della corrispondenza richiede un'argomentazione appropriata da parte del datore di lavoro.

• Un motivo/interesse teorico come la generale esigenza dell’azienda di proteggere il proprio sistema informatico o l'eventuale responsabilità della società in atti illeciti non possono, a parere della Corte, essere un motivo/interesse sufficiente.

• I datori di lavoro devono essere consapevoli che un generale preavviso sul monitoraggio, anche all'interno del regolamento aziendale, non necessariamente soddisfa la condizione di avere un vero e proprio e particolare motivo/interesse. Quindi, i datori di lavoro, per soddisfare il requisito di preavviso, possono essere tenuti a dimostrare il reale motivo/interesse prima di avviare il monitoraggio delle comunicazioni dei dipendenti.

• Il datore di lavoro deve valutare alla luce delle peculiarità di ciascun caso se lo scopo perseguito può essere raggiunto senza effettivamente accedere al pieno contenuto delle comunicazioni dei dipendenti.

Commentando sul suo personal blog la decisione della Grande Camera, Bogdan Manolea, un legale specializzato in tecnologia informatica e diritti digitali, ha sottolineato il ruolo dello Stato in questi casi:

1. In primo luogo, gli Stati (inclusa la Romania) hanno l'obbligo di garantire che un datore di lavoro non possa monitorare il proprio dipendente solo perché lo desidera e senza fornire adeguate garanzie contro gli abusi. Allo stesso tempo, esiste un largo margine di valutazione da parte degli Stati per spiegare come possano essere soddisfatti tali obblighi – a partire dal quadro normativo specifico fino alla giurisprudenza dei tribunali (compresa quella in materia di diritto del lavoro – per dettagli vedi paragrafi 113-120 della sentenza).
2. Secondariamente, la CEDU prevede nel paragrafo 121 sei criteri che costituiscono il minimo comune denominatore necessario per valutare la proporzionalità e stabilire le garanzie in caso di monitoraggio degli impiegati:

1. notifica preventiva al dipendente, inclusa la natura del monitoraggio e la tempistica dell'attuazione delle misure;
2. proporzionalità del monitoraggio e del livello di intrusione nella privacy del dipendente, inclusi i dettagli sul traffico dati, sul contenuto o sulle coordinate di posizione;
3. Se è necessario l'accesso al contenuto delle comunicazioni, individuare i motivi legittimi per cui tale misura è necessaria;
4. possibilità di attuare un sistema di monitoraggio meno intrusivo;
5. conseguenze del monitoraggio e garanzia che i risultati non vengano utilizzati per altri scopi;
6. sufficienti tutele per i lavoratori, in particolare per quanto riguarda l'accesso ai contenuti delle comunicazioni.

Per Bogdan Manolea sarà fondamentale per i tribunali applicare correttamente la decisione: "Siccome il mercato è pieno di possibilità di sorveglianza elettronica (non solo dei dipendenti), in cui la maggior parte dei soggetti coinvolti (produttori o venditori o consulenti) "dimentica" che tali possibilità possono essere utilizzate solo in determinate condizioni giuridiche, sarà fondamentale che i tribunali applichino correttamente la decisione della Corte EDU e che le autorità competenti facciano la loro parte nell’applicare la legge sulla protezione dei dati personali dell'UE - GDPR per un sistema giuridico che sia funzionale e che non esista solo su carta ".