La posta elettronica aziendale

Nel paragrafo precedente si è affermato che quando un dipendente pone in essere un uso non corretto della rete internet aziendale devono essere considerate come irrilevanti le informazioni ricercate e il contenuto delle pagine web visitate, poiché trattasi di elementi estranei alla finalità del datore (l’accertamento dell’illecito). Una volta verificato l’indebito accesso alla rete infatti, ogni altra ricerca del datore costituirebbe una lesione della sfera privata del prestatore di lavoro.

Qualora lo scopo dell’imprenditore non fosse quello di accertare usi scorretti di internet ma della posta elettronica aziendale, il tema acquisterebbe una ancor maggiore sensibilità, dovuta al contenuto stesso dell’accertamento. Il monitoraggio della posta elettronica messa a disposizione del lavoratore per l’esercizio della prestazione presenta infatti maggiori problematiche, relative alla più elevata esigenza di tutela di cui gode la corrispondenza.

205_{ZICCARDI,G., Il controllo delle attività informatiche e telematiche del lavoratore: alcune considerazioni}

L’articolo 15 della Costituzione sancisce, al primo comma, che «la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili». Per corrispondenza si intende non solo quella più tradizionale, mediante lettera, ma anche quella telefonica, telematica e informatica. Il codice penale, inoltre, si preoccupa di condannare il reato di violazione, sottrazione e soppressione di corrispondenza. L’articolo 616 c.p. afferma infatti che «chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero, sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da euro 30 a euro 516»206_.

In virtù della forte tutela di cui beneficia la corrispondenza, viene spontaneo chiedersi se, e a quali condizioni, possa considerarsi lecito il monitoraggio della posta elettronica. Se può dirsi vero che nessun datore di lavoro ha il potere di aprire una busta o una lettera cartacea indirizzata ad un suo dipendente, in quanto ciò costituirebbe una violazione del reato di cui all’art. 616, può egli aprire e leggere le e-mail in entrata e in uscita di quest’ultimo?

Al fine di evitare che i lavoratori subiscano controlli occulti, il Garante della privacy è intervenuto prescrivendo alcune regole di comportamento che devono essere osservate all’interno delle organizzazioni.

In primo luogo, l’Autorità vieta al datore di lavoro l’uso di software che mirano al controllo a distanza dei dipendenti attraverso «la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail»207_{. Si tratta di quei programmi}

informatici che consentono di controllare il numero di messaggi inviati e ricevuti in un determinato periodo di tempo e i rispettivi destinatari ed emittenti, leggere i testi delle

206_{Articolo 616 comma 1 del Codice Penale.}

207_{Linee Guida del Garante per posta elettronica e internet, del 1° marzo 2007, pubblicate in Gazzetta}

comunicazioni, recuperare e-mail cancellate, duplicare la casella di posta, sostituirsi al lavoratore e spedire mail al suo posto.208

In secondo luogo, il Garante ritiene opportuna l’adozione di un disciplinare interno redatto con chiarezza ed adeguatamente pubblicizzato, in cui specificare quale è la politica aziendale sull’utilizzo della posta a fini privati (in che misura ne è consentito l’uso e che conseguenze, anche disciplinari, sono previste in caso di utilizzo indebito). L’imprenditore dovrebbe indicare anche a quali dipendenti è concesso, più o meno liberamente, di inviare e/o ricevere e-mail dall’indirizzo fornito loro dall’azienda.

A scopo precauzionale, il datore di lavoro dovrebbe inoltre impegnarsi ad adottare specifiche misure che consentano di prevenire il verificarsi di controlli impropri e la violazione della disciplina sull’inviolabilità della corrispondenza. Tra gli esempi forniti dal Garante, i principali consistono nel ricorrere a indirizzi di posta elettronica anonimi (ovvero condivisi tra più dipendenti), nell’affiancare all’indirizzo aziendale un diverso indirizzo utilizzabile a fini privati, nell’inoltrare automaticamente le comunicazioni in caso di assenza dal lavoro. Infine, un altro utile accorgimento potrebbe essere quello di permettere al lavoratore di delegare un collega (fiduciario) affinché controlli il contenuto delle sue e-mail (e inoltri al datore quelle rilevanti per l’attività lavorativa), in caso di assenza prolungata ed improvvisa.209

Queste previsioni hanno una grande rilevanza ai fini della tutela della riservatezza del lavoratore. Nella Decisione dell’Autorità garante 2 aprile 2008, il Garante della privacy sostiene che il principio di correttezza «impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli in ordine all’utilizzo degli strumenti aziendali in dotazione ai lavoratori»210 _{(tra i quali figura anche la posta elettronica). In questa occasione il}

Garante era stato chiamato a verificare una violazione della disciplina in materia di

208_{ZICCARDI,G., Il controllo delle attività informatiche e telematiche del lavoratore: alcune considerazioni}

informatico-giuridiche, in Labour and Law Issues, vol. 2, n. 1, 2016, pagina 58.

209_{Linee Guida del Garante per posta elettronica e internet, del 1° marzo 2007, pubblicate in Gazzetta}

Ufficiale il 10 marzo 2007, par. 5.2.

210_{Limiti al controllo sulla posta elettronica del dipendente, Decisione dell’Autorità garante del 2 aprile}

protezione dei dati personali, avvenuta tramite acquisizione della corrispondenza del reclamante (amministratore di una società) dall’account di posta elettronica, in seguito all’inosservanza dell’obbligo di utilizzo ai soli fini professionali dello strumento.

Il reclamante lamentava l’ottenimento dei dati attraverso modalità occulte e l’assenza di una chiara policy aziendale in materia. Secondo l’amministratore, non avendo la società mai adottato un regolamento interno che vietasse o limitasse un uso alternativo dell’indirizzo di posta aziendale, quest’ultimo poteva essere utilizzato anche per scopi personali. Il Garante, appurato che la raccolta dei dati era avvenuta in violazione alla disciplina sulla privacy (mancanza dell’informativa di cui all’articolo 13 del Codice della privacy), ha ritenuto illecito il trattamento eseguito dalla società. Pertanto, non essendo il reclamante stato informato sulla possibilità di controllo dell’account, la violazione dell’obbligo impostogli dall’impresa è passata in secondo piano in quanto il Garante ha ritenuto illegittime le verifiche volte ad accertare l’inadempimento.211

Il rispetto dell’obbligo di informativa e degli altri precetti del Codice della privacy e del Garante è necessario ma non sufficiente a legittimare il datore di lavoro ad accedere alla casella di posta elettronica usata dai dipendenti. Perché l’imprenditore possa accedervi deve sussistere anche il ragionevole sospetto che il comportamento del dipendente contrasti con le esigenze dell’azienda, causando ripercussioni all’organizzazione e all’attività produttiva. Non basta il semplice timore, ma devono esserci elementi concreti a sostegno dell’ipotesi di violazione. In tal caso il controllo dell’account e-mail è giustificato dalla necessità di accertare la correttezza delle azioni poste in essere dal lavoratore.212

Inoltre, come per gli accessi ai siti internet, in cui il datore deve limitarsi a verificare gli orari di connessione ed i tempi di permanenza e non il contenuto delle pagine web visitate, anche per quanto attiene l’uso della posta elettronica il datore dovrebbe evitare di venire a conoscenza del contenuto dei messaggi scambiati. Dovrebbe invece limitarsi

211_{Limiti al controllo sulla posta elettronica del dipendente, Decisione dell’Autorità garante del 2 aprile}

2008.

212_{CRISCUOLO,C., Il controllo sugli account di posta elettronica e di messaging aziendale, in Rivista Italiana}

ad accertare quelli che potrebbero essere gli elementi provanti la violazione, ossia la data di invio e ricezione dei messaggi, l’orario, l’intestazione.

Questo è quanto viene sostenuto dalla Corte Europea dei Diritti dell’Uomo nella sentenza Barbulescu c. Romania del 12 gennaio 2016: in questa occasione la Corte era stata chiamata ad esaminare una eventuale violazione dell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo da parte di una società. L’articolo 8 CEDU stabilisce, al primo comma, che «ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza»213_{. Nel caso in questione}

il lavoratore Barbulescu ha adito la Corte Europea dei Diritti dell’Uomo sostenendo che, in occasione del suo licenziamento, la società avesse leso il suo diritto alla corrispondenza e alla vita privata, violando l’articolo 8 CEDU.214

Nello specifico, il dipendente aveva creato, su richiesta del datore di lavoro, un

account Yahoo Messenger destinato ad essere utilizzato unicamente a fini professionali.

L’attento monitoraggio del datore, giustificato in quanto volto ad accertare l’indebito comportamento, aveva mostrato che il signor Barbulescu aveva utilizzato l’indirizzo di posta elettronica aziendale per scopi privati durante l’orario di lavoro. La Corte Europea dei Diritti dell’Uomo ha stabilito la legittimità del controllo, in quanto il lavoratore era stato adeguatamente informato sul regolamento aziendale (e quindi in relazione alla possibilità di controllo, ma soprattutto al corretto uso degli strumenti messi a disposizione dalla società). Inoltre, il monitoraggio effettuato dall’imprenditore era stato pertinente e non eccedente rispetto alla finalità di verifica dell’adempimento degli obblighi contrattuali: egli, infatti, non si era spinto ad esaminare le altre informazioni personali presenti sul computer del dipendente. Per tali ragioni la Corte Europea ha ritenuto legittimo il controllo datoriale, confermando così il licenziamento del lavoratore Barbulescu.215

213_{Articolo 8 CEDU, comma 1.}

214_{CRISCUOLO,C., Il controllo sugli account di posta elettronica e di messaging aziendale, in Rivista Italiana}

di Diritto del Lavoro n. 2/2016, pagina 284.

215_{CRISCUOLO,C., Il controllo sugli account di posta elettronica e di messaging aziendale, in Rivista Italiana}

La conclusione che si può trarre dalla citata sentenza della Corte Europea dei Diritti dell’Uomo è la seguente: non può ritenersi contrastante con i principi fondamentali dell’Unione Europea una legge nazionale che permette al datore di lavoro di controllare il comportamento e l’attività lavorativa del dipendente, se sussistono determinate condizioni. In primo luogo, deve essere rispettato l’obbligo di preventiva informazione ai lavoratori. Secondariamente, il monitoraggio deve essere effettuato con modalità non eccedenti lo scopo, e quindi tali da impedire all’imprenditore di acquisire dati ed informazioni personali estranei al rapporto di lavoro.216

Nella situazione analizzata ha assunto un ruolo centrale l’adeguata informazione circa le regole aziendali sulla privacy elettronica, opportunamente resa al lavoratore. Individuare una politica datoriale della privacy elettronica consente infatti di trasformare la posta elettronica da “corrispondenza chiusa” a “corrispondenza aperta”. Come quella cartacea, la corrispondenza informatica si può definire “chiusa” e come tale oggetto di tutela, anche penale: basti pensare alle sanzioni della reclusione e della multa previste in ipotesi di violazione, sottrazione e soppressione. A dire il vero, i messaggi scambiati sul luogo di lavoro, specialmente se inviati con strumenti forniti dall’azienda, sono di incerta classificazione. È anche per questo che è intervenuto il Garante con l’emanazione delle Linee Guida per posta elettronica e internet, per fugare ogni dubbio circa la tutela che deve essere accordata all’uso della posta elettronica sul lavoro.

Attraverso un processo di regolamentazione, realizzato mediante la specifica previsione dei poteri datoriali, viene meno ogni aspettativa di privacy del lavoratore. Con una procedura trasparente risulta chiaro, ad ogni membro dell’organizzazione, l’uso che deve essere fatto dello strumento, che diventa in tal modo un mezzo impiegato unicamente a fini lavorativi. La politica interna sulla privacy elettronica muta pertanto la caratteristica principale della corrispondenza, che diventa “aperta”, con la conseguenza che nessun lavoratore può più avanzare pretese e aspettative di riservatezza, ed allo stesso tempo il datore può acquisire maggiori facoltà (non solo di

216_{RAIMONDI,E., La riservatezza del lavoratore tra innovazioni legislative e giurisprudenza nazionale ed}

controllo del contenuto dei messaggi di posta, ma anche di analisi ed altri trattamenti).217

Si ha l’esclusione del carattere chiuso della posta elettronica, a ben vedere, anche in un’altra occasione, ossia in caso di previsione di una password per l’accesso all’account

e-mail del dipendente. Viene meno infatti l’aspettativa di riservatezza del lavoratore

qualora l’imprenditore abbia libero accesso alla sua casella di posta, in virtù del possesso di detta password. Ciò è quanto affermato dalla Corte di Cassazione con la sentenza 11- 19 dicembre 2007, n. 47096. Nello specifico, la Suprema Corte ritiene che «quando il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso»218_{. L’esistenza (e la disponibilità) di una}

chiave di accesso non consente quindi di qualificare la corrispondenza come “chiusa” (e quindi esclude l’applicabilità di quanto disposto dal comma 1 dell’art. 616 c.p.). In ogni caso, affinché sia consentito l’accesso del datore di lavoro, è necessario che il dipendente sia informato della possibilità di controllo, e che ciò sia esplicitato nel disciplinare interno.219

Fino ad ora questo paragrafo ha trattato dell’aspettativa di privacy del dipendente e del potere che il datore di lavoro ha di controllare l’utilizzo che il primo fa dell’indirizzo di posta elettronica aziendale. In questo caso il lavoratore utilizza l’account e-mail aziendale, in orario di lavoro o al di fuori di questo. È diversa l’ipotesi in cui, al contrario, il lavoratore invia o riceve messaggi con l’indirizzo e-mail personale durante l’orario di lavoro. In simili situazioni non vi è alcun dubbio sul carattere “chiuso” della corrispondenza (trattasi di messaggi privati inviati da dispositivi privati), con la conseguenza che si riduce notevolmente il potere datoriale di controllo. L’imprenditore, non vantando alcuna pretesa sullo strumento (non è di sua proprietà), può solo

217_{LUGARESI,N., in Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, a cura di P.TULLINI,}

in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, volume LVIII,

Padova, 2010, pagine 101-102.

218_{Tratto dalla Cass. pen., sez. V, 11-19 dicembre 2007, n. 47096.}

219_{LUGARESI,N., in Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, a cura di P.TULLINI,}

in Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.GALGANO, volume LVIII,

contestare l’improprio uso del tempo del dipendente che, distraendosi in modo più o meno prolungato dalle proprie mansioni, è inadempiente nei confronti del datore di lavoro. Analoghe considerazioni possono essere presentate in riferimento alla navigazione in rete e all’accesso ai social networks effettuato dai lavoratori con i propri dispositivi mobili.220

Sia in quest’ultima ipotesi, ossia quella dell’inadempimento del prestatore di lavoro, sia nel caso di violazione del divieto di utilizzo indebito degli strumenti, resta da stabilire quali potrebbero essere le conseguenze disciplinari. In questo senso è opportuno che il datore di lavoro, nello specificare le modalità di utilizzazione dei dispositivi e di realizzazione dei controlli, specifichi anche le sanzioni previste in risposta ad ogni tipologia di violazione. Risulta chiaro anche qui il ruolo fondamentale della politica della privacy elettronica, adottata dall’intera organizzazione e portata a conoscenza di ogni suo membro.

La politica della privacy elettronica, fortemente sollecitata dal Garante della privacy, è però un presupposto necessario ma non sufficiente a risolvere ogni problematica che possa nascere nel tempo in relazione all’uso da parte del lavoratore di posta elettronica ed internet sul luogo di lavoro. E ciò perché è impossibile prevedere a priori, durante la redazione di un disciplinare interno, tutti i possibili fenomeni che si svolgono in rete e tutte le possibili violazioni, a causa della difficoltà di tenere il passo con le continue innovazioni tecnologiche.