- 04 Mag 2016
-
Accesso alla mail aziendale del dipendente solo con regole precise
di Rossella Schiavone -
L’accesso da parte del datore di lavoro o del superiore gerarchico alla mail aziendale del dipendente può essere necessario per l’adempimento di attività lavorative indispensabili in assenza dello stesso o in altre casistiche diverse.
La questione è però alquanto spinosa a fronte dei diversi orientamenti giurisprudenziali.
Tuttavia le linee guida del Garante per posta elettronica e internet del 2007 possono fornire un utile aiuto.
Le sentenze della Cassazione
La Corte di cassazione penale, con sentenza 13057 del 31 marzo 2016, si è occupata di una questione inerente gli accessi di un dipendente pubblico nella casella di posta elettronica, protetta da password, di un collega subalterno. Il superiore gerarchico aveva, dopo l'accesso, preso visione di documenti e alcuni li aveva anche scaricati.
Per la Suprema corte, la protezione della propria mail con l'apposizione di una password rivela la chiara volontà dell'utente di farne uno spazio a sé riservato e ogni accesso abusivo concreta l'elemento materiale del reato previsto dall'articolo 615 ter del codice penale (accesso abusivo ad un sistema informatico o telematico).
La circostanza che la mail fosse attivata in un sistema informatico pubblico - al servizio cioè di una pubblica amministrazione - non fa alcuna differenza perché, ha spiegato la Cassazione, qualora le caselle di posta elettronica siano protette da password personalizzate a nome di uno specifico dipendente, quelle “caselle” rappresentano il domicilio informatico proprio del dipendente, sicché l'accesso abusivo alle stesse, da parte di chiunque (quindi, anche da parte del superiore gerarchico), integra il reato dell'articolo 615 ter del codice penale, giacché l'apposizione dello sbarramento - avvenuto col consenso del titolare del sistema - dimostra che:
-a quella “casella” è collegato uno ius excludendi, di cui anche i superiori devono tenere conto;
-la casella rappresenta uno “spazio” a disposizione - in via esclusiva - della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza.
Inaccettabile è, inoltre, l'equiparazione - fatta dalla difesa del ricorrente - della casella di posta elettronica alla “cassetta delle lettere” collocata nei pressi dell'abitazione, poiché detta “cassetta” non è destinata a ricevere e custodire informazioni e non rappresenta una “espansione ideale dell'area di rispetto pertinente al soggetto interessato”, ma un contenitore fisico di elementi (cartacei e non) solo indirettamente riferibili alla persona.
Sulla questione è d'obbligo, però, evidenziare un interessante orientamento espresso dalla Cassazione, con sentenza 47096 del 19 dicembre 2007, in forza del quale non integra il reato previsto dall'articolo 616 del codice penale (violazione, sottrazione e soppressione di corrispondenza) la lettura della e-mail aziendale del dipendente da parte del suo superiore gerarchico o del datore di lavoro quando la mail è protetta da password ma è previsto che il datore di lavoro o il superiore gerarchico del lavoratore debba essere messo a conoscenza della password del dipendente per l'accesso alla sua casella.
Infatti, in tal caso, la corrispondenza elettronica può dirsi “chiusa” solo nei confronti dei soggetti che non siano legittimati all'accesso dei sistemi informatici di invio o ricezione dei singoli messaggi.
Pertanto, secondo tale orientamento, quando la corrispondenza è protetta da password, si deve ritenere che la stessa sia legittimamente conoscibile da tutti coloro che possiedono la chiave di accesso a tale sistema informatico.
Le linee guida del Garante
Per il Garante per la privacy, il trattamento dei dati relativo all'utilizzo delle tecnologie informatiche deve essere ispirato alla trasparenza e quindi va assolutamente esclusa la possibilità di controllo informatico all'insaputa dei lavoratori interessati.
Tuttavia, a determinate condizioni, il datore di lavoro può controllare la posta elettronica aziendale data in uso al proprio dipendente, ma per fare ciò deve indicare, chiaramente e in modo particolareggiato, le modalità ritenute corrette di utilizzo degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli.
A tal proposito il Garante suggerisce l'adozione di un disciplinare interno, da redigere in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall'art. 7 dello Statuto dei lavoratori, ecc.) e da sottoporre ad aggiornamento periodico.
In effetti, con specifico riferimento all'impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita all'indirizzo di posta elettronica nei singoli casi, in mancanza di una policy, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell'organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa.
Tali incertezze si riflettono sulla qualificazione, in termini di liceità, del comportamento del datore di lavoro che intenda apprendere il contenuto di messaggi inviati all'indirizzo di posta elettronica usato dal lavoratore o di quelli inviati da quest'ultimo.
Per questo le Linee Guida suggeriscono di specificare nella policy interna:
- in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica, anche solo da determinate caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco temporale di utilizzo (ad es., fuori dall'orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
- se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime per cui verrebbero effettuati e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
- quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica sia utilizzata indebitamente;
- le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell'attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all'attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti.
Per il Garante è, inoltre, opportuno adottare accorgimenti anche per prevenire eventuali trattamenti in violazione dei principi di pertinenza e non eccedenza; tali accorgimenti possono risultare utili per contemperare le esigenze di ordinato svolgimento dell'attività lavorativa con la prevenzione di inutili intrusioni nella sfera personale dei lavoratori, nonché violazioni della disciplina sull'eventuale segretezza della corrispondenza.
In questo quadro è opportuno che:
- il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, info@ente.it, ufficiovendite@ente.it, ufficioreclami@società.com, urp@ente.it, etc.), eventualmente affiancandoli a quelli individuali (ad esempio, m.rossi@ente.it, rossi@società.com, mario.rossi@società.it);
- il datore di lavoro valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del dipendente;
- il datore di lavoro metta a disposizione di ciascun lavoratore apposite funzionalità di sistema, di agevole utilizzo, che consentano di inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le “coordinate” (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura.
É parimenti opportuno prescrivere ai lavoratori di avvalersi di tali modalità, prevenendo così l'apertura della posta elettronica. In caso di eventuali assenze non programmate (ad es., per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il titolare del trattamento, perdurando l'assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad es., l'amministratore di sistema oppure, se presente, un incaricato aziendale per la protezione dei dati), l'attivazione di un analogo accorgimento, avvertendo gli interessati;
-in previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all'attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, l'interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi ed a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa. A cura del titolare del trattamento, di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile;
-i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale.