© Ministero della Giustizia, Direzione generale del contenzioso e dei diritti umani.
Permission to re-publish this translation has been granted by the Italian Ministry of Justice for the sole purpose of its inclusion in the Court’s database HUDOC
GRANDE CAMERA
CAUSA BĂRBULESCU c. ROMANIA
(Ricorso n. 61496/08)
SENTENZA
STRASBURGO
5 settembre 2017
La presente sentenza è definitiva ma può subire modifiche di forma.
Nella causa Bărbulescu c. Romania,
la Corte europea dei diritti dell’uomo, riunita in una Grande Camera composta da:
Guido Raimondi, Presidente,
Angelika Nußberger,
Mirjana Lazarova Trajkovska, giudici,
Luis López Guerra, giudice ad hoc,
Ledi Bianku,
Işıl Karakaş,
Nebojša Vučinić,
André Potocki,
Paul Lemmens,
Dmitry Dedov,
Jon Fridrik Kjølbro,
Mārtiņš Mits,
Armen Harutyunyan,
Stéphanie Mourou-Vikström,
Georges Ravarani,
Marko Bošnjak,
Tim Eicke, giudici,
e Søren Prebensen, cancelliere aggiunto della Grande Camera,
dopo aver deliberato in camera di consiglio in data 30 novembre 2016 e 8 giugno 2017,
pronuncia la seguente sentenza, adottata nell’ultima data menzionata:
PROCEDURA
1. All’origine della causa vi è un ricorso (n. 61496/08) proposto contro la Romania con il quale in data 15 dicembre 2008 un cittadino romeno, il Sig. Bogdan Mihai Bărbulescu (“il ricorrente”), ha adito la Corte ai sensi dell’articolo 34 della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali ("la Convenzione").
2. Il ricorrente è stato rappresentato dagli avvocati E. Domokos-Hâncu e O. Juverdeanu, del foro di Bucarest. Il Governo romeno (“il Governo”) è stato rappresentato dal suo agente, Sig.ra C. Brumar, del Ministero degli Affari esteri.
3. Il ricorrente ha lamentato, in particolare, che la decisione del datore di lavoro di risolvere il suo contratto era stata basata sulla violazione del suo diritto al rispetto della sua vita privata e della sua corrispondenza sancito dall’articolo 8 della Convenzione e che i tribunali interni non avevano osservato l’obbligo di tutelare tale diritto.
4. Il ricorso è stato assegnato alla Quarta Sezione della Corte (articolo 52 § 1 del Regolamento della Corte). Il 12 gennaio 2016 una Camera di tale Sezione, composta da András Sajó, presidente, Vincent A. De Gaetano, Boštjan M. Zupančič, Nona Tsotsoria, Paulo Pinto de Albuquerque, Egidijus Kūris e Iulia Motoc, giudici, e Fatoş Aracı, cancelliere aggiunto di sezione ha dichiarato all’unanimità ricevibile la doglianza ai sensi dell’articolo 8 della Convenzione e irricevibile il resto del ricorso. Ha ritenuto, con sei voti contro uno, che non vi fosse stata violazione dell’articolo 8 della Convenzione. Alla sentenza della Camera è stata allegata l’opinione dissenziente del giudice Pinto de Albuquerque.
5. Il 12 aprile 2016 il ricorrente ha chiesto la rimessione della causa alla Grande Camera in conformità all’articolo 43 della Convenzione e all’articolo 73 del Regolamento. Il 6 giugno 2016 un collegio della Grande Camera ha accolto la richiesta.
6. La composizione della Grande Camera è stata determinata in conformità all’articolo 26 §§ 4 e 5 della Convenzione e all’articolo 24 del Regolamento. Iulia Motoc, giudice eletto in relazione alla Romania, ha rinunciato a partecipare all’esame della causa (articolo 28 del Regolamento). Il Presidente ha conseguentemente nominato Luis López Guerra giudice ad hoc (articolo 26 § 4 della Convenzione e articolo 29 § 1 del Regolamento).
7. Il ricorrente e il Governo hanno presentato ciascuno ulteriori osservazioni scritte (articolo 59 § 1 del Regolamento ).
8. Sono inoltre pervenuti commenti da parte del Governo francese e della Confederazione europea dei sindacati, autorizzati entrambi dal Presidente a intervenire nella procedura scritta (articolo 36 § 2 della Convenzione e articolo 44 § 3 del Regolamento) .
9. Il 30 novembre 2016 si è svolta una pubblica udienza a Strasburgo nel Palazzo dei diritti dell’uomo (articolo 59 § 3 del Regolamento).
Sono comparsi dinanzi alla Corte:
a) per il Governo
I SIGNORI
C. BRUMAR, Agente,
G.V. GAVRILĂ, magistrato distaccato presso il Dipartimento dell’Agente del Governo, Avvocato,
L.A. RUSU, ministro plenipotenziario, Rappresentanza permanente della Romania presso il Consiglio d’Europa, Consulente;
b) per il ricorrente
I SIGNORI
E. DOMOKOS-HÂNCU,
O. JUVERDEANU, Avvocati
La Corte ha ascoltato le dichiarazioni dei Sigg. Domokos-Hâncu, Juverdeanu, Brumar e Gavrilă, nonché le loro risposte alle domande poste dai giudici.
IN FATTO
I. LE CIRCOSTANZE DEL CASO DI SPECIE
10. Il ricorrente è nato nel 1979 e vive a Bucarest.
11. Dal 1 agosto 2004 al 6 agosto 2007 è stato impiegato nell’ufficio di Bucarest della S., una società privata romena (“il datore di lavoro”), in qualità di ingegnere delle vendite. Su richiesta del datore di lavoro, al fine di rispondere alle richieste di informazioni dei clienti, ha creato un account di messaggistica istantanea utilizzando Yahoo Messenger, un servizio di chat online che offre la trasmissione di messaggi in internet in tempo reale. Possedeva già un altro account personale su Yahoo Messenger.
12. Il regolamento interno del datore di lavoro proibiva l’utilizzo di beni della società da parte dei dipendenti nei seguenti termini:
Articolo 50
“È severamente vietato turbare l’ordine e la disciplina nei locali della società, in particolare:
(...)
- (...) l’uso personale di computer, fotocopiatrici, telefoni, telex o fax.”
13. Il regolamento non conteneva alcun riferimento alla facoltà del datore di lavoro di controllare le comunicazioni dei dipendenti.
14. Dalla documentazione presentata dal Governo risulta che il ricorrente era stato informato del regolamento interno del datore di lavoro e che il 20 dicembre 2006 ne aveva firmato una copia, dopo aver preso conoscenza del suo contenuto.
15. Il 3 luglio 2007 l’ufficio di Bucarest ricevette e diffuse tra tutti i dipendenti un avviso che era stato redatto e inviato dalla sede centrale di Cluj il 26 giugno 2007. Il datore di lavoro chiese ai dipendenti di prendere conoscenza dell’avviso e di firmarne una copia. Le parti rilevanti dell’avviso recitano:
“1. (...) Il tempo trascorso nella società deve essere tempo di qualità per tutti! Vieni al lavoro per occuparti di questioni aziendali e professionali e non dei tuoi problemi personali! Non passare il tempo a utilizzare internet, il telefono o il fax per questioni estranee al lavoro o ai tuoi doveri. Questo è ciò che dettano [l’istruzione elementare],
il buon senso e la legge! Il datore di lavoro ha il dovere di sorvegliare e controllare il lavoro dei dipendenti e di adottare misure punitive contro chiunque sia in difetto!
La tua cattiva condotta sarà attentamente controllata e punita!
2. A causa di ripetute violazioni [disciplinari] nei confronti del suo superiore, [nonché dell’uso privato che faceva di internet, del telefono e della fotocopiatrice, della sua negligenza e della sua incapacità di svolgere le sue funzioni, la Sig.ra B.A. è stata licenziata per motivi disciplinari! Che il suo cattivo esempio ti sia di lezione! Non commettere gli stessi errori!
3. Leggi attentamente il contratto collettivo di lavoro, il regolamento interno della società, la descrizione del tuo lavoro e il contratto di lavoro che hai firmato! Queste sono le basi della nostra collaborazione! Tra datore di lavoro e dipendente! (...)”
16. Dalla documentazione presentata dal Governo, comprendente il registro delle presenze tenuto dal datore di lavoro, risulta inoltre che il ricorrente prese conoscenza della comunicazione e la firmò tra il 3 e il 13 luglio 2007.
17. Risulta inoltre che dal 5 al 13 luglio 2007 il datore di lavoro registrò le comunicazioni del ricorrente su Yahoo Messenger in tempo reale.
18. Il ricorrente fu convocato dal datore di lavoro alle ore 16.30 del 13 luglio 2007 per fornire una spiegazione. Nella pertinente comunicazione fu informato che le sue comunicazioni su Yahoo Messenger erano state controllate e che era provato che avesse utilizzato internet per fini personali, in violazione del regolamento interno. Erano allegati i tabulati che dimostravano che la sua attività in internet era maggiore di quella dei suoi colleghi. In tale fase non gli fu comunicato se il controllo delle sue comunicazioni avesse riguardato anche il contenuto delle stesse. L’avviso era formulato come segue:
“È pregato di spiegare perché utilizza beni della società (connessione internet, Messenger) per scopi personali durante l’orario di lavoro, come è dimostrato dai tabulati allegati.”
19. In pari data il ricorrente comunicò per iscritto al datore di lavoro che aveva utilizzato Yahoo Messenger unicamente per finalità connesse al lavoro.
20. Il datore di lavoro lo convocò nuovamente alle 17.20 perché fornisse una spiegazione mediante una comunicazione formulata come segue:
“È pregato di spiegare perché l’intera corrispondenza che ha scambiato tra il 5 e il 12 luglio 2007 utilizzando l’identificativo del sito [internet] della S. di Bucarest aveva finalità private, come dimostrano le quarantacinque pagine allegate.”
21. Le quarantacinque pagine menzionate nella comunicazione consistevano nella trascrizione di messaggi che il ricorrente aveva scambiato con il fratello e con la fidanzata nel corso del periodo in cui era stato sottoposto a controllo; i messaggi concernevano questioni personali e alcuni erano di carattere intimo. La trascrizione comprendeva anche cinque messaggi che il ricorrente aveva scambiato con la fidanzata utilizzando il suo account personale di Yahoo Messenger; tali messaggi non contenevano informazioni riservate.
22. Il 13 luglio il ricorrente comunicò inoltre per iscritto al datore di lavoro che, a suo avviso, egli aveva commesso un reato, ovvero la violazione della segretezza della corrispondenza.
23. Il 1o agosto 2007 il datore di lavoro risolse il contratto di lavoro del ricorrente.
24. Il ricorrente impugnò il licenziamento presentando ricorso al Tribunale della Contea di Bucarest (“il Tribunale della Contea”). Chiese in primo luogo al Tribunale di annullare il licenziamento; in secondo luogo di ordinare al datore di lavoro di pagargli le somme che gli doveva in relazione ai salari e a ogni altro diritto e di reintegrarlo nel posto di lavoro; in terzo luogo di ordinare al datore di lavoro di versargli 100.000 lei romeni (circa 30.000 euro) a titolo di danno per il pregiudizio causatogli dalle modalità di licenziamento, e di rimborsargli le spese che aveva sostenuto.
25. In ordine al merito, invocando la sentenza Copland c. Regno Unito (n. 62617/00, §§ 43-44, CEDU 2007-I), affermò che le comunicazioni telefoniche e di posta elettronica del dipendente nel luogo di lavoro rientravano nelle nozioni di "vita privata" e di "corrispondenza" ed erano pertanto tutelate dall’articolo 8 della Convenzione. Sostenne inoltre che la decisione di licenziarlo era illegittima e che, controllando le sue comunicazioni e accedendo al loro contenuto, il datore di lavoro aveva violato il diritto penale.
26. Con riguardo specificatamente al danno che affermava di aver subito, il ricorrente rimarcò le modalità del suo licenziamento e affermò di essere stato oggetto di molestie da parte del datore di lavoro, commesse mediante il controllo delle sue comunicazioni e la divulgazione del loro contenuto “a colleghi che erano in un modo o nell’altro coinvolti nel procedimento di licenziamento”.
27. Il ricorrente presentò prove che comprendevano la copia integrale della trascrizione delle sue comunicazioni mediante Yahoo Messenger e una copia dell’avviso (si veda il paragrafo 15 supra).
28. Con sentenza del 7 dicembre 2007 il Tribunale della Contea rigettò il ricorso del ricorrente e confermò la legittimità del suo licenziamento. Le parti pertinenti della sentenza recitano:
“La procedura di svolgimento di un’indagine disciplinare è espressamente disciplinata dalle disposizioni dell’articolo 267 del Codice del lavoro.
Nel caso di specie è stato dimostrato, mediante la documentazione scritta acquisita al fascicolo, che il datore di lavoro ha svolto l’indagine disciplinare nei confronti del ricorrente convocandolo due volte per iscritto affinché si spiegasse [e] specificando l’oggetto, la data, l’ora e il luogo del colloquio e che il ricorrente ha avuto la possibilità di presentare argomenti a sua difesa in ordine agli atti che aveva asseritamente commesso, come risulta dalle due note esplicative inserite nel fascicolo (si vedano le copie ai fogli 89 e 91).
Il tribunale ritiene che nel caso di specie il controllo delle conversazioni via internet cui il dipendente ha partecipato utilizzando il software Yahoo Messenger del computer della società durante l’orario di lavoro, a prescindere dalla illegalità o meno delle azioni del datore di lavoro ai sensi del diritto penale, non possa compromettere la validità del procedimento disciplinare.
Il fatto che le disposizioni che fanno obbligo di interrogare l’indagato (învinuitul) in caso di asserita cattiva condotta e di esaminare gli argomenti presentati a difesa di tale persona prima della decisione relativa alla sanzione siano espresse in termini imperativi sottolinea l’intenzione del legislatore di prevedere che il rispetto dei diritti della difesa debba essere un requisito preliminare per la validità della decisione relativa alla sanzione.
Nella fattispecie, poiché nel corso dell’indagine preliminare il dipendente ha sostenuto di non aver utilizzato Yahoo Messenger per fini personali, bensì al fine di consigliare i clienti sui prodotti venduti dal suo datore di lavoro, il Tribunale ritiene che un’ispezione del contenuto delle conversazioni del [ricorrente] costituisse l’unico modo in cui il datore di lavoro avrebbe potuto accertare la validità dei suoi argomenti.
Il diritto del datore di lavoro di controllare (monitoriza) i dipendenti nel luogo di lavoro, [in particolare] per quanto riguarda l’uso che fanno dei computer della società, fa parte del più ampio diritto, disciplinato dalle disposizioni dell’articolo 40 lettera d) del Codice del lavoro, di controllare le modalità con cui i dipendenti svolgono i loro compiti professionali.
Essendo stato dimostrato che era stata attirata l’attenzione dei dipendenti sul fatto che, poco prima della sanzione disciplinare del ricorrente, un’altra dipendente era stata licenziata per aver usato internet, il telefono e la fotocopiatrice per fini personali e che i dipendenti erano stati avvertiti del fatto che le loro attività erano sottoposte a controllo (si veda la comunicazione n. 2316 del 3 luglio 2007, che il ricorrente aveva firmato [dopo] averne preso conoscenza – si veda la copia sul foglio 64), il datore di lavoro non può essere accusato di dimostrare mancanza di trasparenza e di non aver avvertito chiaramente i dipendenti del fatto che stava controllando l’uso che facevano del computer.
L’accesso a internet nel luogo di lavoro è soprattutto uno strumento che il datore di lavoro mette a disposizione dei dipendenti al fine dell’uso professionale, e il datore di lavoro ha indiscutibilmente la facoltà, in virtù del suo diritto di sorvegliare le attività dei dipendenti, di controllare l’uso personale di internet.
Tali controlli da parte del datore di lavoro sono resi necessari, per esempio, dal rischio che mediante l’utilizzo di internet, i dipendenti possano danneggiare i sistemi informatici dell’azienda, svolgere attività illegali nel cyberspazio, che potrebbero comportare la responsabilità della società, o divulgare i segreti commerciali della società.
Il Tribunale ritiene che gli atti commessi dal ricorrente costituiscano un’infrazione disciplinare ai sensi dell’articolo 263 § 2 del Codice del lavoro in quanto equivalgono alla violazione colposa delle disposizioni dell’articolo 50 del regolamento interno della società S. (...), che proibiscono l’uso del computer per fini personali.
Il regolamento interno considera i summenzionati atti una grave negligenza, punita, ai sensi dell’articolo 73 del medesimo regolamento interno, mediante la risoluzione del contratto di lavoro per motivi disciplinari.
Visti i suesposti rilievi fattuali e giuridici, il Tribunale ritiene che la decisione contestata sia fondata e legittima e rigetta il ricorso in quanto infondato.”
29. Il ricorrente propose appello alla Corte di appello di Bucarest ("la Corte di appello"). Ripeté i rilievi che aveva presentato al Tribunale di primo grado e sostenne inoltre che tale Tribunale non era pervenuto a un giusto equilibrio degli interessi in gioco, conferendo ingiustamente priorità all’interesse del datore di lavoro a poter controllare a sua discrezione il tempo e i beni utilizzati dai suoi dipendenti. Affermò inoltre che né il regolamento interno né l’avviso indicavano minimamente che il datore di lavoro avesse la facoltà di controllare le comunicazioni dei dipendenti.
30. La Corte di appello respinse l’appello del ricorrente con sentenza del 17 giugno 2008, le cui parti pertinenti recitano:
“Il Tribunale di primo grado ha giustamente concluso che internet è uno strumento che il datore di lavoro mette a disposizione dei dipendenti al fine dell’uso professionale e che il datore di lavoro ha il diritto di stabilire le regole per utilizzare tale strumento, prevedendo divieti e disposizioni che i dipendenti devono osservare quando utilizzano internet nel luogo di lavoro; è chiaro che l’uso personale può essere rifiutato, e che nel caso di specie i dipendenti erano stati debitamente informati di ciò mediante un avviso emesso il 26 giugno 2007 in conformità alle disposizioni del regolamento interno, con il quale hanno ricevuto le istruzioni di osservare l’orario di lavoro, di essere presenti nel luogo di lavoro [durante tale orario e] di utilizzare in modo efficace il tempo trascorso al lavoro.
In conclusione, il datore di lavoro che ha fatto un investimento ha il diritto, nell’esercizio dei diritti sanciti dall’articolo 40 § 1 del Codice del lavoro, di controllare l’uso di internet nel luogo di lavoro e il dipendente che viola le regole fissate dal datore di lavoro in relazione all’uso personale di internet commette un’infrazione disciplinare che può dar luogo a una sanzione, compresa la più grave.
Vi è indubbiamente un conflitto tra il diritto del datore di lavoro di svolgere un controllo e il diritto dei dipendenti alla protezione della loro privacy. Tale conflitto è stato risolto a livello di Unione europea mediante l’adozione della Direttiva n. 95/46/CE, che ha stabilito diversi principi che disciplinano il controllo di internet e l’uso della posta elettronica nel luogo di lavoro, tra cui in particolare i seguenti.Principio di necessità: il controllo deve essere necessario per conseguire un determinato obiettivo.Principio di finalità: i dati devono essere raccolti per scopi determinati, espliciti e legittimi.Principio di trasparenza: il datore di lavoro deve fornire ai dipendenti informazioni complete sulle operazioni di controllo.Principio di legittimità: le operazioni di trattamento dei dati possono aver luogo soltanto per uno scopo legittimo.Principio di proporzionalità: i dati personali oggetto di controllo devono essere pertinenti e adeguati in relazione allo scopo specificato.Principio di sicurezza: il datore di lavoro è tenuto ad adottare ogni possibile misura di sicurezza per garantire che i dati raccolti non siano accessibili a terzi.
In considerazione del fatto che il datore di lavoro ha il diritto e il dovere di assicurare il buon andamento della società e ha, a tal fine, [il diritto] di vigilare sulle modalità con cui i dipendenti svolgono i compiti professionali, e del fatto che egli gode di poteri disciplinari che può legittimamente utilizzare e che [lo hanno autorizzato nel caso di specie] a controllare e trascrivere le comunicazioni su Yahoo Messenger che il dipendente ha negato di aver scambiato per scopi personali, dopo che egli e i suoi colleghi erano stati avvertiti del fatto che i beni della società non dovevano essere utilizzati per tali scopi, non si può sostenere che tale legittimo scopo avrebbe potuto essere conseguito con altri mezzi diversi dalla violazione della segretezza della sua corrispondenza, o che non sia stato raggiunto un giusto equilibrio tra la necessità di proteggere la privacy [del dipendente] e il diritto del datore di lavoro di controllare il funzionamento dell’impresa.
(...)
Pertanto, alla luce delle suesposte considerazioni, la Corte ritiene che la decisione del tribunale di primo grado sia legittima e fondata e che l’appello sia infondato; deve pertanto essere respinto, in conformità alle disposizioni dell’articolo 312 § 1 del Codice di [procedura] civile.”
31. Nel frattempo, il 18 settembre 2007, il ricorrente aveva sporto denuncia contro i rappresentanti legali della S., allegando la violazione della segretezza della sua corrispondenza. Il 9 maggio 2012 la Direzione per le indagini in materia di criminalità organizzata e terrorismo (DIICOT) della Procura presso la Corte suprema di cassazione e giustizia stabilì che il fatto non sussisteva, in quanto la società era proprietaria del sistema informatico e della connessione internet e poteva pertanto controllare l’attività dei propri dipendenti in internet e utilizzare le informazioni memorizzate sul server, e in considerazione del divieto di utilizzo personale dei sistemi informatici, in conseguenza del quale il controllo era stato prevedibile. Il ricorrente non si avvalse dell’opportunità prevista dalle norme processuali applicabili per contestare nei tribunali nazionali la decisione della Procura.
II. IL DIRITTO INTERNO PERTINENTE
A. La Costituzione
32. Le parti pertinenti della Costituzione romena prevedono:
Articolo 26
“1. Le autorità pubbliche devono rispettare e proteggere la vita intima, familiare e privata .”
Articolo 28
“La segretezza delle missive, dei telegrammi, delle altre comunicazioni postali, delle conversazioni telefoniche o effettuate con qualsiasi altro legittimo mezzo di comunicazione è inviolabile.”
B. Il codice penale
33. Le parti pertinenti del codice penale vigente all’epoca dei fatti recitano:
Articolo 195 - Violazione della segretezza della corrispondenza
“1. Chiunque apra illegittimamente la corrispondenza diretta a un’altra persona o intercetti le conversazioni o le comunicazioni di un’altra persona, siano esse telefoniche, telegrafiche o effettuate con qualsiasi altro mezzo di trasmissione a lunga distanza, è punito con la reclusione da sei mesi a tre anni .”
C. Il codice civile
34. Le disposizioni pertinenti del codice civile vigente all’epoca dei fatti erano formulate come segue:
Articolo 998
“Qualunque atto commesso da una persona che cagiona ad altri un danno obbliga colui che ha cagionato il danno a risarcirlo.”
Articolo 999
“Ogni persona è responsabile del danno cagionato non soltanto mediante i propri atti bensì anche mediante l’omissione o la negligenza.”
D. Il codice del lavoro
35. Così come formulato all’epoca dei fatti, il Codice del lavoro prevedeva:
Articolo 40
“1. Il datore di lavoro ha sostanzialmente i seguenti diritti:
(...)
d) vigilare sulle modalità con le quali [i dipendenti] svolgono i loro compiti professionali;
(...)
2. Il datore di lavoro ha sostanzialmente i seguenti doveri:
(...)
i) garantire la riservatezza dei dati personali dei dipendenti.”
E. La Legge n. 677/2001 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
36. Le parti pertinenti della Legge n. 677/2001 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“la Legge n. 677/2001”), che riproduce alcune disposizioni della Direttiva 95/46/CE del Parlamento europeo e del Consiglio dell’Unione europea del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (si veda il paragrafo 45 infra), prevede:
Articolo 3 – Definizioni
“Ai fini della presente Legge si intende per:
a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
(...)”
Articolo 5 – Condizioni relative alla legittimazione del trattamento dei dati
“1. I dati personali (...) non possono essere trattati in alcun modo se la persona interessata non vi ha acconsentito espressamente e inequivocabilmente.
2. Nelle seguenti circostanze il consenso della persona interessata non è necessario:
a) quando il trattamento è necessario all’esecuzione di un contratto concluso dalla persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona;
(...)
e) quando il trattamento è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata;
(...)
3. Le disposizioni del paragrafo 2 fanno salve le disposizioni di legge che disciplinano il dovere delle autorità pubbliche di rispettare e tutelare la vita intima, privata e familiare.”
Articolo 18 – Diritto di agire in giudizio
“1. Le persone interessate hanno il diritto, fatta salva la possibilità di proporre reclamo all’autorità di controllo, di agire in giudizio al fine della tutela dei diritti salvaguardati dalla presente Legge che sono stati violati.
2. Chiunque abbia subito un danno in conseguenza del trattamento illecito dei suoi dati personali può chiedere al competente organo giudiziario il risarcimento [del danno].
(...)”
III. IL DIRITTO E LA PRASSI INTERNAZIONALI
A. Le norme delle Nazioni Unite
37. Le Linee guida che disciplinano il trattamento computerizzato di dati personali, adottate dall’Assemblea Generale delle Nazioni Unite in data 14 dicembre 1990 mediante la Risoluzione 45/95 (A/RES/45/95), stabiliscono le garanzie minime che devono essere previste dalla legislazione nazionale. I principi pertinenti recitano:
“1. Principio di liceità e di lealtà
Le informazioni riguardanti le persone non devono essere raccolte o trattate in modo sleale o illegittimo, e non devono essere utilizzate per fini contrari alle finalità e ai principi della Carta delle Nazioni Unite.
2. Principio di esattezza
I responsabili della compilazione di un casellario o della sua custodia hanno l’obbligo di controllare regolarmente l’esattezza e la pertinenza dei dati registrati e di garantire che essi restino il più completi possibile al fine di evitare errori di omissione, e che siano aggiornati regolarmente o al momento dell’utilizzo delle informazioni contenute in un casellario, per tutta la durata del trattamento.
3. Principio di finalità
La finalità di un casellario e il suo utilizzo in funzione di tale finalità devono essere specificati, giustificati e, al momento della creazione dello stesso, pubblicizzati o comunicati all’interessato, per poter ulteriormente assicurare che:tutti i dati personali raccolti e registrati rimangano pertinenti e adeguati ai fini perseguiti;nessuno dato personale sia utilizzato o divulgato, qualora l’interessato non vi abbia acconsentito, per fini incompatibili con quelli specificati;la durata della conservazione dei dati personali non ecceda il tempo necessario al conseguimento della finalità per cui sono stati registrati.
4. Principio dell’accesso da parte degli interessati
Chiunque dimostri la sua identità ha il diritto di essere informato dell’eventuale trattamento di dati che lo riguardano, di ottenerli in forma intellegibile, senza eccessivi ritardi o spese, di ottenere le opportune rettifiche o cancellature in caso di registrazioni illegittime, ingiustificate o inesatte, e, al momento della comunicazione, di essere informato dell’identità dei destinatari. Deve essere prevista la possibilità di ricorso, se necessario all’autorità di controllo di cui al successivo principio 8. Le spese di rettifica sono a carico del responsabile del casellario. Le disposizioni del presente principio si applicano a ogni persona, a prescindere dalla sua cittadinanza o dal luogo di residenza.
(...)
6. Facoltà di deroga
Possono essere autorizzate deroghe ai principi da 1 a 4 soltanto se sono necessarie per tutelare la sicurezza nazionale, l’ordine pubblico, la salute o la morale pubbliche, nonché, inter alia, i diritti e le libertà di altri, specialmente dei perseguitati (clausola umanitaria), a condizione che tali deroghe siano espressamente previste dalla legge o da un regolamento equivalente, promulgato in conformità all’ordinamento giuridico interno, che ne fissa espressamente i limiti ed enuncia le opportune garanzie.
(...)”
38. Nel 1997 l’Ufficio Internazionale del Lavoro (ILO) ha emesso un Codice di condotta in materia di protezione dei dati personali dei lavoratori (“il Codice di condotta dell’ILO”), che stabilisce i seguenti principi:
“5. Principi generali
5.1. I dati di carattere personale devono essere trattati legittimamente e lealmente, e unicamente per motivi direttamente pertinenti all’occupazione del lavoratore.
5.2. In linea di massima i dati di carattere personale devono essere utilizzati unicamente per gli scopi per i quali sono stati originariamente raccolti.
5.3. Se i dati di carattere personale devono essere trattati per finalità diverse da quelle per le quali sono stati raccolti, il datore di lavoro deve garantire che non siano utilizzati in modo incompatibile con l’originaria finalità e deve adottare le misure necessarie al fine di evitare qualsiasi travisamento causato dalla modifica del contesto.
5.4. I dati di carattere personale raccolti in relazione a misure tecniche od organizzative finalizzate a garantire la sicurezza e il corretto funzionamento di sistemi informatici automatizzati non devono essere utilizzati al fine di controllare il comportamento del lavoratore.
5.5. Le decisioni concernenti il lavoratore non devono essere basate unicamente sul trattamento automatizzato dei dati di carattere personale relativi al lavoratore.
5.6. I dati di carattere personale raccolti mediante il controllo elettronico non devono costituire gli unici fattori di valutazione delle prestazioni del lavoratore.
5.7. I datori di lavoro devono valutare regolarmente le loro prassi in materia di trattamento dei dati:al fine di ridurre nella misura possibile le tipologie e la quantità dei dati di carattere personale raccolti; eal fine di migliorare le modalità di protezione della privacy dei lavoratori.
5.8. I lavoratori e i loro rappresentanti devono essere tenuti informati di ogni procedura di raccolta dei dati, delle regole che disciplinano tale procedura e dei loro diritti.
(...)
5.13. I lavoratori non possono rinunciare al loro diritto alla privacy.”
39. In ordine alla questione più specifica del controllo dei lavoratori, il Codice di condotta dell’ILO dichiara quanto segue:
“6. La raccolta di dati personali
6.1. In linea di massima tutti i dati personali devono essere forniti dal singolo lavoratore.
(...)
6.14. 1) In caso di controllo dei lavoratori, essi devono essere anticipatamente informati dei motivi del controllo, del calendario, dei metodi e delle tecniche utilizzati nonché dei dati che devono essere raccolti; il datore di lavoro deve inoltre minimizzare l’intrusione nella privacy dei lavoratori.
2) Il controllo segreto deve essere consentito unicamente qualora:sia conforme alla legislazione nazionale, oppuresussistano ragionevoli motivi per sospettare il compimento di attività criminali o di altri gravi atti illeciti.
3) Il controllo continuo deve essere consentito unicamente qualora sia necessario per la salute, la sicurezza o la protezione di beni materiali.”
40. Il Codice di condotta dell’ILO contiene anche un elenco dei diritti individuali dei lavoratori, in particolare in ordine alle informazioni relative al trattamento di dati di carattere personale, all’accesso a tali dati e al riesame dei provvedimenti adottati. Le parti pertinenti recitano:
“11. Diritti personali
11.1. I lavoratori dovrebbero avere il diritto di essere informati regolarmente dei dati personali che li riguardano e del trattamento di tali dati.
11.2. I lavoratori dovrebbero avere accesso a tutti i loro dati personali, indipendentemente dal fatto che tali dati siano elaborati da sistemi automatizzati o siano conservati in un particolare casellario manuale riguardante il singolo lavoratore o in qualsiasi altro casellario contenente i dati personali dei lavoratori.
11.3. Il diritto dei lavoratori di essere informati del trattamento dei propri dati personali dovrebbe comprendere il diritto di esaminare e ottenere copia di qualsiasi registro nella misura in cui i dati contenuti nel registro contengano dati personali del lavoratore.
(...)
11.8. I datori di lavoro dovrebbero, in caso di indagini in materia di sicurezza, avere il diritto di negare al lavoratore l’accesso ai propri dati personali fino alla chiusura delle indagini e nella misura in cui sarebbero compromesse le finalità delle indagini. Non deve tuttavia essere presa alcuna decisione relativa al rapporto di lavoro prima che il lavoratore abbia avuto accesso a tutti i propri dati personali.
11.9. I lavoratori dovrebbero avere il diritto di esigere che i dati personali errati o incompleti, così come i dati personali trattati in modo incompatibile con le disposizioni del presente codice, siano cancellati o rettificati.
(...)
11.13. Qualsiasi legislazione, regolamento, contratto collettivo, codice di lavoro o politica sviluppati in conformità alle disposizioni del presente codice, dovrebbe prevedere un ricorso esperibile dai lavoratori per contestare l’inosservanza dello strumento da parte del datore di lavoro. Dovrebbero essere stabilite procedure finalizzate a ricevere e a rispondere ai reclami presentati dai lavoratori. La procedura di reclamo dovrebbe essere facilmente accessibile ai lavoratori e semplice da utilizzare.”
41. Inoltre, in data 18 dicembre 2013, l’Assemblea Generale delle Nazioni Unite ha adottato la Risoluzione n. 68/167 sul diritto alla privacy nell’era digitale (A/RES/68/167), in cui, inter alia, ha invitato gli Stati:a rispettare e tutelare il diritto alla privacy, anche nell’ambito delle comunicazioni digitali;ad adottare misure finalizzate a far cessare le violazioni di tali diritti e a creare le condizioni per prevenire tali violazioni, anche garantendo che la pertinente legislazione nazionale osservi i suoi obblighi ai sensi del diritto internazionale in materia di diritti umani;a esaminare le loro procedure, prassi e legislazioni in materia di sorveglianza delle comunicazioni, di intercettazione delle stesse e di raccolta di dati personali, anche in caso di sorveglianza su larga scala, al fine di sostenere il diritto alla privacy garantendo la piena ed effettiva attuazione di tutti i loro obblighi previsti dal diritto internazionale in materia di diritti umani;a istituire o mantenere meccanismi di vigilanza nazionali indipendenti ed efficaci in grado di assicurare l’opportuna trasparenza e responsabilità della sorveglianza statale delle comunicazioni, della loro intercettazione e della raccolta di dati personali [.].”
B. Le norme del Consiglio d’Europa
42. La Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (1981, STE n. 108), entrata in vigore in relazione alla Romania il 1o giugno 2002, comprende in particolare le seguenti disposizioni:
Articolo 2 - Definizioni
“Ai fini della presente Convenzione:
a) “dati di carattere personale” significa: ogni informazione relativa a una persona fisica identificata o identificabile (“persona interessata”);
(...)
c) “trattamento automatizzato” comprende le seguenti operazioni effettuate in tutto o in parte mediante procedimenti automatizzati: registrazione di dati, applicazione ad essi di operazioni logiche e/o aritmetiche, loro modifica, cancellazione, estrazione o diffusione;
(...)”
Articolo 3 – Campo di applicazione
1. Le Parti si impegnano ad applicare la presente Convenzione ai casellari e al trattamento automatizzato di dati a carattere personale nei settori pubblici e privati.
(...)”
Articolo 5 – Qualità dei dati
“I dati di carattere personale oggetto di un trattamento automatizzato sono:ottenuti e trattati in modo lecito e corretto;registrati per scopi determinati e legittimi e impiegati in una maniera non incompatibile con detti fini;adeguati, pertinenti e non eccessivi riguardo ai fini per i quali vengono registrati;esatti e, se necessario, aggiornati;conservati in una forma che consenta l’identificazione delle persone interessate per una durata non superiore a quella necessaria ai fini per i quali sono registrati.”
Articolo 8 – Ulteriori garanzie per la persona interessata
Ogni persona deve poter:conoscere l’esistenza di un casellario automatizzato di dati di carattere personale, i suoi fini principali, nonché l’identità e la residenza abituale, ovvero la sede amministrativa, del responsabile del casellario;ottenere a intervalli di tempo ragionevoli e senza ritardo o spese eccessive la conferma dell’esistenza o meno nel casellario automatizzato dei dati di carattere personale ad essa relativi, come pure la trasmissione di tali dati in una forma intellegibile;
(...)disporre di una possibilità di ricorso qualora non venga dato seguito a una richiesta di conferma o, a seconda del caso, di comunicazione, rettifica, o cancellazione di cui ai paragrafi b) e c) del presente articolo.”
Articolo 9 – Eccezioni e restrizioni
“(...)
2. È possibile derogare alle disposizioni degli articoli 5, 6 ed 8 della presente Convenzione qualora tale deroga, prevista dal diritto della Parte, costituisca una misura necessaria in una società democratica:alla protezione della sicurezza dello Stato, alla sicurezza pubblica, agli interessi monetari dello Stato o alla repressione dei reati;alla protezione della persona interessata e dei diritti e delle libertà altrui.
(...)”
Articolo 10 – Sanzioni e ricorsi
“Ogni Parte si impegna a fissare sanzioni e ricorsi adeguati relativi alle violazioni alle disposizioni del diritto interno di esecuzione dei principi fondamentali per la protezione dei dati enunciati nel presente capo.”
43. La Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, adottata il 1o aprile 2015, enuncia in particolare:
“4. Applicazione dei principi in materia di trattamento dei dati
4.1. I datori di lavoro dovrebbero ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso.
(...)
6. Utilizzazione interna dei dati
6.1. I dati personali raccolti per scopi di lavoro dovrebbero essere trattati dal datore di lavoro soltanto per tali scopi.
6.2. Il datore di lavoro dovrebbe adottare politiche o regole in materia di protezione dati e/o altri strumenti per disciplinare l’utilizzazione interna dei dati personali in conformità dei principi di cui alla presente raccomandazione.
(...)
10. Trasparenza del trattamento
10.1. Le informazioni concernenti i dati personali in possesso del datore di lavoro dovrebbero essere messe a disposizione del dipendente interessato, direttamente oppure per il tramite dei suoi rappresentanti, ovvero essere portate a conoscenza del dipendente stesso con altra idonea modalità.
10.2. I datori di lavoro dovrebbero fornire ai dipendenti le seguenti informazioni:le categorie di dati personali oggetto di trattamento e una descrizione delle finalità del trattamento;i destinatari o le categorie di destinatari dei dati personali;gli strumenti di cui dispongono i dipendenti per esercitare i diritti di cui al Principio 11 della presente Raccomandazione, salvi eventuali strumenti più favorevoli previsti dal diritto interno o dal sistema del datore di lavoro;ogni ulteriore informazione necessaria a garantire la lealtà e la liceità del trattamento.
10.3. Deve essere fornita una descrizione particolarmente chiara ed esaustiva delle categorie di dati personali che possono essere raccolti mediante le tecnologie dell’informazione e della comunicazione, compresa la videosorveglianza, e del possibile utilizzo di tali dati. Il presente principio si applica anche alle particolari tipologie di trattamento menzionate nella Parte II dell’Appendice alla presente Raccomandazione.
10.4. Le informazioni dovrebbero essere fornite in un formato accessibile e mantenute aggiornate. A ogni buon conto, tali informazioni dovrebbero essere fornite prima che il dipendente svolga l’attività o compia l’azione interessata e dovrebbero essere messe a disposizione tempestivamente attraverso i sistemi informativi utilizzati di regola dal dipendente.
(...)
14. Utilizzo di internet e delle comunicazioni elettroniche nel luogo di lavoro
14.1. Il datore di lavoro dovrebbe astenersi da ingerenze ingiustificabili e irragionevoli nella vita privata del dipendente. Il presente principio si applica a tutti i dispositivi tecnici e alle tecnologie dell’informazione e della comunicazione utilizzate dal dipendente. Gli interessati dovrebbero ricevere idonee informazioni su base regolare, in ottemperanza a una politica chiara in materia di privacy, conformemente al Principio 10 della presente Raccomandazione. Le informazioni fornite dovrebbero essere aggiornate e comprendere le finalità del trattamento, il periodo di conservazione o back-up dei dati relativi al traffico, e l’archiviazione di comunicazioni elettroniche di natura professionale.
14.2. In particolare, qualora il trattamento riguardi dati personali relativi a pagine di internet o di un’intranet alle quali abbia acceduto il dipendente, si dovrebbe privilegiare l’adozione di misure preventive, quali filtri atti a impedire determinate operazioni, e di un approccio graduale all’eventuale controllo dei dati personali, privilegiando i controlli casuali e non individuali sui dati anonimi o comunque aggregati.
14.3. Il datore di lavoro può accedere alle comunicazioni elettroniche di natura professionale dei dipendenti, che siano stati informati preventivamente dell’esistenza di tale possibilità, se ciò risulta necessario per finalità di sicurezza o per altre finalità legittime. In caso di assenza del dipendente, il datore di lavoro dovrebbe adottare le misure necessarie e prevedere idonee procedure al fine di consentire l’accesso alle comunicazioni elettroniche di natura professionale soltanto se tale accesso rappresenta una necessità di ordine professionale. L’accesso dovrebbe avvenire nel modo meno invasivo possibile e solo previa informazione del dipendente interessato.
14.4. In nessun caso dovrebbero essere oggetto di controllo il contenuto, l’invio e la ricezione di comunicazioni elettroniche di natura privata nel luogo di lavoro.
14.5. Quando cessa il rapporto di lavoro di un dipendente presso un’organizzazione, il datore di lavoro dovrebbe adottare tutte le misure tecniche e organizzative necessarie per disattivare automaticamente l’account di messaggeria elettronica del dipendente. Se un datore di lavoro ha la necessità di recuperare il contenuto dell’account di un dipendente al fine dell’efficiente gestione dell’organizzazione, dovrebbe farlo prima della cessazione del rapporto di lavoro del dipendente e, se fattibile, alla sua presenza.”
IV. IL DIRITTO DELL’UNIONE EUROPEA
44. Le disposizioni pertinenti della Carta dei diritti fondamentali dell’Unione europea (2007/C 303/01) recitano:
Articolo 7
Rispetto della vita privata e della vita familiare“Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.”
Articolo 8
Protezione dei dati di carattere personale"Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.”
45. La Direttiva 95/46/CE del Parlamento europeo e del Consiglio dell’Unione europea del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Direttiva 95/46/CE”) enuncia che lo scopo delle legislazioni nazionali relative al trattamento dei dati personali è segnatamente la tutela del diritto alla vita privata, riconosciuto sia dall’articolo 8 della Convenzione che dai principi generali del diritto comunitario. Le disposizioni pertinenti della Direttiva 95/46/CE recitano:
Articolo 2
Definizioni
“Ai fini della presente direttiva si intende per:
b) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
(...)”
Articolo 6Gli Stati membri dispongono che i dati personali devono essere:trattati lealmente e lecitamente;rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritemuto incompatibile, purché gli Stati membri forniscano garanzie appropriate;adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici.Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1.
Articolo 7
Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppureè necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona, oppureè necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppureè necessario per la salvaguardia dell’interesse vitale della persona interessata, oppureè necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppureè necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1.
Articolo 8
Trattamenti riguardanti categorie particolari di datiGli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.Il paragrafo 1 non si applica qualora:la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppureil trattamento sia necessario, per assolvere gli obblighi e i diritti del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie, oppureil trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui la persona interessata è nell’incapacità fisica o giuridica di dare il proprio consenso; o(...)il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sua necessario per costituire, esercitare o difendere un diritto per via giudiziaria.(...)Purché siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell’autorità di controllo.”
46. È stato istituito un Gruppo per la tutela dei dati (“il Gruppo”) ai sensi dell’articolo 29 della Direttiva e, in conformità all’articolo 30, esso ha il compito di:“esaminare ogni questione attinente all’applicazione delle norme nazionali di attuazione della presente direttiva per contribuire alla loro applicazione omogenea;formulare, ad uso della Commissione, un parere sul livello di tutela nella Comunità e nei paesi terzi;consigliare la Commissione in merito a ogni progetto di modifica della presente direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali, nonché in merito a qualsiasi altro progetto di misure comunitarie su tali diritti e libertà;formulare un parere sui codici di condotta elaborati a livello comunitario.”
Il Gruppo è un organo consultivo indipendente dell’Unione europea. Nel settembre 2001 ha emesso un parere sul trattamento dei dati personali nel contesto occupazionale (parere 8/2001), che sintetizza i principi fondamentali in materia di trattamento di dati: finalità, trasparenza, legittimità, proporzionalità, esattezza, sicurezza e sensibilizzazione del personale. Nel parere, che ha adottato in conformità al suo ruolo di contribuire all’applicazione uniforme delle misure nazionali adottate ai sensi della Direttiva 95/46/CE, il Gruppo ha sottolineato che il controllo delle e-mail comportava il trattamento di dati personali, e ha espresso l’opinione che ogni attività di controllo dei dipendenti dovesse costituire:
“una risposta proporzionata del datore di lavoro ai rischi che si trova ad affrontare, tenendo conto della legittima privacy e degli altri interessi dei lavoratori.”
47. Nel maggio 2002 il Gruppo ha prodotto un documento di lavoro relativo alla sorveglianza e al controllo delle comunicazioni elettroniche nel luogo di lavoro (“il documento di lavoro”), in cui ha tenuto espressamente conto delle disposizioni della Direttiva 95/46/CE alla luce delle disposizioni dell’articolo 8 della Convenzione. Il documento di lavoro afferma che il semplice fatto che un’attività di controllo e sorveglianza sia funzionale agli interessi del datore di lavoro non può giustificare di per sé qualsiasi intrusione nella privacy del dipendente e che qualsiasi misura di controllo deve soddisfare quattro criteri: trasparenza, necessità, lealtà e proporzionalità.
48. In ordine all’aspetto tecnico il documento di lavoro dichiara:
“Il software può fornire con facilità e rapidità le informazioni del caso, grazie ad esempio a una finestra che avvisi il dipendente del fatto che il sistema ha rilevato un impiego non autorizzato della rete e/o ha preso provvedimenti per impedirlo.”
49. Più specificamente, il documento di lavoro contiene i seguenti passi in ordine alla questione dell’accesso alle e-mail dei dipendenti:
“Il controllo della corrispondenza di un lavoratore o del suo impiego dell’Internet può ritenersi necessario unicamente in circostanze eccezionali. Il controllo della posta elettronica di un lavoratore può ad esempio risultare necessario per ottenere conferma o prova del fatto che esso abbia compiuto determinate azioni, tra le quali rientrerebbe un’eventuale attività criminosa del lavoratore, se ed in quanto ciò risulta indispensabile al datore di lavoro per difendere i propri interessi come ad esempio nel caso in cui abbia una responsabilità subordinata per le azioni del lavoratore. Tra le attività lecite rientrerebbe altresì la rilevazione della presenza di virus informatici e più generalmente qualsiasi attività del datore di lavoro mirante a garantire la sicurezza del sistema.
Giova ricordare che l’apertura della posta elettronica di un dipendente può rendersi necessaria anche per motivi diversi dal controllo e dalla vigilanza, come quello di mantenere lo scambio di corrispondenza nel caso in cui il dipendente sia assente (ad esempio per malattia o per ferie) e non vi sia altro modo (come la funzione di risposta automatica o l’inoltro automatico) per ottenere tale risultato.”
50. Nella causa Österreichischer Rundfunk e altri (C-465/00, C 138/01 e C 139/01, sentenza del 20 maggio 2003, ECLI:EU:C:2003:294, paragrafi 71 e ss.) la Corte di giustizia dell’Unione europea ha interpretato le disposizioni della Direttiva 95/46/CE alla luce del diritto al rispetto della vita privata, garantito dall’articolo 8 della Convenzione .
51. Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), pubblicato nella Gazzetta ufficiale 2016 L 119/1, è entrato in vigore il 24 maggio 2016, abrogherà la Direttiva 95/46/CE e si applicherà a decorrere dal 25 maggio 2018 (articolo 99). Le disposizioni pertinenti del Regolamento recitano:
Articolo 30
Registri delle attività di trattamento“Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;le finalità del trattamento;una descrizione delle categorie di interessati e delle categorie di dati personali;le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
Articolo 47
Norme vincolanti d’impresa“ L’autorità di controllo competente approva le norme vincolanti d’impresa in conformità del meccanismo di coerenza di cui all’articolo 63, a condizione che queste:siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti;conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; esoddisfino i requisiti di cui al paragrafo 2.Le norme vincolanti d’impresa di cui al paragrafo 1 specificano almeno:la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e di ciascuno dei suoi membri;i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;la loro natura giuridicamente vincolante, a livello sia interno che esterno;l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa;i diritti dell’interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell’articolo 22, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 79, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro interessato non stabilito nell’Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se dimostra che l’evento dannoso non è imputabile al membro in questione;le modalità in base alle quali sono fornite all’interessato le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli 13 e 14;i compiti di qualunque responsabile della protezione dei dati designato ai sensi dell’articolo 35 o di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e il controllo della formazione e della gestione dei reclami;le procedure di reclamo;i meccanismi all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune per garantire la verifica della conformità alle norme vincolanti d’impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell’interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all’organo amministrativo dell’impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e dovrebbero essere disponibili su richiesta all’autorità di controllo competente;i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all’autorità di controllo;il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera j);i meccanismi per segnalare all’autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa; el’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.La Commissione può specificare il formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.”
Articolo 88
Trattamento dei dati nell’ambito dei rapporti di lavoro“Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fonda
