Il Garante della privacy, con una nota del 13/01/2016, facendo seguito alla sentenza della Corte europea dei diritti dell'uomo del 12 dicembre 2015, ha ribadito che il datore di lavoro può controllare l’email aziendale utilizzata dal proprio dipendente, solo se questo controllo è strettamente proporzionato e non eccedente lo scopo di verifica dell’adempimento contrattuale. 

Inoltre i controlli devono essere limitati nel tempo e nell’oggetto, devono essere mirati e non massivi e fondati su presupposti, come l’inefficienza dell’attività lavorativa del lavoratore, tali da legittimarne l’esecuzione ed, infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto. 

La nota precisa anche che questa valutazione è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile 2015 dallo stesso Consiglio d'Europa, che in particolare auspica la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici; l'assoluta residualità dei monitoraggi, con appositi sistemi informativi, sull'attività e il comportamento dei lavoratori in quanto tale. Ed è in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007. Con questo provvedimento si è prescritto al datore di lavoro di informare i lavoratori delle condizioni di utilizzo della mail aziendale (e anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore), dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.  

Questi principi restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice privacy. E, in particolare, ai principi di necessità, finalità, legittimità e correttezza, proporzionalità e non eccedenza del trattamento, nonché all'obbligo di previa informativa del lavoratore e al divieto di profilazione, ribaditi proprio dalla Corte europea dei diritti umani.

Pertanto, anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell'ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all'esito dell'esperimento di misure preventive meno limitative dei diritti dei lavoratori. 

Ad esempio, se il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati. 

Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all'individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell'adozione di filtri per il blocco dell'accesso a determinati siti o del download di alcuni file. E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l'analisi occulta di computer portatili affidati in uso.

Il Garante conclude consigliando l’adozione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto.