Diritto & Diritti - rivista giuridica on line

Il costante processo di informatizzazione consente all’azienda di poter rendere disponibili a grandi numeri di dipendenti strumenti di lavoro informatici, il cui scorretto utilizzo può gravemente nuocere all’interesse del datore di lavoro.

L’abuso della casella postale informatica assegnata al dipendente e gli accessi ad Internet per finalità extra-lavorative, possono provocare danni all’azienda non solo come perdita di risorse lavorative (tempo, occupazione di banda), ma anche in termini di danni provocati dall’illecita o incauta attività svolta in rete dal lavoratore (virus informatici, trasmissione notizie riservate, commissione di reati attribuibili all’azienda).

Dall’altra parte, la tecnologia informatica permette al datore di lavoro di poter verificare con precisione ogni utilizzo improprio degli strumenti informatici, “registrando” ogni connessione alla rete, consentendo di risalire al testo delle e-mail digitate e ricevute sul computer del dipendente, nonché all’indirizzo dei siti dallo stesso visitati.

La possibilità (tecnica) di usufruire efficacemente di tali forme di controllo si scontra, però, con la copiosa normativa che disciplina specificamente il rapporto di lavoro e, in generale, la tutela della riservatezza.

Avviene pertanto che i rimedi che l’azienda potrebbe predisporre per la salvaguardia del proprio patrimonio sono in contrasto con una variegata normativa, in parte di origine lontana e datata[1], adattata al caso dalle interpretazioni dottrinali e giurisprudenziali (Statuto dei Lavoratori), e in parte di nuova fattura (Legge 675/96), comunque anch’essa in costante aggiornamento[2].

Segnatamente, il rapporto giuridico sotteso al caso in esame è disciplinato da varie fonti.

Anzitutto, procedendo in ordine gerarchico, la Costituzione della Repubblica Italiana dispone i principi fondamentali che delineano, da una parte, i diritti del lavoratore (artt. 35 e 36 Cost.[3]), dall’altra, i poteri organizzativi del datore di lavoro (art. 41 Cost.[4]). Inoltre, per quanto qui interessa, la Costituzione tutela la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione (art. 15 Cost.[5]). La violazione della corrispondenza costituisce appunto reato ex art. 616 c.p..

E’ il Codice Civile, poi, che costituisce il compendio generale della normativa che regolamenta l’intera organizzazione sociale, in particolare i precetti organizzativi e gerarchici anche nel mondo del lavoro (Libro 5° - Titolo II).

Lo Statuto dei Lavoratori (L. 300/1970), all’art. 4, sancisce il divieto di controlli a distanza dell’attività dei lavoratori, imponendo severe conseguenze penali (Art. 38, Stat. lav.) in caso di violazione del precetto.

La tutela del lavoratore è ulteriormente aumentata di spessore con l’entrata in vigore della legge n. 675 del 1996 in materia di privacy, succeduta dal recente Testo Unico[6]. Come è noto, tale legge impone, per procedere ad ogni trattamento di dati personali, il rispetto di determinati criteri guida. I criteri enunciati intendono garantire il rispetto del diritto alla riservatezza, alla dignità personale e, in genere, alle libertà fondamentali dell’individuo.

Le fondamentali norme appena citate (peraltro non esaustive dell’argomento), gli interessi in gioco, la diffusione della fattispecie e la difficoltà di trovare un orientamento univoco per risolvere la questione, hanno reso l’argomento popolare, attirando l’attenzione dei massmedia e degli operatori del settore.

Arduo diventa così il compito del giurista che debba fornire all’impresa un vademecum chiaro e sicuro, e soprattutto duraturo, dei rimedi preventivi da adottare, nonché delle tutele eventuali a cui ricorrere in caso di accertate infrazioni.

1- LE FINALITA’ DEL CONTROLLO AZIENDALE

Prima di entrare nello specifico degli scopi per i quali il datore di lavoro vuole (e deve) organizzare la propria attività in modo tale da riuscire ad avere un controllo sul traffico telematico interno, e verso l’esterno, è necessario sottolineare perché sia importante individuare la finalità del controllo.

Chiarire il risultato che l’azienda persegue attribuisce un valore pratico ad una discussione altrimenti ridotta alla pura teoria, ad una mera esercitazione sul contemperamento di interessi.

La finalità del controllo, inoltre, deve essere nota, e non solo all’imprenditore stesso, per evitare che il controllo possa prestare il fianco a strumentali critiche che lo qualificherebbero come un arbitrario esercizio di potere. L’enunciazione delle finalità del controllo, pertanto, costituisce la prima limitazione che l’azienda si pone; questo concetto è stato definito dal Gruppo di lavoro sulla protezione dei dati –ARTICOLO 29[7] come il principio della finalità, secondo il quale “i dati vanno raccolti per uno scopo determinato, esplicito e legittimo, evitando di trattarli in un secondo momento in modo incompatibile con tali finalità.”[8]

Infine, la finalità del controllo, oltre a rappresentare l’interesse del datore di lavoro da contrapporre agli opposti interessi del lavoratore nel giudizio di contemperamento, potrebbe in determinati casi previsti dalla legge scriminare le attività di controllo dell’imprenditore altrimenti considerate illegittime. L’operatività di tale esimente è comunque subordinata alla conoscibilità della finalità del controllo, che pertanto dovrà opportunamente essere dichiarata dall’imprenditore nella policy aziendale (cfr. infra sub 3.2).

1.1 - Tutela e salvaguardia del patrimonio aziendale.

Le finalità oggetto del presente paragrafo sono quelle che attengono al mero interesse diretto dell’imprenditore; ovvero quei risultati i cui effetti positivi sono immediatamente percepibili per l’azienda.

Nell’azienda, di qualsiasi grandezza essa sia, lo strumento di lavoro più diffuso e accessibile in mano al dipendente è il computer. Nella grande maggioranza dei casi il pc è inserito in una rete aziendale[9] (LAN), con possibilità di connessione all’esterno alla rete Internet. La funzione principale di tale struttura è permettere la comunicazione tra diverse postazioni fisicamente lontane, non solo all’interno della stessa azienda, ma anche all’esterno attraverso i server del mittente e del destinatario. All’aumento di velocità di trasmissione dei dati è corrisposto un incremento della capacità produttiva, talché, ora, l’informatizzazione è considerata un processo irrinunciabile.

Il fenomeno che l’imprenditore vuole eliminare è la dispersione dell’efficienza raggiunta a causa dell’utilizzo degli strumenti informatici da parte dei lavoratori, in orario di servizio, per fini privati. Il dipendente, che si distrae con la navigazione in Internet per fini extra lavorativi o che scrive mail personali dal computer aziendale, sottrae tempo (retribuito) altrimenti dedicato alla produzione[10]. L’esigenza dell’imprenditore, tutt’altro che ingiustificata, è in linea con il dettato normativo di cui all’art. 2104 c.c.[11] che impone al dipendente l’obbligo di diligenza nella prestazione lavorativa, e pertanto ritiene sanzionabili disciplinarmente gli usi personali dei beni aziendali affidati per l’espletamento delle mansioni assegnate.

L’orientamento della giurisprudenza è peraltro in linea con quanto affermato: la Cassazione ha ribadito che l’utilizzo privato, salvo casi eccezionali, del telefono aziendale da parte del lavoratore può costituire causa di licenziamento[12]; sul tema specifico dell’utilizzo degli strumenti telematici aziendali la giurisprudenza di merito ha sottolineato come essi siano in mano al lavoratore solo per l’esecuzione della propria prestazione lavorativa[13]. Per completezza, non si può tacere della posizione completamente opposta del Gruppo – Articolo 29, il quale consiglia di concedere gli strumenti informatici anche a fini personali. E’ opportuno, invece, dare disposizioni all’interno dell’azienda affinché non esistano margini di tolleranza di tali “spazi privati”, la concessione dei quali, a livello pratico, e in prospettiva di eventuale controversia giudiziale, rischierebbe di rendere labili e opinabili i limiti oltre il quale l’uso tollerato diviene abuso.

Dall’altra parte è altrettanto opportuno evidenziare che la dottrina più attenta ha escluso che il mero utilizzo della connessione ad Internet da parte del lavoratore possa costituire fattispecie di reato[14]. In ogni caso è pur sempre vero che l’uso improprio degli strumenti informatici, oltre ad arrecare un danno all’imprenditore in termini di perdita di tempo lavorato, costituisce una diminuzione della capacità di memoria e di larghezza di banda disponibile[15].

Inoltre la tutela del patrimonio aziendale si inserisce in quel costante processo di “sicurezza informatica”[16] che riflette la necessità di proteggere le informazioni e i dati interni da attacchi esterni di vario genere: sporadici e casuali come possono essere i virus, ma anche mirati e preordinati per carpire o distruggere segreti aziendali. I danneggiamenti ai sistemi informatici (intenzionali o meno) sono agevolati dalla negligenza del dipendente sprovveduto[17] che, in assenza di controllo e di prescrizioni, potrebbe installare programmi nocivi al sistema, scaricare allegati sospetti disattivando la protezione per “fare prima”, comunicare password, vittima di un attacco di social engineering[18], etc. Non occorre specificare gli ingenti danni che il datore di lavoro sarebbe costretto a sopportare a causa di tali superficiali disattenzioni. Analizzare e prevenire tali rischi è più conveniente di riparare il danno già verificato.

La sicurezza informatica, una cui componente è sicuramente il controllo del traffico telematico, è pertanto un investimento da non trascurare e sottovalutare poiché i benefici sono anzitutto rivolti all’imprenditore stesso.

Da ultimo, ma non ultimo in termini di frequenza, è il rischio di danni alla reputazione a cui è soggetta l’azienda dai cui indirizzi mail partono messaggi dal contenuto extralavorativo e di dubbio decoro, che, magari, vengono successivamente girati “a catena” in modo da raggiungere una quantità indefinita di utenti della Rete. Si pensi al discredito che riceverebbe l’ingenuo imprenditore, evidentemente privo di una e-mail policy, a causa delle facezie dei propri dipendenti.

1.2 - Tutela delle condizioni di lavoro.

Il controllo del datore di lavoro può perseguire la finalità della tutela delle condizioni di lavoro imposte dalla legge. Il controllo, in questa accezione, è obbligato e direttamente posto a tutela del lavoratore, anche se, in via mediata, si risolve nell’evitare all’imprenditore le conseguenze negative a cui sarebbe chiamato a rispondere in quanto datore di lavoro.

La norma di riferimento è l’art. 2087 c.c., la quale rappresenta una norma fondamentale in materia di sicurezza sul lavoro in quanto mira ad identificare l’obbligo generale di sicurezza cui deve attenersi l’imprenditore per qualsiasi attività. La norma testualmente dispone che: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”. Si tratta di una norma la cui inosservanza determina casi di responsabilità civile e che impone un continuo aggiornamento degli strumenti di prevenzione secondo quanto il progresso tecnico suggerisce in materia.

In questa prospettiva di tutela, il controllo degli accessi Internet e delle e-mail entranti, al fine di evitare la comunicazione di materiale lesivo della moralità del dipendente[19], diviene addirittura un obbligo per il datore di lavoro. La giurisprudenza è infatti unanime nell’individuare l’obbligo di tutela delle condizioni di lavoro anche da agenti esterni[20].

Deriva poi, sempre dall’art. 2087 c.c., l’obbligo per il datore di lavoro di impedire il verificarsi di comportamenti discriminatori, nei confronti di un determinato dipendente, fortemente agevolati dall’uso delle e-mail nell’azienda. Il riferimento è al mobbing[21], ovvero quei ripetuti comportamenti aggressivi messi in atto da colleghi di lavoro contro un soggetto di pari grado al fine di emarginarlo attraverso l’ostilità o la non comunicazione. Lo scambio di e-mail, tra dipendenti, aventi ad oggetto offese, maldicenze o battute riferite ad un collega ignaro, se non addirittura destinatario, dei messaggi circolanti, configura un’ipotesi di responsabilità che il datore di lavoro è tenuto a prevenire.

Inoltre, a chiusura dell’esame degli obblighi di controllo imposti dalla legge, vi è la normativa enunciata nel Decreto Legislativo n. 626 del 1994. Il decreto (che ha recepito otto direttive comunitarie) ha posto obblighi a carico del datore di lavoro circa la valutazione del rischio, la predisposizione di misure preventive di sicurezza, l’informazione e la formazione dei lavoratori, l’organizzazione di servizi di prevenzione e di protezione con designazione del responsabile e l’istituzione del rappresentante dei lavoratori a tutela della salute e della sicurezza nei luoghi di lavoro. In particolare, all’interno del Titolo VI – Uso di attrezzature munite di videoterminali, tra le tante prescrizioni a carico del datore di lavoro, l’art. 54 impone che il dipendente abbia “una pausa di quindici minuti ogni centoventi minuti di applicazione continuativa al videoterminale”. Poichè il mancato rispetto di questa norma rende responsabile il datore di lavoro, è più che plausibile che quest’ultimo, in ottemperanza all’obbligo impostogli dalla legge, si adoperi installando un dispositivo di segnalazione del tempo di applicazione del dipendente al computer; che, comunque, si risolverebbe in una forma di controllo[22].

Pertanto anche quando la finalità del controllo è posta, ed imposta, a tutela del lavoratore, il datore di lavoro godrà degli espedienti adottati in termini di diminuzione del rischio di possibili responsabilità contrattuali per eventuali lesioni che il lavoratore dovesse subire nell’adempimento della prestazione lavorativa.

1.3 - Prevenzione di eventuali illeciti del dipendente: profili di responsabilità.

L’abuso da parte dei dipendenti degli strumenti informatici, affidati dall’azienda per lo svolgimento delle loro mansioni, espone quest’ultima al rischio di un coinvolgimento civile e penale in caso di illeciti nei confronti di terzi. Il controllo del datore di lavoro, inserito in un più ampio processo di sicurezza, tende, quindi, ad evitare tale coinvolgimento.

Prima di affrontare quali siano gli “illeciti possibili”, analizziamo le fonti che tracciano i diversi regimi di responsabilità dell’azienda.

Il primo profilo di responsabilità a carico dell’azienda deriva dall’obbligo risarcitorio connesso alla commissione di un reato o di un fatto illecito da parte del dipendente. L’art. 2049 c.c. prevede che “i padroni e i committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell’esercizio delle incombenze a cui sono adibiti”. Alla stregua di questa norma, il terzo danneggiato può validamente chiedere il risarcimento del danno subito, non solo a colui che ha commesso direttamente il fatto (il dipendente), ma anche al datore di lavoro a prescindere di un’eventuale responsabilità penale di quest’ultimo. E’doveroso aggiungere che l’interpretazione giurisprudenziale data alla norma amplia notevolmente il grado di responsabilità dell’azienda, posto che si è ritenuto responsabile il datore di lavoro anche nel caso in cui l’evento dannoso sia stato semplicemente agevolato dall’adempimento dell’incarico[23] e anche ove il dipendente abbia agito oltre i limiti delle sue mansioni[24], o addirittura in violazione degli ordini ricevuti[25]. L’azienda dovrà pertanto tutelarsi preventivamente con l’adozione delle opportune misure per evitare la commissione di illeciti da parte del dipendente, nonché, a giochi fatti, per tentare di fornire la prova di aver fatto il possibile per evitare l’illecito, ed essere conseguentemente sollevata da responsabilità.

I comportamenti telematici illeciti del lavoratore possono essere penalmente rilevanti. In questo caso il coinvolgimento dell’azienda, ferma restando la responsabilità civile di cui sopra, può avere riflessi penali. Il nostro ordinamento prevede infatti la categoria dei cosiddetti “reati omissivi impropri”[26], che si concretizzano nella violazione di un generico obbligo giuridico di impedire determinati eventi dannosi. La posizione di garanzia in capo al datore di lavoro, da cui deriva l’obbligo di controllo, deriva dal rapporto di lavoro stesso. Pertanto in caso di reato compiuto dal lavoratore, sarà perseguibile penalmente anche il datore di lavoro, a titolo di concorso nel reato, per non aver impedito l’azione adottando idonee misure di prevenzione e controllo.

Invero, la responsabilità penale del datore di lavoro, nelle grandi aziende, sarebbe esclusa qualora il titolare (o gli amministratori) abbia delegato quella specifica funzione di prevenzione e controllo ad un altro soggetto[27]. In tal modo il coinvolgimento penale dell’azienda è limitato a quella figura gerarchicamente inferiore (rispetto al “datore di lavoro”) che effettivamente ha il controllo sul traffico telematico. Incidentalmente, vista la similarità delle competenze richieste, si suggerisce che tale ruolo potrebbe essere rivestito da una delle figure create dalla normativa sulla privacy; ad esempio il responsabile del trattamento[28].

In concreto i reati possibili che il lavoratore può compiere grazie alla disponibilità di una connessione in rete sono molti e ciò intensifica il grado di attenzione che il datore di lavoro deve prestare. La dottrina distingue tra reati commessi mediante Internet e reati commessi su Internet[29], catalogando in tal modo rispettivamente i reati comuni, previsti nel Codice Penale o in altre leggi speciali, caratterizzati dalla novità rappresentata dal mezzo Internet, e i reati di nuova previsione introdotti con la legge 23.12.1993, n.547 in tema di criminalità informatica.

I reati commessi mediante Internet contemplano fattispecie alquanto eterogenee, accomunate dal fatto che sono state previste ben prima della venuta di Internet e che tale innovazione ha agevolato la loro commissione. Trovano pertanto fertile terreno in Internet i delitti legati alla parola: in particolare contro l’onore, come l’ingiuria[30] e la diffamazione[31]; ma anche l’istigazione a delinquere[32], fino all’apologia[33]; come pure la rivelazione di segreti professionali o industriali[34].

Potrebbe altresì avere rilevanza penale, lo spamming[35] ovvero l’invio, talvolta in modo continuativo, di messaggi non richiesti[36]; la fattispecie potrebbe rientrare con qualche forzatura nella previsione dell’art.660 c.p. – Molestia o disturbo alle persone. Non sorgono invece dubbi sul fatto che lo spamming, una volta manifestato il dissenso da parte dell’utente ricevente, configuri il reato di trattamento illecito di dati personali di cui all’art. 167 del Testo Unico sulla Privacy, già art. 35 legge 675/1996. Conferma ciò il provvedimento del Garante della Privacy che ha bloccato il data-base di sette società operanti su Internet, per aver inviato messaggi promozionali e pubblicitari via mail senza aver acquisito il consenso dei destinatari[37].

Inoltre, particolari attenzioni deve porre il datore di lavoro nei riguardi degli strumenti informatici assegnati ai dipendenti per evitare il realizzarsi delle specifiche figure delittuose previste in materia di diritto d’autore dalla legge 633/1941, così come modificata dalla recente legge 248/00[38]. Ci si riferisce all’illecita duplicazione o distribuzione di programmi per elaboratore[39], ferme restando le norme penali applicabili per le altre opere dell’ingegno.

Ancora più rigoroso diviene poi il controllo auspicato, comprendendo anche il materiale che il dipendente salva nella memoria del proprio computer, se si pone attenzione ai reati connessi alla pedopornografia introdotti dalla legge 3 agosto 1998, n. 269. Viene punito infatti non solo chi “anche per via telematica, distribuisce, divulga o pubblicizza il materiale pornografico” riguardante minori, “ovvero distribuisce o divulga notizie o informazioni finalizzate all’adescamento o allo sfruttamento di minori”[40], ma anche chi cede, “anche a titolo gratuito”, materiale pedopornografico[41] e addirittura chi ne disponga[42].

Rimangono ancora da elencare i reati commessi su Internet, introdotti dal legislatore per disciplinare comportamenti che, probabilmente, erano in ogni caso punibili con le norme già esistenti, ma che rischiavano di costringere l’interprete ad una pericolosa interpretazione analogica. Così, ad esempio, sono previsti reati a tutela del “domicilio informatico” come l’accesso abusivo ad un sistema informatico o telematico (Art. 615-ter c.p.)[43] e la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (Art. 615-quater c.p.). Altre norme tutelano l’integrità dei sistemi informatici e telematici dal danneggiamento (Art. 635-bis c.p.) o dalla diffusione di programmi diretti a danneggiarli o interromperli (Art. 615-quinques).

E’ stata inoltre introdotta la specifica previsione della “frode informatica” (Art. 640-ter c.p.) che punisce chiunque altera il funzionamento di un sistema informatico o interviene senza diritto su dati, informazioni o programmi contenuti in esso per procurare a sé o ad altri un ingiusto profitto.

In tema di frode informatica, è infine opportuno accennare brevemente ad un ulteriore nuovo profilo di responsabilità, previsto dal D.lgs n.231/2001, per cui l’azienda potrebbe essere chiamata a rispondere: la responsabilità per gli illeciti amministrativi dipendenti da reato (cd. responsabilità amministrativa da reato)[44]. Il d.lgs. n. 231 prevede un elenco di reati, che, se commessi contro lo Stato o altro ente pubblico dalle persone, segnatamente indicate all’art. 5[45], appartenenti a “enti forniti di personalità giuridica”, “società” e “associazioni anche prive di personalità giuridica”[46] sono tenuti a rispondere gli enti stessi in termini di sanzioni pecuniarie. Tra questi reati vi è appunto la frode informatica in danno dello Stato o di altro ente pubblico[47]. E’ interessante notare che, anche in questo caso, è previsto l’esonero della responsabilità dell’azienda a condizione che siano state adottate ed efficacemente attuate delle procedure di vigilanza e controllo indirizzate a prevenire il reato.

Il controllo pertanto non è obbligatorio, ma lo diviene se si vuole beneficiare dell’esonero.

1.4 – Le misure di sicurezza: obblighi ed oneri di controllo.

Ultimo aspetto meritevole di menzione relativo alla finalità del controllo è quello relativo agli obblighi ed agli oneri che l’ordinamento impone al datore di lavoro nel campo delle misure di sicurezza.

Anzitutto bisogna chiarire che quando si parla di misure di sicurezza necessariamente bisogna contemplare un controllo degli strumenti telematici: la rete veicola le minacce più frequenti per la sicurezza del sistema informatico. E’ pertanto logico che una seppur minima misura di sicurezza non possa prescindere dalla vigilanza degli accessi al sistema.

In particolare, le misure di sicurezza imposte dal nuovo Testo Unico sulla Privacy[48] attengono in generale al trattamento di dati personali, con specifiche disposizioni per il trattamento con strumenti elettronici. L’art. 34 – Trattamento con strumenti elettronici – consente all’azienda il trattamento di dati solo se sono adottate, nei modi previsti dal “disciplinare tecnico” allegato al T.U., le misure minime ivi indicate, tra cui: “c) utilizzazione di un sistema di autorizzazione;…omissis…e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;”. Oltre a tali misure da predisporre per evitare sanzioni penali, il titolare dell’azienda deve adottare misure di sicurezza “idonee e preventive”, “anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento”[49] per evitare responsabilità sul piano civilistico del risarcimento del danno, per effetto della previsione di cui all’art. 13 del T.U.[50], che rimanda all’art. 2050 c.c.[51], con una situazione di responsabilità quasi oggettiva[52].

Orbene l’imprenditore diligente, in regola con i requisiti richiesti dal T.U., non deve trascurare che il trattamento di dati all’interno dell’azienda avviene, in parte, tramite lo scambio di e-mail inviate dai dipendenti, il cui contenuto, più o meno professionale che sia, può essere pregno di dati personali anche sensibili[53]. Poiché la conservazione di tali dati è effettuata all’interno degli strumenti aziendali, il titolare è responsabile di quel trattamento, di cui magari ne è ignaro, tanto quanto degli altri trattamenti attuati con le procedure convenzionali, ben individuate e all’uopo tutelate.

Paradossalmente quindi è la stessa normativa sulla riservatezza che impone all’imprenditore l’obbligo di vigilare sulle mail del dipendente affinché verifichi il rispetto dei requisiti richiesti per procedere al trattamento dei dati personali.

Parlando di misure di sicurezza, vi sono norme dell’ordinamento che prevedono il controllo del sistema informatico come onere per poter godere di una più stringente tutela predisposta dall’ordinamento in determinati ambiti. In altre parole, l’operatività e l’effettività della tutela scatta solo se sono state preventivamente adottate misure di sicurezza a salvaguardia dei beni informatici aziendali.

La Legge n. 547/1993 ha inserito due nuove fattispecie di reato con gli articoli 615-ter e 615-quater, le quali rispettivamente prevedono: «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni»; «Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni».

Alla luce di queste norme, l’azienda si dovrà preoccupare di proteggere il proprio sistema informatico con adeguate misure di sicurezza (che, come visto, necessariamente devono contemplare una forma di controllo sul traffico telematico) al fine di poter adire alla tutela confezionata ad hoc da queste norme.

L’interpretazione proposta[54] è stata confermata dalla sentenza 04.04.2002 del GUP di Roma[55] che ha dichiarato il non luogo a procedere nei confronti di un utente che si era introdotto via Internet «nel sito telematico del GR1, rinominando con lo stesso nome di quello autentico e sostituendo il file contenente il Radio Giornale delle ore 13.00, con un altro file contenente una serie di critiche alla Società Microsoft e al nuovo sistema operativo denominato Windows 98». Il Giudice ha inoltre osservato “che il legislatore con l’introduzione della norma incriminatrice di cui all’art. 615-ter ha inteso tutelare non la privacy di qualsiasi “domicilio informatico”, ma soltanto quella di sistemi “protetti” contro il pericolo di accessi da parte di persone non autorizzate”[56]. Da qui l’importanza di adottare tutte le misure possibili per salvaguardare il proprio patrimonio informatico.

In conclusione la finalità del controllo può essere ricercata in diversi ambiti: può essere la tutela diretta del patrimonio dell’azienda; oppure la tutela delle condizioni di lavoro, peraltro imposta dall’ordinamento; oppure l’interesse dell’imprenditore a non vedersi ritenere responsabile di illeciti commessi dai propri dipendenti; o anche, infine, l’adempimento di particolari obblighi e oneri in materia di sicurezza. In ogni caso, considerati tutti questi aspetti, si può facilmente comprendere che il controllo sul traffico telematico in entrata ed uscita dall’azienda è un processo complesso, continuo e richiedente diverse e specifiche competenze a seconda dello scopo per cui lo si attua. La predisposizione e l’assistenza delle procedure di controllo, comprese nelle misure di sicurezza dell’azienda, devono pertanto coinvolgere un personale altamente competente dal punto di vista legale e tecnico, che sia in grado di individuare in concreto tutti gli aspetti evidenziati per prevenire qualsivoglia conseguenza dannosa all’azienda.

2 – I LIMITI LEGALI NEL CONTROLLO DEL DIPENDENTE

Una volta analizzate quali siano le diverse finalità del controllo, entrando quindi nella considerazione dell’interesse di chi il controllo lo effettua, è necessario spostare l’attenzione sulla posizione di chi, invece, il controllo lo subisce. Questo cambiamento di prospettiva farà emergere diversi aspetti contradditori del nostro ordinamento, che, da una parte, come già visto, impone il controllo come precauzione necessaria, e, dall’altra, lo proibisce o quanto meno lo condiziona, in nome della tutela della riservatezza e della dignità del lavoratore. In effetti, è fuori discussione che gli strumenti informatici potrebbero permettere controlli talmente invasivi da compromettere la dignità e la riservatezza del dipendente. Il problema è appunto come contemperare la tutela di tali diritti con gli interessi dell’impresa e, soprattutto, con gli obblighi di controllo che lo stesso legislatore impone all’impresa.

La soluzione è difficile. Anzitutto manca una regolamentazione legislativa del problema che consideri tutti gli interessi in campo e dia una risposta univoca[57]. In secondo luogo il contemperamento di interessi tra azienda e lavoratori non è attuabile mediante una libera trattativa decentrata tra i titolari degli opposti interessi, poiché la legge impone il necessario coinvolgimento di altri soggetti quali ad esempio sindacati, organi amministrativi e autorità indipendenti[58].

Bisogna pertanto compiere uno sforzo interpretativo non di poco conto per stabilire quali siano i limiti oltre i quali l’attività di controllo potrebbe essere considerata illecita per una violazione dei diritti di riservatezza e dignità, salvo risolvere il problema considerando il controllo una misura imposta dalla legge e, di conseguenza, per definizione lecita[59].

2.1 – L’Art. 4 dello Statuto dei Lavoratori: il divieto di controllo a distanza.

Il primo limite che si pone al datore di lavoro che intenda procedere al controllo del traffico telematico dell’azienda è rappresentato dallo Statuto dei Lavoratori, in particolare dall’Art. 4, alla cui applicazione rimanda anche il Testo Unico sulla Privacy all’Art. 114 dedicato al controllo a distanza[60].

L’articolo 4 dello Statuto del lavoratori prevede due fattispecie di controllo a distanza: l’ipotesi contenuta nel primo comma prevede un divieto assoluto; la norma dice che "è vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori"; l’ipotesi contenuta nel secondo comma prospetta un divieto relativo, che può essere rimosso attraverso l’esperimento di una procedura indicata dal legislatore: in particolare, la norma stabilisce che "gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali (RSU), oppure, in mancanza di queste, con la Commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti".

Nella prima ipotesi la dottrina[61] parla di controllo a distanza intenzionale, nella seconda ipotesi di controllo a distanza preterintenzionale. In tale ultima ipotesi non vige un divieto assoluto, bensì un divieto relativo, nel senso che l’interesse del datore di lavoro alla produzione viene contemperato con quello del lavoratore alla riservatezza. L’accordo non può essere diretto tra le due parti, ma deve essere stipulato tra il datore e le rappresentanze sindacali. In difetto, il datore di lavoro potrà presentare istanza all’Ispettorato del lavoro (oggi Direzione del lavoro).

L’unico controllo a distanza eventualmente ammesso sarebbe pertanto solamente quello volto in principalità a tutelare il patrimonio aziendale o la sicurezza del lavoro.

Nel corso degli anni la giurisprudenza e la dottrina hanno provveduto ha definire le linee interpretative della norma in oggetto. Alla luce degli interessi protetti (ovvero la riservatezza, la dignità e la libertà del lavoratore) la locuzione “altre apparecchiature” è stata intesa come una categoria aperta[62], pronta ad abbracciare qualsiasi strumento, anche informatico, potenzialmente in grado di far risalire all’attività del dipendente. E’ stata inoltre più volte dichiarata l’irrilevanza della consapevolezza nel lavoratore della sottoposizione al controllo[63], come pure del mancato funzionamento o della discontinuità del dispositivo di controllo[64].

Diverse invece sono le posizioni per quanto riguarda l’oggetto del controllo. Un indirizzo rigoroso interpreta la norma facendo cadere il divieto di controllo sulla attività del lavoratore tout court, comprensiva cioè della prestazione lavorativa e di tutti i comportamenti connessi, anche delle cd. “licenze comportamentali”[65]. Una pronuncia recentissima della Cassazione[66] invece, riprendendo un filone giurisprudenziale minoritario[67], ha considerato consentiti i cosiddetti “controlli difensivi”, cioè quelli che non riguardano l’attività lavorativa, ma sono diretti ad accertare eventuali condotte illecite del lavoratore. La Corte ha infatti così precisato:”Ai fini dell'operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell'attività dei lavoratori previsto dall'art. 4 l. n. 300 citata, è necessario che il controllo riguardi (direttamente o indirettamente) l'attività lavorativa, mentre devono ritenersi certamente fuori dell'ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cd. controlli difensivi), quali, ad esempio, i sistemi di controllo dell'accesso ad aree riservate, o, appunto, gli apparecchi di rilevazione di telefonate ingiustificate”.

In ogni caso vi è da sottolineare la difficoltà operativa di predisporre dei controlli che, a priori, escludano l’attività lavorativa per concentrarsi esclusivamente sugli illeciti[68].

Si aggiunge, inoltre, che anche i controlli difensivi richiederebbero il vaglio della procedura contrattuale o autorizzativa prevista dal secondo comma dell’art. 4[69], nonostante il parere di alcuni, che li ritengono leciti a prescindere da ogni trattativa a monte[70]. La Cassazione con la sentenza n. 14671 del 3.10.2000 è stata risoluta nell’avvallare la prima posizione, sostenendo che “le prove ottenute dal datore di lavoro tramite l’utilizzo, non concordato con le organizzazioni sindacali né autorizzato dall’Ispettorato del lavoro, di mezzi di controllo a distanza sono nulle anche se ritraggono i lavoratori in comportamenti illeciti”[71]. Pertanto, seguendo tale filone giurisprudenziale, si può concludere che gli accertamenti illegittimi sull’attività lavorativa non potrebbero essere posti a base di provvedimenti disciplinari nei confronti dei prestatori di lavoro[72].

Incidentalmente si sottolinea l’indiretto vantaggio di cui godrebbe l’azienda anche qualora il controllo difensivo fosse negato dal sindacato, o dall’Ispettorato, o dal TAR (in sede di impugnazione del provvedimento negativo dell’Ispettorato). In questa ipotesi, infatti, l’azienda che fosse chiamata a rispondere ex art. 2049 c.c. per un illecito commesso dal proprio dipendente, ed evitabile tramite il controllo difensivo in precedenza negato, potrebbe efficacemente dimostrare di aver fatto il possibile per prevenire la commissione dell’illecito.

Orbene gli strumenti informatici che sono a disposizione dell’azienda consentono il controllo “a distanza” del dipendente. Basta che vi sia un server che gestisca le connessioni aziendali per poter trattare ogni dato relativo agli accessi Internet ed ai messaggi di posta elettronica. Questo controllo di flusso informatico avviene in forma occulta e non è rilevabile dall’utilizzatore della macchina, il quale subirà la registrazione di ogni “movimento” telematico. Appare ovvio che tale potenzialità costituisce un controllo a distanza proibito dal primo comma dell’art. 4 dello Statuto dei lavoratori. In via astratta non sarebbe pertanto consentito. Tra i vari fini, lo strumento ha, però, quello primario di prevenire e/o proteggere la sicurezza del sistema informatico dell’azienda e solo in via secondaria e sussidiaria di consentire pure il controllo della prestazione lavorativa.

Con questo ineliminabile presupposto, anche i software di controllo sarebbero consentiti sempre nel rispetto delle modalità previste dal secondo comma dell’art. 4 dello Statuto del Lavoratore (cfr. supra).

Il mancato rispetto del divieto posto dall’art 4. costituisce reato ai sensi dell’art. 38 Stat. Lav[73]. Poiché non si tratta di reato proprio, i soggetti che potranno essere coinvolti nella responsabilità penale sono sia il datore di lavoro che gli addetti agli impianti vietati; nel caso di specie si pensi ai responsabili del CED aziendale.

In conclusione, per completezza, si deve considerare che l’attività di controllo del datore di lavoro, potrebbe rivelare aspetti attinenti alla personalità del dipendente, ad esempio tramite una semplice indagine del contenuto dei siti visitati dallo stesso. Questa prassi si scontra con il divieto posto dall’art. 8 Stat. Lav.[74], il quale vieta di effettuare direttamente o tramite terzi indagini sulle opinioni politiche, religiose, o sindacali del lavoratore, nonché su altri fatti esulanti l’attitudine professionale. In realtà, poiché il termine “indagine” presuppone una volontà specifica a trarre quelle informazioni, si può fondatamente sostenere che il controllo è volto in principalità a monitorare il corretto utilizzo degli strumenti informatici.

2.2 – Il Testo Unico sulla Privacy: regole e adempimenti.

Considerata l’ammissibilità, a certe condizioni, del controllo dal punto di vista giuslavoristico, occorre verificare come viene inquadrato il problema per le disposizioni in materia di privacy. Sotto il profilo del rapporto di lavoro, la disciplina della privacy è ritenuta generale, rispetto quella speciale statutaria[75]; pertanto il datore di lavoro, una volta acquisiti i dati personali del lavoratore nel rispetto delle disposizioni di cui al paragrafo precedente, dovrà confrontarsi con le prescrizioni scritte a tutela della sfera della riservatezza del lavoratore. Sul punto, il Gruppo – Articolo 29 ha enfaticamente osservato che “quando al mattino si recano a lavorare i lavoratori non abbandonano fuori dell’ufficio o della fabbrica i loro diritti alla riservatezza ed alla protezione dei dati”[76]. A livello europeo, peraltro, tale concetto era già stato espresso dalla più autorevole voce della Corte europea dei diritti umani nel caso Niemitz contro Germania; non è pertanto in discussione che il rispetto della vita privata deve trovare tutela anche nel rapporto di lavoro[77].

Per quel che qui importa, il monitoraggio degli accessi internet porta alla conoscenza del datore di lavoro un’innumerevole quantità di dati personali. Tale attività di indagine è quindi assimilabile ad un trattamento di dati personali. Lo stesso Garante ha ricordato che qualsiasi raccolta, uso o conservazione di informazioni sui lavoratori attraverso sistemi manuali ed elettronici rientra nell’ambito della legislazione sulla protezione dei dati, compreso il monitoraggio delle e-mail dei lavoratori o degli accessi ad Internet da parte dei dipendenti[78].

Come è noto, il Testo Unico sulla Privacy[79] impone, per procedere ad ogni trattamento dei dati personali, il rispetto di determinati criteri guida. Tali criteri, previsti dall’art. 11 del Testo, intendono garantire il rispetto del diritto alla riservatezza, alla dignità personale e, in genere, alle libertà fondamentali dell’individuo.

I dati personali, in particolare, devono essere trattati in modo lecito e secondo correttezza, devono essere raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi. I dati trattati devono essere esatti e, se necessario, aggiornati, devono essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati, nonché conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario per gli scopi per i quali sono stati raccolti o successivamente trattati.

Queste prescrizioni aggiungono un ulteriore strato di tutela alle garanzie enunciate nello Statuto dei Lavoratori. Parimenti a quelle, le precauzioni imposte dal Testo Unico dovranno essere predisposte preventivamente, prima quindi di procedere al controllo del traffico telematico.

Appare quindi necessario predisporre una completa informativa sul trattamento ai sensi dell’art. 13 del Testo Unico[80], che riporti in particolare con chiarezza la finalità e la modalità del trattamento stesso.

In attesa della disciplina specifica che regolamenti il trattamento di dati nel rapporto di lavoro con un Codice di deontologia e buona condotta, previsto dall’art. 111 del Testo Unico, ricostruiamo i passaggi obbligati a cui è tenuto il datore di lavoro nelle vesti generali di titolare del trattamento.

Per quanto attiene al consenso dell’interessato, e agli altri eventuali adempimenti occorre premettere un accenno a quali siano le conseguenze laddove il datore di lavoro, previo accordo o autorizzazione, abbia effettivamente installato apparecchiature che siano in grado di controllare l’attività lavorativa mediante Internet o posta elettronica e, conseguentemente, si trovi a trattare anche dati sensibili dei lavoratori. I dati sensibili, infatti, potrebbero emergere da connessioni a siti a sfondo religioso, politico o pornografico.

Ricordiamo che i dati sensibili[81] possono essere trattati “solo con il consenso dell’interessato e previa autorizzazione del Garante”[82], nell’osservanza dei presupposti e dei limiti stabiliti dal Testo Unico, nonché dalla legge e dai regolamenti.

Anzitutto il datore di lavoro, debitamente informato il lavoratore del trattamento, dovrebbe ricevere il consenso. Invero tale consenso, in deroga alla regola generale che lo ritiene condizione necessaria per procedere al trattamento, potrebbe diventare non richiesto e, pertanto, “ininfluente” ai sensi dello stesso Testo Unico. Troviamo infatti all’interno del Testo Unico, segnatamente agli artt. 24 e 26, due casi di esclusione alla regola del consenso, rispettivamente in relazione ai dati personali e ai dati sensibili. L’art. 24 – Casi nei quali può essere effettuato il trattamento senza consenso – al comma primo, recita “il consenso non è richiesto, oltre che nei casi previsti nella Parte II[83], quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;…”.

L’art. 26 – Garanzie per i dati sensibili – al comma quarto prevede “i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:…omissis …

d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111.”

Orbene abbiamo osservato in precedenza (Paragrafi 1.2 e 1.4) che la legge, e in particolare (paradossalmente) il Testo Unico sulla Privacy, impone tutta una serie di obblighi, in capo al datore di lavoro, che implicano il trattamento dei dati personali del lavoratore. Si può pertanto fondatamente ritenere che il consenso del lavoratore al monitoraggio del traffico telematico non sia richiesto, fermo restando l’onere all’informativa del trattamento. Il trattamento comunque dovrà limitarsi alle funzioni necessarie per il rispetto degli obblighi imposti dalle norme citate, altrimenti la richiesta del consenso diverrebbe un passaggio obbligato. Partendo da presupposti diversi (se non opposti), anche la dottrina giuslavorista è giunta alla stessa conclusione, assumendo che la disparità di forza contrattuale (che giustifica le norme statutarie di protezione) eliminerebbe ogni rilevanza al consenso individuale [84].

Con le stesse ragioni si può escludere che sussista l’obbligo, di cui all’art. 26, di chiedere individualmente l’autorizzazione del Garante per procedere al trattamento dei dati sensibili. L’autorizzazione generale 1/2002 (e recentemente rinnovata) al trattamento dei dati sensibili nei rapporti di lavoro contempla, tra i trattamenti per i quali è rilasciata l’autorizzazione stessa, quello necessario per l’adempimento di specifici obblighi previsti dalla legge; tra i quali possiamo inserire quelli enunciati nei paragrafi 1.2 e 1.4[85]. Inoltre vi è un altro ordine di motivazioni che porta ad escludere la necessità dell’autorizzazione. L’art. 114 del Testo Unico, già art. 43, comma 2, della Legge 675/96, contiene una clausola di ultravigenza dello Statuto dei lavoratori: si può pertanto ritenere che laddove il datore abbia raccolto dati sensibili del lavoratore con modalità consentite dallo Statuto non si applica la disposizione che impone l’autorizzazione del Garante[86].

Ultimo adempimento a cui sembrerebbe tenuto il datore di lavoro riguarda la Notificazione del trattamento, imposto dal Testo Unico (per quel che attiene la presente trattazione) solo se il trattamento riguarda “dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”. In primis, è opportuno ribadire che il controllo del traffico telematico ha la finalità primaria di sicurezza e tutela del patrimonio aziendale e non è pertanto rivolto a tracciare identikit del lavoratore. Inoltre, qualora l’azienda disponga di un server proprio, il monitoraggio del traffico è una funzione base tecnicamente indispensabile.

Pertanto solo in caso di un’implementazione con appositi software di questa funzione base, il datore sarà tenuto ad adempiere alla notificazione del trattamento[87].

Nonostante gli artifici interpretativi, e le conseguenti difficoltà ermeneutiche, il trattamento dei dati conseguente al controllo del traffico telematico impone, tramite il nuovo Testo Unico sulla Privacy, quale unico obbligo certo una chiara ed esauriente informativa, rimanendo gli ulteriori adempimenti eventuali ed evitabili, in attesa dell’emanazione di un provvedimento ad hoc da parte del legislatore.

Invero questa conclusione appare in linea con i principi espressi dal Gruppo – Articolo 29, i quali, nelle intenzioni del Gruppo stesso, devono essere utilizzati come indirizzi interpretativi circa quanto costituisce attività legittima di controllo.

2.3 – Art. 616 c.p.: violazione di corrispondenza.

Il controllo del traffico telematico, l’accessibilità fisica del computer del dipendente, nonché alcuni software-spia consentono al datore di lavoro l’intrusione nella casella postale aziendale assegnata al dipendente, rivelando il contenuto delle mail in entrata ed in uscita e i relativi destinatari. Questo comportamento invasivo ripropone il problema già affrontato del trattamento dei dati personali e sensibili del lavoratore. Il dipendente dovrà pertanto essere informato della possibilità da parte di altri componenti dell’azienda di entrare nella sua casella postale elettronica e delle modalità di trattamento dei dati eventualmente riscontrati.

Problema diverso, ma collegato, è quello relativo al reato di violazione di corrispondenza, che potrebbe individuarsi nel monitoraggio delle e-mail. L’art. 616 c.p. dispone che “chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da euro 30 a euro 516“. Inoltre, sciogliendo ogni dubbio interpretativo, l’ultimo comma, introdotto dalla legge 547/93, recita: “Agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza“.

Il datore di lavoro infatti potrebbe essere chiamato a rispondere di tale reato qualora entrasse nella casella e-mail del dipendente o visionasse il contenuto della copia delle e-mail in deposito nel server aziendale. Ma l’operatività del divieto è sottoposta alla condizione essenziale che la corrispondenza sia chiusa. In prima analisi emerge come le categorie “corrispondenza aperta” e “corrispondenza chiusa” “ben difficilmente si adattano al mondo telematico”[88], a causa della modalità tecnica della trasmissione, che rende visibile il contenuto della mail al passaggio nei server del mittente e del destinatario, e non solo. In altri termini la mail generalmente viaggia “aperta” e compare “chiusa” nel pc del destinatario solo nel senso che, per leggerla, bisogna cliccarla. Una volta letta, poi, la corrispondenza in deposito al destinatario, secondo l’indirizzo giurisprudenziale maggioritario, sarebbe sprovvista della specifica tutela sopra descritta.

E’ pertanto opinione di molti[89], e condivisibile, che solo la corrispondenza cifrata possa godere della qualifica di corrispondenza chiusa.

Questa tesi, che risolverebbe a monte il problema sulla liceità del controllo, non è purtroppo sposata dall’Autorità Garante[90] e da alcuni commentatori[91], i quali ritengono in ogni caso la mail corrispondenza chiusa.

E’ pertanto preferibile “trovare” la liceità del monitoraggio delle mail da parte del datore di lavoro con altri espedienti, magari tra quelli suggeriti dal Gruppo – Articolo 29 nel Documento del 29.05.2002, che porta la firma dello stesso Garante italiano in qualità di presidente.

Nella prassi, l’azienda assegna in uso al dipendente la casella e-mail contraddistinta dal nome del dipendente seguito dal suffisso costituito dal nome dell’azienda dopo la @. La casella e-mail è in questo caso un mero strumento di lavoro assegnato al lavoratore per lo svolgimento dell’attività aziendale. Come ogni strumento aziendale idoneo alla trasmissione e alla raccolta di dati dovrà essere preservato dal rischio di intrusioni esterne, di distruzione e di perdita accidentale dei dati presenti.

Ne consegue che il dipendente ha non solo il diritto ma anche l’obbligo di utilizzare una password di accesso[92]. Potrà inoltre cambiare la password quando lo riterrà opportuno. La password e i cambiamenti della stessa dovranno essere comunicati al preposto alla custodia delle chiavi di accesso dell’azienda con modalità che garantiscano la riservatezza della parola chiave (ad esempio in busta chiusa)[93]. Tali modalità consentono di proteggere i dati personali dalla possibile intrusione da parte di soggetti non legittimati all’accesso, permettendo contestualmente al titolare del trattamento di accedere in caso di necessità e di urgenza alle informazioni contenute nella memoria del computer per utilizzi consentiti dalla legge.

Questo espediente è suggerito anche dal Gruppo – Articolo 29, che, pur partendo dal presupposto che “in ogni caso l’ubicazione e la proprietà del mezzo elettronico utilizzato non escludono la segretezza delle comunicazioni e della corrispondenza, quale sancita da principi giuridici fondamentali e costituzioni”, ammette un diritto di controllo delle mail come extrema ratio in casi eccezionali, quali per la rilevazione di un virus o per prevenire attività criminose del lavoratore. Secondo tale organismo europeo, infatti, sarebbe preferibile adottare un controllo anonimo o ad esempio legato alla mole delle mail e, in ogni caso, preceduto da una dettagliata informativa sull’uso della mail aziendale.

