La posta elettronica aziendale: tra segretezza della

Transcript

La posta elettronica aziendale: tra segretezza della
corrispondenza e diritto d'accesso del datore di lavoro
di Giovanni Cucchiarato(*) ed Alessandro Rossini(**)
SOMMARIO: 1. Introduzione: commento ad una sentenza della Corte
d’Appello della California. – 2. L’evoluzione giuridica del concetto di posta
elettronica aziendale. – 3. Il carattere personalistico dell’e-mail aziendale. –
4. Profili problematici. – 5. Conclusioni.
1. Introduzione: commento ad una sentenza della Corte d’Appello
della California
Il presente contributo prende spunto da una recente sentenza
statunitense in materia di diritto di accesso del datore di lavoro alle
comunicazioni inviate da un computer aziendale - e tramite un account
e-mail aziendale - tra un dipendente ed il suo avvocato (sentenza
“Holmes v. Petrovich Development Company, LLC, et. al.” del 13
gennaio 2011, Court of Appeal of the State of California, Third
Appellate District, Sacramento1).
Con tale provvedimento, che ad onor del vero ha ricevuto scarsa
attenzione da parte dei commentatori e dei mezzi di informazione
italiani, i giudici statunitensi hanno sancito il carattere “non
confidenziale” delle comunicazioni e-mail scambiate tra un lavoratore
(*)
Avvocato in Milano, specializzato in Diritto societario; Istituto Italiano per la
Privacy.
(**)
Praticante legale in Milano, specializzato in Informatica giuridica e Compliance
aziendale; Istituto Italiano per la Privacy.
1
Il provvedimento è reperibile in formato PDF ed in versione integrale in lingua
inglese presso il sito internet delle Corti d’Appello della California, all’indirizzo:
http://www.courtinfo.ca.gov/opinions/archive/C059133.PDF. Ai fini del presente
contributo sono rilevanti, in particolare, le pagg. 24 e ss. della pronuncia.
Diritto Economia e Tecnologie della Privacy
2
Giovanni Cucchiarato ed Alessandro Rossini
dipendente ed il proprio avvocato utilizzando un computer ed un
indirizzo di posta elettronica aziendali.
Il caso riguardava una ex dipendente della società “Petrovich
Development Company, LLC”, che aveva citato in giudizio tale
società ed il titolare della stessa (del quale aveva ricoperto il ruolo di
assistente) per molestie sessuali, ritorsioni, licenziamento illegittimo,
violazione del diritto alla privacy e provocazione intenzionale di stress
emotivo. In particolare, per quanto qui ci interessa, l’attrice lamentava
che nel corso del processo di primo grado (svoltosi avanti al Tribunale
Superiore di Sacramento e conclusosi con esito a lei sfavorevole), i
suoi ex datori di lavoro avevano prodotto quale prova in giudizio a suo
carico uno scambio di e-mail - di carattere riservato e privilegiato - tra
la stessa lavoratrice ed il suo avvocato. Nello specifico, con tale
corrispondenza elettronica, che era stata inviata dal computer
aziendale dell’appellante ed effettuata tramite l’utilizzo del suo
account di posta elettronica aziendale, veniva prospettata da parte
della stessa lavoratrice la possibilità di intentare una causa contro il
proprio datore di lavoro.
La Corte d’Appello californiana ha considerato legittimo l’utilizzo
di tale scambio di e-mail quale prova a carico dell’ex dipendente,
ritenendo che non dovesse trovare applicazione la normativa
statunitense che vieta la produzione in giudizio delle comunicazioni per loro stessa natura “riservate” - tra cliente ed avvocato. E ciò in
base all’assunto che il datore di lavoro, nel caso di specie, avesse il
diritto di accedere all’account di posta elettronica aziendale della
lavoratrice in quanto essa stessa: (1) era stata informata in merito alla
“policy aziendale”, ai sensi della quale i computer della società
dovevano essere utilizzati esclusivamente per scopi legati al business
dell’azienda ed era quindi vietato per i dipendenti il loro utilizzo al
fine di inviare o ricevere e-mail a carattere personale; (2) era stata
avvisata che la società avrebbe potuto monitorare i computer aziendali
ai fini dell’osservanza della propria policy e che quindi avrebbe potuto
controllare in qualsiasi momento tutti i files ed i messaggi in essi
contenuti; (3) era stata inoltre ammonita esplicitamente in merito al
fatto che ai dipendenti che utilizzano computer aziendali per creare o
mantenere informazioni o messaggi a carattere personale “non veniva
La posta elettronica aziendale
3
riconosciuto il diritto alla privacy in riferimento a tali informazioni o
messaggi”2.
La Corte californiana si è spinta poi fino ad equiparare le e-mail
inviate dalla lavoratrice al proprio legale per mezzo di un computer
aziendale ad una consultazione avvenuta in una sala riunioni, ad alta
voce e con la porta della stanza aperta, di modo che qualsiasi persona
ragionevole potesse aspettarsi che le lamentele della lavoratrice in
merito al suo datore di lavoro sarebbero state udite da quest’ultimo3.
Alla luce di un tale ragionamento, la Corte concludeva quindi per
l’assenza, nel caso di specie, del carattere “privilegiato” e
confidenziale della comunicazione tra cliente ed avvocato ai sensi
della normativa statunitense in materia (ossia dell’art. 952 del
”Evidence Code”, Codice in materia di Prove).
I passi richiamati della sentenza sopra citata, pur avendo portata più
generale rispetto all’oggetto del presente contributo (dal momento che
si riferiscono a tutte le comunicazioni e-mail che avvengono per
mezzo di un computer aziendale - abbiano esse luogo tramite un
account di posta elettronica privato o aziendale) e pur riguardando un
2
Cfr. il testo originale della sentenza, a pag. 2 della stessa, nel quale la Corte
d’Appello californiana ha statuito: “Among other things, we conclude that e-mails
sent by Holmes to her attorney regarding possible legal action against defendants
did not constitute “confidential communication between client and lawyer” within
the meaning of Evidence Code section 952. This is so because Holmes used a
computer of defendant company to send the e-mails even though (1) she had been
told of the company’s policy that its computers were to be used only for company
business and that employees were prohibited from using them to send or receive
personal e-mail, (2) she had been warned that the company would monitor its
computers for compliance with this company policy and thus might “inspect all files
and messages…at any time,” and (3) she had been explicitly advised that employees
using company computers to create or maintain personal information or messages
“have no right of privacy with respect to that information or message”.
3
Cfr. il testo originale della sentenza, a pag. 3: “the e-mails sent via company
computer under the circumstances of this case were akin to consulting her lawyer in
her employer’s conference room, in a loud voice, with the door open, so that any
reasonable person would expect that their discussion of her complaints about her
employer would be overheard by him”, nonché a pag. 30 della stessa sentenza.
4
caso sottoposto all’attenzione di un tribunale straniero4, possono
sicuramente rappresentare l’occasione per accendere (o riaccendere) il
dibattito su alcune problematiche rimaste per lo più irrisolte
nell’ambito della Dottrina e della Giurisprudenza italiane.
Nel presente contributo esamineremo in particolare la delicata e
complessa problematica relativa all’utilizzo degli indirizzi di posta
elettronica aziendale ed il connesso difficile contemperamento tra il
diritto del datore di lavoro di avere accesso alla posta elettronica
aziendale di un proprio dipendente (in particolare nei casi di
“improrogabili necessità aziendali”) e l’esigenza, profondamente
sentita soprattutto in tempi recenti, di tutelare la legittima aspettativa
di riservatezza sulla corrispondenza inviata tramite e-mail aziendale
dal lavoratore dipendente. Ci soffermeremo poi su uno dei principali
motivi che giustificano ed accentuano sempre più una tale aspettativa
di riservatezza del lavoratore, ossia il fatto che l’indirizzo e-mail
aziendale è oggi, nella stragrande maggioranza dei casi, “nominativo”,
dal momento che contiene il nome proprio del dipendente che lo
utilizza, acquisendo così esso una forte connotazione “personalistica”.
Al fine di meglio comprendere le problematiche sottese al presente
contributo è ora opportuno fare un breve excursus sull’evoluzione, dal
punto di vista giuridico, del concetto di e-mail aziendale nella realtà
legislativa, dottrinale e giurisprudenziale italiana.
4
Nella legislazione e nella giurisprudenza di merito italiane, nonché nelle pronunce
e nei provvedimenti del Garante per la protezione dei dati personali, in casi come
quello affrontato dalla sentenza della Corte californiana qui citata, la tutela del
diritto alla privacy del lavoratore si interseca e si contempera molte volte con la
normativa giuslavoristica, ed in particolare con il divieto di utilizzazione per il
datore di lavoro di mezzi di controllo a distanza del lavoratore, sancito dall’art. 4
della legge n. 300 del 1970 (cd. “Statuto dei Lavoratori”). A tale proposito cfr., in
materia di legittimità del controllo informatico del lavoratore in relazione alla
navigazione su internet ed all’invio di e-mail effettuati con strumenti aziendali ma
per scopi personali, una recente sentenza della Cassazione Civile, sez. Lavoro, n.
4357 del 23 febbraio 2010, in Giustizia Civile 2011, 4, 1054.
Per un’approfondita analisi sul tema cfr. il saggio di P. TULLINI, Comunicazione
elettronica, potere di controllo e tutela del lavoratore, in Rivista Italiana del Diritto
del lavoro, 2009, 3, 323.
5
2. L’evoluzione giuridica del concetto di posta elettronica
aziendale
I messaggi di posta elettronica rientrano oramai pacificamente nel
più ampio concetto di “corrispondenza”. Tuttavia, il percorso che ci
consente oggi di poter giungere agevolmente a tale conclusione non è
stato immediato. La Dottrina prima, il Legislatore e la Giurisprudenza
poi, hanno saputo analizzare il fenomeno dell’utilizzo e della
proliferazione dei documenti digitali adattando a tale nuova tipologia
di documenti i precedenti modelli normativi.
La differente natura ontologica del documento informatico ha,
infatti, creato non poche incertezze interpretative, incertezze superate
dapprima dal Legislatore penale che, con la legge n. 547 del 23
dicembre 1993, ha introdotto nel nostro sistema normativo il concetto
di documento informatico, un documento immateriale e, al contempo,
estremamente “reale”5.
La medesima legge n. 547/1993, modificando l’art. 616 del Codice
Penale in materia di violazione, sottrazione e soppressione di
corrispondenza, ha equiparato la corrispondenza telematica a quella
epistolare, prevedendo all’ultimo comma di tale norma che “agli
effetti delle disposizioni di questa sezione, per "corrispondenza" si
intende quella epistolare, telegrafica, telefonica, informatica o
telematica ovvero effettuata con ogni altra forma di comunicazione a
distanza”.
5
Cfr., in tema di “falso informatico”, M. PETRONE, Le recenti modifiche del codice
penale in tema di documento informatico: problemi e prospettive, in Il diritto
dell’informazione e dell’informatica, 1995, 259 ss.: “Quando pensiamo al
documento, perciò, dobbiamo pensare necessariamente a qualcosa di materiale e,
ovviamente, tutelando questo supporto materiale, noi tuteliamo tutto ciò che in esso
è rappresentato. Ed allora, non si poteva sfuggire all'alternativa, o di continuare a
parlare di qualcosa di materiale, oppure di modificare addirittura le forme della
condotta di falso. Non si sarebbe potuto parlare più, per il falso informatico, di
falsità materiale, di falsità ideologica, di falso per soppressione, ma, per esempio,
accettando la tesi del documento informatico come dato informatico - ossia come
contenuto di pensiero, privo di materialità - di cancellazione del dato, di
sostituzione del dato, di immissione di un dato falso, ecc.”.
6
Da allora tale equiparazione tra la corrispondenza epistolare
“classica” e quella informatica è stata interiorizzata dal sistema
giuridico italiano.
Con riferimento, poi, alla materia oggetto del presente contributo, è
importante individuare fin d’ora i punti nodali che ancora oggi non
appaiono pacificamente risolti dal Legislatore e che - anche prendendo
spunto dagli assunti posti a fondamento della pronuncia
giurisprudenziale della Corte statunitense citata in introduzione suscitano (o quantomeno dovrebbero suscitare) dibattiti non solo tra
gli esperti del settore, ma altresì tra tutti quei lavoratori che
quotidianamente utilizzano la posta elettronica aziendale anche per
finalità non strettamente lavorative.
L’art. 15 della nostra Costituzione Repubblicana sancisce
espressamente il principio di inviolabilità e segretezza della
corrispondenza e di ogni altra forma di comunicazione. Ai sensi di tale
norma costituzionale, la limitazione di un tale diritto di inviolabilità e
segretezza può avvenire solo in seguito ad un atto motivato
dell’autorità giudiziaria e con le garanzie stabilite dalla legge.
Tale diritto fondamentale è rafforzato poi dalla previsione del già
citato art. 616 del Codice Penale, che punisce con la reclusione fino a
un anno o con la multa da Euro 30 ad Euro 516 - sempre che il fatto
non sia previsto come reato da un’altra disposizione di legge chiunque prenda cognizione del contenuto di una corrispondenza
chiusa a lui non diretta, ovvero sottragga o distrugga, al fine di
prendere o di farne da altri prendere cognizione, una corrispondenza
chiusa o aperta a lui non diretta, ovvero la distrugga o sopprima in
tutto o in parte.
Tuttavia, la problematica legata al principio dell’inviolabilità e
segretezza della corrispondenza e le relative questioni interpretative
appaiono più sfumate quando si tratta di indirizzi di posta elettronica
cosiddetti “aziendali”.
Per posta elettronica aziendale si deve intendere il servizio di
account e-mail pagato dal datore di lavoro che, nella maggior parte dei
casi, è costituito dal nome della società dello stesso datore di lavoro
posto di seguito al simbolo della cosiddetta chiocciola “@”.
Sulla natura dell’indirizzo e-mail aziendale sono state avanzate,
con alterne fortune, diverse e contrastanti teorie in seno alla Dottrina.
7
Appare tuttavia oggi dominante, anche a seguito delle diverse
pronunce giurisprudenziali succedutesi in materia6, la teoria che
riconosce alla posta elettronica aziendale natura di “strumento di
lavoro”.
Sebbene la Giurisprudenza maggioritaria non riconoscesse - e
tutt’ora non riconosca - penalmente perseguibile ex art. 616 c.p. il
datore di lavoro che acceda alla posta elettronica del proprio
lavoratore dipendente, forti critiche venivano e vengono a tutt’oggi
avanzate da parte di coloro che vedono in tali condotte una lesione
della privacy del lavoratore e chiedono a più voci un intervento teso a
riconoscerne il diritto a mantenere segreta la corrispondenza
elettronica scambiata mediante e-mail aziendale.
Con delibera n. 13 dell’1 marzo 20077, pubblicata sulla G.U. n. 58
del 10 marzo 2007, il Garante per la protezione dei dati personali si è
espresso in merito a tale materia, emanando delle fondamentali “linee
6
Ex pluribus, cfr.: Ordinanza di archiviazione del G.I.P. presso il Trib. di Milano
del 10 maggio 2002, in Massimario della Giurisprudenza del Lavoro, 2002, II, 747:
“Le caselle di posta elettronica recanti quali estensioni nell'indirizzo e-mail
@[...].it, seppur contraddistinte da diversi "username" di identificazione e password
di accesso, sono da ritenersi equiparate ai normali strumenti di lavoro della società
e quindi soltanto in uso ai singoli dipendenti per lo svolgimento dell'attività
aziendale agli stessi demandata; considerando quindi che la titolarità di detti spazi
di posta elettronica debba ritenersi riconducibile esclusivamente alla società […]”;
Tribunale di Chivasso, sentenza del 20 giugno 2006, in Foro Italiano, 2007, 2, 132:
“Posto che l’”e-mail” aziendale appartiene al datore di lavoro, non sussiste il reato
di violazione di corrispondenza qualora il superiore gerarchico acceda alla posta
elettronica professionale del dipendente”, nonché: “L’e-mail aziendale appartiene
al datore di lavoro. In relazione al reato di cui all'art. 616 c.p. il fatto non sussiste
qualora, anche in presenza di adeguata policy aziendale, il datore di lavoro acceda
alla casella personalizzata del dipendente”, sentenza confermata dalla Cassazione
Penale n. 47096 del 19 dicembre 2007, in Guida al Lavoro - Il Sole 24 Ore, 4, 26;
Tribunale di Torino, sentenza del 15 ottobre 2006, in Diritto dell’Internet, 2007, 3,
275: “Non è configurabile il reato di violazione di corrispondenza allorquando il
datore di lavoro consulti i messaggi di posta elettronica recapitati sull’indirizzo
aziendale registrato a nome del dipendente, in quanto il datore di lavoro pone in
essere solo un uso di beni aziendali affidati ai dipendenti esclusivamente per ragioni
di servizio”.
7
Delibera reperibile presso il sito del Garante per la protezione dei dati personali,
all’indirizzo internet: http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522.
8
guida” che hanno permesso di fissare degli standard minimi al fine
poter garantire, da un lato, il rispetto della privacy del lavoratore e,
dall’altro lato, un’adeguata informativa rivolta ai dipendenti in merito
alla natura della posta elettronica aziendale quale “strumento di
lavoro”.
Con tale provvedimento del Garante vennero quindi fissati alcuni
obblighi in capo alle aziende, che appare opportuno richiamare, seppur
sommariamente, in questa sede.
Il datore di lavoro deve innanzi tutto informare con chiarezza ed in
modo dettagliato i dipendenti in merito alle modalità di utilizzo di
internet e della posta elettronica aziendale, nonché alla possibilità che
vengano effettuati controlli: (i) fornendo preventivamente ai
dipendenti una chiara e particolareggiata “informativa”, ai sensi
dell’art. 13 del D. Lgs. n. 196/2003 (Codice della Privacy), relativa ai
trattamenti di dati che possano riguardarli e (ii) adottando un
“disciplinare”/“codice interno” in cui siano chiaramente indicate le
modalità di utilizzo degli strumenti messi a disposizione del
dipendente, nonché la possibilità di controlli da parte dell’azienda
sull’utilizzo di tali strumenti. In aggiunta, il datore di lavoro deve
implementare misure di sicurezza tali da: (iii) assicurare la
disponibilità e l’integrità dei sistemi informativi e dei dati e (iv) poter
prevenire utilizzi indebiti che possano essere fonte di responsabilità.
Inoltre, al fine di dare ulteriori indicazioni pratiche alle aziende, il
Garante ha individuato delle misure organizzative e tecnologiche da
adottare al fine di garantire il rispetto della privacy del lavoratore,
quali l’utilizzo di indirizzi di posta elettronica condivisi tra più
lavoratori (in modo da rendere palese la natura non privata della
corrispondenza), ovvero l’inserimento nei messaggi di posta
elettronica di un avvertimento ai destinatari nel quale venga dichiarata
la natura non personale del messaggio e venga altresì specificato se le
risposte potranno essere conosciute all’interno dell’organizzazione di
appartenenza del mittente.
Le altre misure organizzative e tecnologiche indicate dal Garante
sono:
• l’individuazione preventiva (anche per tipologie) dei lavoratori ai
quali è accordato l’utilizzo della posta elettronica e l’accesso ad
internet;
9
•
•
•
•
•
•
l’individuazione di quale ubicazione debba essere riservata alle
postazioni di lavoro, al fine di ridurre il rischio di impieghi
abusivi;
il trattamento dei dati in forma anonima o tale da precludere
l’immediata identificazione degli utenti, mediante loro opportune
aggregazioni;
la conservazione dei dati per il tempo strettamente limitato al
perseguimento di finalità organizzative, produttive e di sicurezza.
A tal fine i sistemi software aziendali devono essere programmati
e configurati in modo da cancellare periodicamente ed
automaticamente i dati personali relativi agli accessi ad internet ed
al traffico telematico dei dipendenti, la cui conservazione non sia
necessaria e/o giustificata da una finalità specifica e comprovata e
limitata al tempo necessario - e predeterminato - a raggiungerla.
Un eventuale prolungamento dei tempi di conservazione deve
essere valutato come eccezionale e può avere luogo solo in
relazione ad esigenze tecniche o di sicurezza del tutto particolari
oppure all'indispensabilità del dato rispetto all’esercizio o alla
difesa di un diritto in sede giudiziale o, ancora, all’obbligo di
custodire o consegnare i dati per ottemperare ad una specifica
richiesta dell’autorità giudiziaria o della polizia giudiziaria;
l’attribuzione al dipendente di un indirizzo destinato ad uso
personale (oltre a quello di lavoro);
la previsione, in caso di assenza del dipendente, di un messaggio
di risposta automatica con le coordinate di altri dipendenti a cui è
possibile rivolgersi;
in caso di assenza prolungata o non prevista del dipendente - e per
improrogabili necessità legate all’attività lavorativa - la previsione
della possibilità per il dipendente di delegare ad un altro
dipendente (fiduciario) la verifica del contenuto dei messaggi a lui
destinati e l’inoltro al titolare di quelli ritenuti rilevanti per
l’ufficio.
3. Il carattere personalistico dell’e-mail aziendale
Oggigiorno l’utilizzo della posta elettronica appare imprescindibile
per quasi tutte le attività lavorative, tanto da assurgere, come si è
10
detto, a vero e proprio strumento di lavoro, uno strumento che il
datore di lavoro tendenzialmente mette a disposizione del proprio
dipendente o collaboratore a fini esclusivamente aziendali e che,
pertanto, viene fornito al lavoratore unicamente per lo svolgimento
delle mansioni cui esso è preposto.
Tuttavia, la posta elettronica aziendale presenta un’insuperabile
natura ambivalente in quanto, da un lato, rimane uno strumento solo
ad appannaggio del datore di lavoro, che la crea e ne rimane l’unico
proprietario e, dall’altro lato, viene però utilizzata de facto da una
persona fisica dipendente dell'azienda, un soggetto quindi diverso dal
proprietario/datore di lavoro, che sovente la utilizza anche a titolo
personale. Proprio tale dualità ed ambivalenza è alla base degli
interrogativi che portano a chiedersi se questo carattere
“personalistico” dell’indirizzo e-mail possa considerarsi un concetto
così slegato ed autonomo rispetto a quello di privatezza/riservatezza.
Lo strumento dell’e-mail aziendale è oggi sempre più spesso
composto dal nome proprio della persona/lavoratore dipendente che in
concreto utilizzerà la casella di posta elettronica, seguito dal nome
della società, nella classica formula, cui oramai siamo abituati,
“nome.cognome@società.it”.
Tale scelta risponde in primo luogo ad esigenze gestionali e di
marketing delle aziende, le quali sono oramai consapevoli di come,
nella corrispondenza con i clienti ed i fornitori, sia preferibile abbinare
al nome della società il nome proprio di una persona fisica, che diventi
un riferimento concreto ed ingeneri così un senso di maggiore
attenzione nei confronti del cliente o fornitore. Tale esigenza di
“personalizzazione” non sarebbe infatti adeguatamente raggiunta
utilizzando esclusivamente indirizzi di posta elettronica generalisti,
quali ad esempio “info@società.it” o “commerciale@società.it”8.
8
Cfr. sul punto M. Artusi, Internet marketing experience, I.M.E. Editore, 2008, 87
ss.: “L’e-mail marketing è una forma di direct marketing che utilizza la posta
elettronica come canale di comunicazione con il cliente attuale e potenziale. I
principali obiettivi dell’e-mail marketing sono: - acquisire nuovi clienti; - fidelizzare
la clientela esistente; - rafforzare l’immagine aziendale”.
11
Sebbene non si possa dubitare del carattere intrinsecamente
personale dell’indirizzo di posta elettronica aziendale9, soprattutto in
ragione del summenzionato carattere nominativo di questa tipologia di
e-mail, la Giurisprudenza e la Dottrina dominante hanno tuttavia
scisso da tale intrinseca caratteristica il concetto di riservatezza, il
quale concetto, ad opinione di chi scrive, parrebbe invero anch’esso
potersi ritenere connaturato negli indirizzi di posta elettronica
aziendale “nominativi”.
Come si può facilmente desumere dalle pronunce richiamate in
nota al paragrafo precedente, la Giurisprudenza prevalente ritiene
infatti che non sia possibile configurare alcun “diritto di esclusiva” in
capo al lavoratore dipendente sulla casella di posta elettronica
aziendale, neanche nel caso essa assuma il carattere nominativo sopra
evidenziato, essendo la titolarità di tale spazio di comunicazione da
ricondursi unicamente alla società datrice di lavoro.
4. Profili problematici
Ad opinione di chi scrive la problematica connessa alla tutela della
privacy del lavoratore dipendente non può comunque considerarsi
esaurita aderendo ciecamente all’impostazione della Giurisprudenza
descritta nei due paragrafi precedenti.
La “liquidità” della materia ed il suo continuo evolversi permettono
(ed impongono) di individuare nuovi scenari e valutare ulteriori profili
di complessità della tematica qui affrontata, capaci di dare nuovi ed
interessanti spunti di riflessione.
Il provvedimento del 22 aprile 2010 del Garante per la protezione
dei dati personali10 può e deve essere letto in quest’ottica. Affrontando
la materia del diritto alla privacy dell’ex dipendente di un’azienda, il
Garante ha infatti ricordato che “anche l’indirizzo e-mail di una
persona fisica è da considerarsi un dato personale. Difatti, gli
indirizzi e-mail [email protected] e [email protected], pur rappresentando un
9
Cfr. Ordinanza di archiviazione del G.I.P. presso il Trib. di Milano del 10 maggio
2002 cit.
10
Tale provvedimento è reperibile presso il sito del Garante, all’indirizzo internet
http://www.garanteprivacy.it/garante/doc.jsp?ID=1727692.
12
mezzo utilizzato dall’impresa per raccogliere gli ordini della
clientela, contengono il nome e cognome delle signore XY e YZ e sono
ad esse comunque riferibili da oltre un decennio”. E ancora:
“L’indirizzo e-mail attribuito al singolo lavoratore per lo svolgimento
delle sue mansioni determina quindi una legittima aspettativa di
riservatezza sulla corrispondenza, ma non garantisce la
confidenzialità dei messaggi inviati e ricevuti tramite lo stesso, poiché
l’account ad esso riferibile può essere eccezionalmente nella
disponibilità di accesso da parte del datore di lavoro qualora ciò si
renda necessario per improrogabili esigenze aziendali”.
Ad avviso di chi scrive la “legittima aspettativa” a cui si riferisce il
Garante nel provvedimento sopra citato non va intesa limitatamente
all’aspettativa di riservatezza dello stesso lavoratore dipendente, ma
può e deve essere letta anche con riferimento a quei soggetti terzi, i
quali possono ragionevolmente ritenere che il destinatario dei
messaggi da loro inviati ad un indirizzo e-mail nominativo, ancorché
aziendale, sia solo ed esclusivamente quella determinata persona che
utilizza quello specifico indirizzo di posta elettronica aziendale.
A tale proposito si pensi, ad esempio, a quelle società che decidono
di utilizzare nomi a dominio differenti, a volte anche profondamente,
rispetto alla ragione sociale o ai marchi della società stessa. In tali casi
il datore di lavoro dà al dipendente uno strumento lavorativo di
proprietà della società che, tuttavia, non è palesemente riferibile
all’impresa. In che modo potranno i terzi essere consapevoli che la
corrispondenza inviata a questi indirizzi e-mail potrebbe essere letta sia pure nei soli casi di “improrogabili esigenze aziendali” - da
persone diverse rispetto a quelle indicate nominativamente
nell’indirizzo di posta elettronica?
Anche in merito alla tutela del terzo ignaro del carattere
“aziendale” - e quindi “controllabile” - dell’indirizzo e-mail
nominativo, riteniamo che vada posto l’accento sull’importanza di una
adeguata “informativa” nei confronti dei terzi. Così come previsto dal
Garante per la protezione dei dati personali con le famose “linee
guida” del 2007 in tema di tutela della privacy del lavoratore
dipendente, anche i terzi destinatari e mittenti di messaggi di posta
elettronica ricevuti da, o inviati a, indirizzi e-mail aziendali, infatti,
debbono essere adeguatamente informati in merito al carattere non
13
privato e non personale di tali indirizzi e-mail. Ciò potrebbe avvenire,
ad esempio, tramite l’inserimento di un avviso rivolto ai terzi
destinatari di messaggi di posta elettronica aziendale, nel quale venga
chiaramente rivelata la natura non personale del messaggio, con
l’avvertimento che le informazioni contenute in eventuali messaggi di
risposta potranno essere conosciute da altri soggetti diversi dalla
persona a cui è riferibile nominativamente l’indirizzo di posta
elettronica in questione.
5. Conclusioni
Come si ha avuto modo di illustrare in queste brevi note, la materia
oggetto del presente contributo continua ad essere “fluida” ed a
portare con sé non poche problematiche di carattere pratico, alle quali
non è sempre facile trovare una soluzione che riesca a contemperare
appieno i vari interessi in gioco. L’interesse, in primo luogo, delle
decine di milioni di lavoratori dipendenti che oggigiorno in Italia
utilizzano, anche per scopi privati, un indirizzo di posta elettronica
aziendale nominativo. L’interesse, in secondo luogo, dei datori di
lavoro, i quali altrettanto legittimamente hanno la necessità accedere,
per la tutela della loro impresa ed in caso di improrogabili esigenze
aziendali, alle informazioni contenute negli account di posta
elettronica da loro stessi messi a disposizione - come qualsiasi altro
strumento di lavoro - dei propri dipendenti. Nonché l’interesse, infine,
di quei soggetti terzi che, per le più disparate ragioni, vengono a
contatto con un indirizzo di posta elettronica aziendale senza riuscire
molte volte a rendersi conto del carattere non privato e non
“personale” di tale indirizzo e-mail.
Pur essendo pienamente consapevoli delle difficoltà a cui si va
incontro nel cercare di trovare una soluzione di “compromesso” che
riesca effettivamente a contemperare ed a tutelare tali interessi tra loro
contrastanti, non vi è dubbio che argomentazioni quali quelle usate
dalla Corte d’Appello della California nella sentenza citata
nell’introduzione del presente contributo siano alquanto rischiose.
Negare il carattere di confidenzialità e riservatezza delle
comunicazioni tra cliente ed avvocato per il solo fatto di essere state
scambiate tramite un computer o un indirizzo e-mail aziendali, e
14
spingersi fino ad equiparare la corrispondenza scambiata con il
proprio avvocato tramite un indirizzo di posta elettronica aziendale ad
una conversazione avvenuta con lo stesso legale “in una sala riunioni
aziendale, ad alta voce e con la porta della stanza aperta”, può infatti
portare a conseguenze molto pericolose.
Muovendosi in un’ottica di salvaguardia dei diritti fondamentali dei
lavoratori dipendenti e cercando, allo stesso tempo, di offrire
comunque una forma di tutela alle legittime esigenze dei datori di
lavoro, è quindi necessario, ad opinione di chi scrive, un tipo di
approccio completamente diverso rispetto a quello dei giudici
americani qui citati. Propulsori di un tale approccio “innovativo”
devono essere in primo luogo il Legislatore, al quale compete la
responsabilità di cercare una soluzione che contemperi nel miglior
modo possibile tutti gli interessi in gioco, ed in secondo luogo la
Giurisprudenza, che ha invece il compito, in attesa di un intervento
legislativo, di trovare soluzioni adeguate, nell’attuale contesto
normativo, alla delicatezza e complessità della materia. Soluzioni che,
partendo dalle linee guida e dalle equilibrate posizioni espresse nei
provvedimenti del nostro Garante per la protezione dei dati personali,
mettano in primo piano, ad esempio, l’importanza degli obblighi di
informativa e di formazione da parte dei datori di lavoro nei confronti
dei loro lavoratori dipendenti. Senza quindi approdare a soluzioni
semplicistiche e senza pensare che oggigiorno sia possibile vietare
l’utilizzo dell’e-mail aziendale (anche) per scopi non strettamente
lavorativi, ovvero che sia possibile precludere l’utilizzo, tramite un
computer aziendale e durante l’orario di lavoro, (anche) ad un
indirizzo di posta elettronica personale, dal momento che quello
dell’e-mail è diventato - quanto meno nel mondo industrializzato - di
gran lunga lo strumento di comunicazione più utilizzato.

La posta elettronica aziendale: tra segretezza della

Transcript

Documenti analoghi

Uso del PC in Azienda

Accertamenti del Garante: accesso gratuito ad Internet In riferimento

about:blank

Capo VI - INFORMAZIONE E FORMAZIONE DEI LAVORATORI.

LETTERA DI REFERENZE

Privacy a scuola

Associazione KI NO KENKYUKAI Italia

Abstract Ducato

Programma giornate formative