Il controllo dell’azienda viola i diritti…sicuri?

Indice

Ieri la Corte di Strasburgo ha sentenziato che il controllo effettuato dalle aziende sulle comunicazioni dei dipendenti, viola la loro privacy. Una sentenza per la quale molti gioiscono ma che, per molti versi, non è stata capita.

Il sito del quotidiano Repubblica ne da piena evidenza in questo articolo, facendo anche un caso esemplare ma vi invito ad un altro tipo di riflessione. Quando accedete ad una struttura aziendale, impiegate dei mezzi che non sono di vostra proprietà e, di conseguenza, dovreste impiegarli per effettuare il lavoro per il quale vi sono stati messi a disposizione. Non parliamo, chiaramente, di una navigazione saltuaria su siti non “professionali”, né di un messaggio via WhatsApp web o via Facebook Messenger. Parliamo di un utilizzo continuativo, intensivo ed improprio di mezzi aziendali. È come se, facendo l’agricoltore, voi decideste di usare il trattore per andare a fare, la spesa, passare in farmacia, andare a prendere i vostri figli e anche per lavorare la terra. È chiaramente qualcosa di improprio, è inutile far finta di nulla.

Il problema è che le aziende si aspettano una limitazione da parte dell’utente che, a sua volta, si aspetta (giustamente) che la sua privacy non venga violata. Non esiste un principio per cui un’azienda o un cittadino qualunque possa violare, ad esempio, il diritto di privacy delle comunicazioni e questo genera un contrasto molto netto. Vi è quindi qualcosa che non va e quel qualcosa è nell’organizzazione aziendale.

L’azienda, oltre a fornire i mezzi di comunicazione, ha la facoltà di limitare le potenzialità di questi strumenti: ad esempio è possibile bloccare la navigazione su Facebook, YouTube e così via. Quando voi andate a provare un’auto all’interno di una concessionaria, vi mettete alla guida di una vettura “di base”. L’azienda che fornisce gli strumenti di lavoro al dipendente, senza operare alcun tipo di filtro, accetta implicitamente i rischi di tale comportamento.

Come ho ribadito più volte, un altro problema fondamentale, è la totale assenza di formazione che le imprese fanno sui loro dipendenti (ne abbiamo parlato qui) e tale mancanza arriva a generare spesso danni all’azienda stessa.

Partiamo dal principio

La Corte si è pronunciata in merito alla Application n. 61496/08 (reperibile in cliccando qui), nella quale il dipendente Mr Bogdan Mihai Bărbulescu ha accusato il Governo Rumeno della violazione di diritti costituzionalmente protetti come quello della privacy. In effetti, nella sentenza, si leggono molte motivazioni ma la principale è la violazione dell’articolo 8 che, come riportato nel testo, dice:

 

“Any person shall be enabled:

(a) to establish the existence of an automated personal data file, its main purposes, as well as the identity and habitual residence or principal place of business of the controller of the file;

(b) to obtain at reasonable intervals and without excessive delay or expense confirmation of whether personal data relating to him are stored in the automated data file as well as communication to him of such data in an intelligible form;

(d) to have a remedy if a request for confirmation or, as the case may be, communication, rectification or erasure as referred to in paragraphs b and c of this article is not complied with.”

 

In buona sostanza quello che gli editoriali nazionali stanno battendo come “il vostro capo non potrà spiarvi” è una parziale menzogna. Le motivazioni sono proprio contenute nella sentenza e le trovate qui di seguito:

 

C. Applicability of Article 8 of the Convention

1. The parties’ submissions

(a) The Government

65. The Government argued that the applicant could not claim any expectation of “privacy” as regards the communications he had exchanged via an instant messaging account created for professional use. With reference to the case-law of the French and Cypriot courts, they submitted that messages sent by an employee using the technical facilities made available to him by his employer had to be regarded as professional in nature unless the employee explicitly identified them as private. They noted that it was not technically possible using Yahoo Messenger to mark messages as private; nevertheless, the applicant had had an adequate opportunity, during the initial stage of the disciplinary proceedings, to indicate that his communications had been private, and yet had chosen to maintain that they had been work-related. The applicant had been informed not only of his employer’s internal regulations, which prohibited all personal use of company resources, but also of the fact that his employer had initiated a process for monitoring his communications.

66. The Government relied on three further arguments in contending that Article 8 of the Convention was not applicable in the present case. Firstly, there was no evidence to suggest that the transcript of the applicant’s communications had been disclosed to his work colleagues; the applicant himself had produced the full transcript of the messages in the proceedings before the domestic courts, without asking for any restrictions to be placed on access to the documents concerned. Secondly, the national authorities had used the transcript of the messages as evidence because the applicant had so requested, and because the prosecuting authorities had already found that the monitoring of his communications had been lawful. Thirdly, the information notice had contained sufficient indications for the applicant to have been aware that his employer could monitor his communications, and this had rendered them devoid of any private element.

(b) The applicant

67. The applicant did not make any submissions as to the applicability of Article 8 of the Convention, but repeatedly maintained that his communications had been private in nature.

68. He further argued that, since he had created the Yahoo Messenger account in question and was the only person who knew the password, he had had a reasonable expectation of privacy regarding his communications. He also asserted that he had not received prior notification from his employer about the monitoring of his communications.

In buona sostanza i problemi sono stati i seguenti:

  1. Non è tecnicamente possibile usare Yahoo Messenger per “marcare” i messaggi privati da quelli aziendali, né è possibile sapere con anticipo la natura del messaggio senza leggerlo.
  2. Il dipendente non era mai stato informato sul controllo delle comunicazioni compiuto nei suoi confronti.

La situazione quindi cambia e diventa molto simile a quei casi di video sorveglianza non segnalata, un errore che è stato avallato dall’impiego di un mezzo di comunicazione poco opportuno come Yahoo Messenger. Il mancato avviso di monitoraggio delle comunicazioni (telefono, internet, email) rende il soggetto inconsapevole del controllo esercitato. Questa è una forte violazione della privacy.

La Corte Europea in riferimento alla questione posta circa la violazione dell’articolo 8 ha ritenuto che il fatto che il datore di lavoro avesse avuto accesso all’Account Internet professionale del proprio dipendente e che la registrazione delle sue comunicazioni fosse stata utilizzata dal datore di lavoro nel contenzioso disciplinare per dimostrare l’accaduto era sufficiente per ritenere coinvolti sia la vita privata del ricorrente che la sua corrispondenza. Fonte

Pertanto il problema non è il monitoraggio delle comunicazioni (che è previsto e ritenuto logico anche dal Corte), ma la sua corretta applicazione che, in questo specifico caso, è stata ritenuta poco idonea.

 

I quotidiani italiani dovrebbero pensare a fare una comunicazione più di qualità e meno di massa. La vostra azienda potrà monitorare le comunicazioni aziendali rendendovi consapevoli di questa azione e, al contempo, potrà esercitare restrizioni nell’impiego dei dispositivi da lei forniti per l’espletamento del lavoro svolto.