Incorre, invece, in limiti più stringenti il datore di lavoro che volesse visionare la corrispondenza diretta alla casella telematica personale del dipendente, cioè quella configurata dal dipendente sui siti tradizionali che offrono tale servizio, come yahoo, libero, virgilio, hotmail,etc.. Si sottolinea però che anche le webmail possono essere veicolo di attentati alla sicurezza del sistema informatico.

Alla stregua dei principi enunciati, il Tribunale penale di Milano, con ordinanza 10.05.2002[94], ha deciso che non configura il reato di cui all’art. 616, comma 1, c.p., il controllo da parte del datore di lavoro della posta elettronica del dipendente, poiché il lavoratore non è titolare di un diritto all’utilizzo esclusivo della posta elettronica aziendale e quindi si espone al rischio che altri lavoratori o il datore di lavoro possano lecitamente entrare nella sua casella e leggere i messaggi. Nel caso di specie, peraltro, i dipendenti dell’azienda non potevano avere dubbi sulla facoltà e la reale possibilità dell’azienda di controllare i messaggi.

Il diritto del datore di lavoro di accesso alla posta elettronica è stato riconosciuto anche dal Garante della Privacy nella Newsletter del 19-25 febbraio 2001, ove ha affermato che i lavoratori possono procedere autonomamente alla sostituzione delle password loro assegnate a protezione dei dati conservati nei pc, previa comunicazione ai soggetti preposti alla custodia delle parole chiave, onde rendere possibile l’accesso ai dati da parte dell’azienda, per interventi consentiti dalla normativa, e in casi di assenza o impedimento del dipendente.

In conclusione, anche volendo accettare la teoria più restrittiva della privatezza della mail assegnata al dipendente, il reato di cui all’art. 616 c.p. non sarebbe configurabile ogni qualvolta l’azienda si preoccupi di rivendicare l’uso strumentale della posta elettronica al compimento delle mansioni lavorative, predisponendo una chiara informativa sulle modalità d’uso della mail e sulla possibilità di controllo della stessa.

2.4 – Ulteriori fattispecie limitative del controllo.

Il controllo del traffico telematico rappresenta un aspetto di un più ampio processo di sicurezza a cui è tenuto il datore di lavoro per la tutela del sistema informatico aziendale. In questo processo continuo, il datore di lavoro, oltre alle già analizzate fattispecie, potrebbe essere coinvolto in ulteriori ipotesi di reati, rientranti nella categoria dei cosiddetti reati informatici.

Sono ipotesi eventuali e pertanto marginali e, soprattutto, improbabili in un’azienda non del tutto sprovveduta, ma, vista la gravità delle conseguenze in caso di commissione, non possono essere tralasciate, se non altro per dovere di completezza.

L’utilizzo improprio di determinati software-spia potrebbe configurare in capo al datore di lavoro il reato di “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici” (art. 615 quater c.p.)[95]; con un ordinario key-logger, installato nel computer del lavoratore, il datore di lavoro o l’incaricato alla sicurezza potrebbe procurarsi abusivamente[96] il codice di accesso alla macchina o ad un altro sistema informatico.

Invero la stessa installazione di software così invasivi potrebbe costituire reato; nel caso specifico quello stabilito dall’art. 617 quinques c.p. “Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche”[97].

Infine la distruzione delle comunicazioni intercettate dal contenuto ritenuto “inadeguato” potrebbe configurare il reato di cui all’art. 617 sexies c.p. “Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”[98].

I possibili reati descritti non devono preoccupare oltremodo l’azienda che vuole procedere al controllo, poiché l’ordinamento offre valide cause di giustificazione che ne escludono la punibilità. Anzitutto l’art. 50 c.p. che si riferisce al consenso dell’avente diritto, cioè il lavoratore. E’ altrettanto applicabile inoltre la scriminante di cui all’art. 51 c.p. relativo all’adempimento di un obbligo previsto dalla legge. Infine, in particolari circostanze, sarà utilizzabile l’art. 52 c.p. che riguarda la legittima difesa, sebbene tale fattispecie esiga indizi chiari, univoci e concordanti del compimento di attività illecite da parte del lavoratore lesive dei diritti del datore di lavoro.

Emerge pertanto nuovamente l’esigenza per rendere leciti i controlli predisposti che essi siano adeguatamente informati, proporzionati e necessari.

3- ESPEDIENTI TECNICI ED ORGANIZZATIVI PER GESTIRE IL CONTROLLO.

Considerati i molti limiti e i gravi rischi, la gestione del controllo del traffico telematico richiede un atteggiamento prudente.

Nonostante vi siano norme nell’ordinamento che impongono il controllo, ve ne sono altrettante che lo censurano. Pertanto, sebbene in linea di principio si possa affermare che ciò che una norma impone per definizione diviene lecito, c’è sempre l’ineliminabile rischio che in sede processuale (civile o penale, ma anche avanti al Garante[99]) tale tesi non risulti gradita all’organo giudicante o sufficientemente corroborata dagli elementi di fatto.

E’ compito del giurista cautelare l’azienda informandola di tutti i rischi conseguenti alla gestione degli strumenti informatici, indicando quali precauzioni adottare.

3.1 – I consigli del Gruppo di lavoro sulla protezione dei dati – Articolo 29.

Un valido punto di partenza è prendere in considerazione i principi guida enunciati dal Gruppo – Articolo 29 nel Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro adottato il 29.05.2002.

Il controllo, secondo le raccomandazioni del Gruppo, dovrà essere necessario, trasparente, proporzionato e sicuro. In pratica il datore di lavoro dovrà debitamente informare che il traffico telematico potrà essere monitorato, essendo indispensabile tutelare la sicurezza del sistema e dei lavoratori stessi. Il controllo sui dati sarà il meno invasivo possibile, e si intensificherà solo in ragione di indizi di comportamenti illeciti. I dati raccolti dovranno essere trattati secondo le prescrizioni dettate dalla normativa della privacy, privilegiando forme di raccolta anonima e limitata temporalmente.

Secondo il Gruppo – Articolo 29 il problema del controllo inoltre può essere parzialmente aggirato apportando degli accorgimenti tecnico – strutturali alla rete aziendale che diminuiscono, se non eliminano del tutto, l’esigenza del controllo stesso. E’ infatti auspicabile che il controllo rappresenti l’ultimo di tutte le modalità di tutela degli interessi del datore di lavoro. Alla stregua di queste indicazioni, alcuni accorgimenti pratici potrebbero essere i seguenti:

a) fornire l’accesso ad Internet solo a determinati ed individuati lavoratori che necessitano realmente della connessione per svolgere le proprie mansioni;

b) fornire una casella e-mail aziendale (del tipo nomecognome@nomeazienda.it) solo ai lavoratori che devono tenere contatti all’esterno o con altri colleghi all’interno dell’azienda;

c) utilizzare un proxyfirewall che impedisca l’accesso alla rete in orario extra lavorativo, come ad esempio nelle pause pranzo;

d) installare un software al server configurato in modo tale da bloccare qualsiasi collegamento a categorie predeterminate di siti Web. O al contrario, permettere la connessione solo a una lista di siti autorizzati. In entrambi i casi la lista dei siti può essere aggiornata a seconda delle esigenze.

e) configurare il server aziendale in modo da impedire l’accesso a e-mail con allegati dal formato sospetto.

Il Gruppo – Articolo 29 inoltre raccomanda la possibilità che i lavoratori possano disporre di una webmail sottoposta a controlli solo in casi eccezionali per individuare eventuali abusi; e che siano individuati alcuni momenti in cui i lavoratori possano usare internet a fini privati (chiaramente leciti)[100]. E’ già stato detto che offrire tale opportunità al dipendente complica la gestione del controllo creando degli spazi di riservatezza i cui limiti sarebbero difficilmente definibili. Poiché nessuna norma impone questo espediente, è consigliabile non adottarlo, anzi proibirlo in assoluto.

3.2 – Accorgimenti aggiuntivi e policy aziendali.

In ogni caso oltre alle menzionate misure tecniche è opportuno predisporne ulteriori tali da prevenire ogni tipo di abuso del sistema informatico aziendale, anche non relativo alla Rete.

Sarà quindi opportuno impedire l’installazione di software provenienti dall’esterno o da Internet, magari tenendo un registro di tutti i programmi installati con le relative licenze.

Poiché i virus possono essere trasmessi utilizzando supporti giunti dall’esterno, i dipendenti non dovranno usare floppy disk, cd rom, cd riscrivibili e nastri magnetici di provenienza ignota.

I dipendenti inoltre non potranno modificare le impostazioni del proprio computer, o disattivare l’antivirus.

Infine, dovrà essere regolamentato l’uso dei sistemi di cifratura delle mail, poiché se da un lato il mezzo assicura la segretezza della corrispondenza, dall’altro impedisce un controllo sul contenuto da parte del datore di lavoro.

Queste cautele, il cui elenco non è esaustivo, devono essere integrate con le prescrizioni dettate dal Testo Unico sulla Privacy, in particolare dall’Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza, a cui rimanda l’art. 34 – Trattamenti con strumenti elettronici[101].

Oltre a ciò un approccio prudente consiglierebbe di seguire la procedura di cui all’art. 4 dello Statuto dei Lavoratori prima di intraprendere l’attività di controllo.

In ogni caso riveste un’importanza fondamentale la redazione di una policy, cioè di un regolamento interno aziendale che spieghi da subito che gli strumenti informatici, Internet e la casella e-mail sono uno strumento di lavoro, e non sono consentiti altri usi. Il documento deve rendere edotti i dipendenti dei rischi connessi all’uso improprio di Internet e delle e-mail, in modo che siano chiare le finalità del controllo. Dovranno essere elencate le misure tecniche adottate per prevenire abusi o minacce alla sicurezza del sistema, tra cui le modalità del controllo del traffico telematico.

Il regolamento dovrà indicare la durata per la quale saranno custoditi i dati raccolti, le misure di sicurezza adottate per la loro conservazione e la procedura da seguire per accedervi.

Infine il documento dovrà contenere tutte le prescrizioni utili e necessarie per un corretto uso degli strumenti informatici, come quelle sopra elencate.

La policy aziendale può essere consegnata al dipendente all’atto dell’assunzione, che ne potrà restituire copia firmata per consenso e presa visione. Si precisa comunque che, ai fini disciplinari, è necessaria l’affissione del regolamento in luogo accessibile a tutti, ai sensi dell’art. 7 dello Statuto dei Lavoratori.

L’importanza delle policy aziendali è ormai generalmente riconosciuta; oltre al Garante della Privacy[102], anche Confindustria ha auspicato l’adozione di tale misura. Infatti, il 5.07.2001 ha presentato una proposta di Linee guida per l’utilizzo dei sistemi informatici aziendali che supplisca all’incertezza legislativa sul punto, e che fornisca “una politica aziendale trasparente, capace di comunicare con estrema chiarezza al lavoratore i limiti di utilizzo degli strumenti informatici assegnatigli per lo svolgimento delle mansioni attribuite”.

In attesa, quindi, di un intervento legislativo che chiarisca in maniera univoca la via da seguire non rimane che arditamente destreggiarsi tra le molte norme esistenti e procedere adottando tutte le cautele descritte.

BIBLIOGRAFIA DI RIFERIMENTO E DI APPROFONDIMENTO

AA. VV., La tutela della privacy del lavoratore, UTET, 2000

AA. VV., “La responsabilità amministrativa degli enti” in Diritto e Pratica delle Società, ottobre 2002, Il Sole 24 Ore

AA.VV - FAVALLI GIACINTO, SALVATORE TRIFIRÒ, FRANCESCO ROTONDI, Si può usare la posta elettronica dell'azienda per fini privati?, in Diritto e Pratica del lavoro - Settimanale di amministrazione e gestione del personale, Ipsoa Editore

AMATO – CASCIANO – LAZZERONI – LOFFREDO, Il Mobbing, Giuffrè, 2002

Amoroso – Di Cerbo – Maresca, Il diritto del lavoro, Giuffrè, 2001

BARBARISI MAURIZIO, “Chattare sul luogo di lavoro: ipotesi di reato” in “Diritto & diritti”, ottobre 2002, http://www.diritto.it/articoli/dir_tecnologie/barbarisi1.html

BELLAVISTA A., Il controllo sui lavoratori, Giappichelli, 1995

BERETTI A., Sicurezza Informatica. Un nuovo paradigma, slides Master Diritto della Rete 2003

BIANCO S. (di S. Bianco Amministratore Unico e Responsabile IT Union V S.r.l.) “Il ruolo delle e-mail in azienda, in l’ergonomia di processo nel messaging informatico”, in giove.cnuce.cnr.it/simposioHCI01/090.pdf

BORRI ENZO, “Software pirata in azienda .Come un sistemista di rete può tutelare l’azienda e il suo posto di lavoro contro l ’utilizzo di software illegale da parte dei dipendenti”, in http://www.borri.org/PDF/Pirateria_Azienda.pdf

BRIGANTI GIUSEPPE, “Comunicazioni elettroniche, sicurezza e riservatezza: la direttiva 2002/58/CE”, 09.12.2002, in http://www.altalex.com/index.php?idstr=30&idnot=5500

Carinci Franco, Diritto del lavoro, UTET, 1998

Cassano Giuseppe (a cura di), Internet. Nuovi problemi e questioni controverse, Giuffrè, 2001

CASSANO GIUSEPPE, “In tema di controlli a distanza dei lavoratori”, atti del Convegno di Bellinzona 20 maggio 2003

Cassano Giuseppe – Aquino Marco, “Il trattamento dei dati personali alla luce della direttiva 2002/58” in I Contratti n. 4/2003, IPSOA

Chieco Pasquale, Privacy e lavoro. La disciplina del trattamento dei dati personali del lavoratore, Cacucci, 2000

CONFINDUSTRIA, “Guida sistemi informatici. linee guida per l’utilizzo dei sistemi informatici aziendali. Proposta presentata il 5 luglio 2001. (Schema di regolamento Confindustria, 5.7.2001)”, www.aziendalex.kataweb.it/Article/0,1555,12991%7C213,00.html

Costa Giordano – Bolgiani Philippe, La sorveglianza di Internet e dell’e-mail sul posto di lavoro, slides presentate Congresso di Bellinzona 20.05.2003

DE GRAZIA LUCA MARIA, “Breve analisi dei rapporti tra sicurezza dei dati e legge 675/96”, http://www.degrazia.it/site/Sicurezza_informatica.htm

De Grazia Luca M. – Dario Forte, Manuale di Infosecurity Management, Angelo Verde Editore S.r.l

FAGGIOLI GABRIELE, “La mail del dipendente è liberamente accessibile?” in Itali@oggi.it 27 maggio 2002 – Class Editori, disponibile su www.gabrielefaggioli.it

FORTUNA F.S, I reati in materia di lavoro, Trattato di diritto penale dell’impresa, vol. VIII, CEDAM

Frediani Marco, “Abuso di accesso ad Internet e potere di controllo datoriale” in Il lavoro nella giurisprudenza n. 10/2002, IPSOA

Frediani Marco, “Tutela della riservatezza e semplificazioni procedurali” in Il lavoro nella giurisprudenza n. 3/2002, IPSOA

FREDIANI VALENTINA, "Lettura della casella di posta elettronica da parte del datore di lavoro: lecito o illecito?" disponibile su www.consulentelegaleinformatico.it

“Prevenzione e responsabilità per l'abusiva duplicazione del software all'interno dell'azienda”, Articolo pubblicato su www.dirittoonline.it/Home/homerivista.asp

Galantino Luisa, “Obbligo di sicurezza: fonti comunitarie e diritto interno” in Igiene e Sicurezza del Lavoro n. 6/2003, IPSOA

GARANTE PRIVACY , “Privacy su Internet. Gli indirizzi e-mail non sono pubblici” , Newsletter 10 - 16 febbraio 2003, in www.garanteprivacy.it

“L'uso di Internet sul posto di lavoro: le linee-guida del Garante tedesco” , Newsletter 13 - 19 gennaio 2003, in www.garanteprivacy.it

“La privacy e i lavoratori dipendenti”, in http://www.privacy.it/queprild.html

“Codici deontologici al via per Internet, videosorveglianza, lavoro”, Newsletter 29 aprile - 5 maggio 2002, in www.garanteprivacy.it

“Internet : la direttiva ue sulla privacy si applica anche ai software spia”, Newsletter 10 - 16 giugno 2002 , in www.garanteprivacy.it

“Sorveglianza sul posto di lavoro negli USA : filtri per bloccare l’accesso ad internet da parte dei dipendenti”, Newsletter 11 – 17 marzo 2002 in www.garanteprivacy.it

“Privacy su Internet. Gli indirizzi e-mail non sono pubblici” Newsletter n. 158 - 10-16 febbraio 2003, in www.garanteprivacy.it

“Videosorveglianza dei lavoratori. Rapporto della Cnil” Newsletter 4 - 10 febbraio 2002, in www.garanteprivacy.it

“Dai garanti d’europa le tutele per la privacy dei lavoratori” , Newsletter 17-23settembre 2001, in www.garanteprivacy.it

“Privacy e posta elettronica”, Newsletter 12 - 18 luglio 1999 in www.garanteprivacy.it

Girardi Gianluigi, “Controlli del datore di lavoro sui propri dipendenti” in Il lavoro nella giurisprudenza n. 3/2002, IPSOA

Grandi – Pera, Commentario breve alle leggi sul lavoro, CEDAM, 2001

GRISENTI SIMONE. “Spyware: quanti reati con i programmi "indiscreti"” http://www.interlex.it/attualit/grisenti.htm - 15.01.01

Imperiali Rosario, Privacy in azienda, slides presentate Congresso di Bellinzona 20.05.2003

Lisi Andrea (a cura di), La privacy in Internet, Edizioni Simone, 2003

Lopes Saverio, Privacy: appunti sulla sicurezza informatica dei dati utilizzati nell’attività d’impresa in Diritto & Diritti, febbraio 2003

MONATERI - BONA - OLIVA, Mobbing, Giuffrè 2000

Monducci Juri, “Controllo del lavoratore e trattamento dei dati personali” in Diritto e pratica delle società n. 2/2001, Il Sole 24 Ore

PERINO L., “Information Technology e controllo sui lavoratori”, parte I, II, III, IV, in http://www.unonet.it/articoli/diritto/06CC492.asp, 2001

PICA G., Diritto penale delle tecnologie informatiche, Utet, 1999

POMANTE GIANLUCA, “Sicurezza, privacy ed uso delle risorse tecnologiche aziendali”, in “Sicurezza” – JCE, luglio 2002, disponibile su www.pomante.it

PORRO FLAVIO, “Il controllo a distanza dei lavoratori con riferimento all’utilizzo di Internet e della posta elettronica per motivi non attinenti la prestazione lavorativa”, in Diritto&Diritti , luglio 2001

RESTA MARCO, “L’utilizzo di internet e della posta elettronica da parte del dipendente”, in www.stcomnews.it , 2001

Riem Glauco, Privacy e Sicurezza, Edizioni Simone, 2002

ROSSI DONATELLA, “C’è posta per te…ma la leggo io”, disponibile su www.filodiritto.com/diritto/privato/informaticagiuridica
/postaelettronicaaziendale.htm

SCIUMBATA G., I reati societari, Giuffrè, 2002

Sirotti gaudenzi ANDREA, diretto da, Trattato breve di diritto della rete, Maggioli Editore, 2001

SPATARO VALENTINO, “Diritto e Sicurezza Informatica: tra eccesso di tutela e lacune”, in http://cornucopia.8m.com/miosicur.htm

STANCHI ANDREA “Privacy, rapporto di lavoro, monitoraggio degli accessi ad Internet, monitoraggio delle email e normative di tutela contro il controllo a distanza. Alcuni spunti per una riflessione interpretativa”, in Rivista telematica di diritto del lavoro, http://www.di-elle.it/Approf/Stanchi_privacy.htm

STENICO ELEONORA, “I poteri di controllo del datore di lavoro nell’impresa: in particolare PC, Internet e posta elettronica”, in www.unindustria.pd.it. 16-05-2002

STRACUZZI ALLEGRA, “L’uso della posta elettronica e di Internet sul luogo di lavoro”, in Il diritto dell'informazione e dell'informatica n°6/2002, disponibile su http://www.stracuzzi.it/articolinormativa.htm

Toffoletto Franco, “Internet e posta, nuove regole al lavoro” in Il Sole 24 Ore di 28.05.2001

Velluti Samantha, “La legge sulla privacy nell’ambito del rapporto di lavoro dipendente” in www.jei.it

VICECONTE MASSIMO, “Controllo sui lavoratori dipendenti da parte del datore di lavoro”, in Diritto&Diritti, marzo 2001

Note:

[1] Sulla necessità di una reinterpretazione e di un adeguamento dell’Art. 4 Statuto dei Lavoratori cfr. LORENZO PERINO, cit.

[2] Questione affrontata con chiarezza da VALENTINO SPATARO in “Diritto e sicurezza informatica: tra eccesso di tutela e lacune”, cit.: “…ci troviamo a fare i conti con una molteplicità di testi, per non parlare della molteplicità di fonti normative e non, che vorrebbero dare ordine a specifici settori, senza alcuna preoccupazione di inquadramento in un contesto di criteri chiari e organici”.

[3] Art. 35 Cost.:” La Repubblica tutela il lavoro in tutte le sue forme ed applicazioni.
Cura la formazione e l'elevazione professionale dei lavoratori.

Promuove e favorisce gli accordi e le organizzazioni internazionali intesi ad affermare e regolare i diritti del lavoro.

Riconosce la libertà di emigrazione, salvo gli obblighi stabiliti dalla legge nell'interesse generale, e tutela il lavoro italiano all'estero.”

Art. 36 Cost.:” Il lavoratore ha diritto ad una retribuzione proporzionata alla quantità e qualità del suo lavoro e in ogni caso sufficiente ad assicurare a sè e alla famiglia un'esistenza libera e dignitosa.

La durata massima della giornata lavorativa è stabilita dalla legge.
Il lavoratore ha diritto al riposo settimanale e a ferie annuali retribuite, e non può rinunziarvi.”

[4] Art. 41 Cost.:” L'iniziativa economica privata è libera.

Non può svolgersi in contrasto con l'utilità sociale o in modo da recare danno alla sicurezza, alla libertà, alla dignità umana.

La legge determina i programmi e i controlli opportuni perchè l'attività economica pubblica e privata possa essere indirizzata e coordinata a fini sociali.”

[5] Art. 15 Cost.:” La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili.

La loro limitazione può avvenire soltanto per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge.”

[6] D.lgs n. 196/03 – Testo Unico della Privacy in vigore dal 01.01.2004.

[7] Il Gruppo di lavoro sulla protezione dei dati, costituito in applicazione dell’art. 29 della direttiva 95/46/CE, è un organismo europeo indipendente con finalità consultive che si occupa di protezione dei dati e di riservatezza.

[8] Tratto da “Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro”, adottato il 29.05.2002 e recante la firma del Presidente del Gruppo, Stefano Rodotà.

[9] Cfr. S.SUTTI, La sicurezza dei sistemi informativi aziendali: norme protettive, oneri e misure obbligatorie, in La privacy in Internet a cura di A.LISI, Ed. Simone, 2003; e in http://www.diritto.it/articoli/dir_tecnologie/sutti.html

[10] Sulle dannose conseguenze di questo malcostume cfr. E. STENICO in op.cit.

[11] Art.2104 c.c. (Diligenza del prestatore di lavoro): “Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall’interesse dell’impresa e da quello superiore della produzione nazionale.

Deve inoltre osservare le disposizioni per l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende.”

[12] Cassazione Sez Lavoro, 3.04.2002, n. 4746 in Giust. civ. Mass. 2002, 576.

[13] Ordinanza Trib. Milano , 10.05.2002, in Il diritto dell’informazione e dell’informatica n. 6/2002; Tribunale di Milano, 14.06.2001 in Notiziario giur. lav. 2001, 470.

[14] L. M. DE GRAZIA in Internet ed Intranet, sicurezza e privacy: i pericoli nascosti nell’applicazione della l. 675/96 e del d.lgs. 318/99 in Trattato breve di diritto della rete, Maggioli Editore, parla di appropriazione indebita d’uso, non configurabile come reato. Non è furto perché manca il possesso altrui, non è neppure appropriazione indebita poiché è assente l’esclusione del vero proprietario dal rapporto con la cosa.

[15] Cfr. G. COSTA e P. BOLGIANI in op. cit.

[16] Cfr. L.M. DE GRAZIA in Breve analisi dei rapporti tra sicurezza dei dati e legge 675/96, http://www.degrazia.it/site/ Sicurezza_informatica.htm

[17] G.POMANTE in op.cit.

[18] Cfr. A. BERETTI, Sicurezza Informatica. Un nuovo paradigma, slides Master Diritto della Rete 2003.

[19] Si pensi allo spamming di e-mail dal contenuto pedo-pornografico.

[20] Ex multis Cass. 5002/90.

[21] Per un’ampia analisi del fenomeno del mobbing e delle varie forme di manifestazione delle aggressioni cfr. AMATO CASCIANO LAZZERONI LOFFEDO, Il mobbing, Giuffrè, 2002; MONATERI BONA OLIVA, Mobbing, Giuffrè, 2000.

[22] S. SUTTI, La sicurezza dei sistemi informativi aziendali, norme protettive, oneri e misure obbligatorie, in La privacy in Internet, a cura di A. LISI, Ed. Simone, 2003.

[23] Cass. Civ. 3.04.1991, n. 3442 in Giust. Civ. Mass. 1991, fasc. 4.

[24] Cass. Civ. 11.08.1988, n. 4927 in Giust. Civ. Mass. 1988, fasc. 8/9.

[25] Cass. Civ. 20.03.1999, n. 2574 in Danno e resp. 1999, 1021 con nota di PEDRAZZI.

[26] Art. 40 c.p.:”Nessuno può essere punito per un fatto preveduto dalla legge come reato, se l’evento dannoso o pericoloso, da cui dipende la esistenza del reato, non è conseguenza della sua azione od omissione.

Non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo.”.

[27] Questo principio è valido in particolari e complessi settori aziendali a determinate condizioni individuate dalla giurisprudenza e dalla dottrina: a- la delega deve essere scritta e accettata dal delegato; b- il delegato deve essere tecnicamente competente, qualificato e idoneo allo svolgimento del compito; c- il delegato deve avere una piena autonomia decisionale e organizzativa, e dotato delle risorse necessarie; d- il delegante non deve interferire nei compiti assegnati al delegato. Cfr. in dottrina F.S. FORTUNA, I reati in materia di lavoro, Trattato di diritto penale dell’impresa, vol. VIII, CEDAM, 2002. In giurisprudenza ex multis Cass. Pen., Sez. IV, 22.03.1985 in Giust.Pen., 1986, II, 703.

[28] Art. 29 del Testo Unico sulla Privacy (Responsabile del trattamento):
”1. Il responsabile è designato dal titolare facoltativamente.

2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.”

[29] Cfr. R. BORRUSO, La tutela del documento e dei dati, in AA.VV., Profili penali dell’informatica, Giuffrè; D. MINOTTI, I reati commessi su Internet, in AA.VV., Internet – Nuovi problemi e questioni controverse, a cura di G.CASSANO, Giuffrè, 2001.

[30] Art. 594 c.p.

[31] Art. 595 c.p.

[32] Art. 414 c.p.

[33] Artt. 266, 272, 327 c.p.

[34] Artt. 622, 623 c.p.

[35] Cfr. M. DE GIORGI, La tutela della privacy per il consumatore in rete, in La privacy in Internet, a cura di A. LISI, Ed. Simone, 2003

[36] Esclude la sussistenza dei requisiti oggettivi che la norma richiede D.MINOTTI in op. cit. supra.

[37] Newsletter del Garante della Privacy, 24-30 marzo 2003, n. 164.

[38] Cfr. A. SIROTTI GAUDENZI, Il nuovo diritto d’autore, Maggioli Editore.

[39] Art. 171 bis, legge 633/441.

[40] Art. 600-ter, terzo comma, c.p.

[41] Art. 600-ter, quarto comma, c.p.

[42] Art. 600-quater, c.p.

[43] Cfr. cap. 1.4

[44] Cfr Gabriele Sciumbata, I reati societari, Giuffrè, 2002; “..una responsabilità sui generis, che è chiamata amministrativa, ma che in realtà sfugge a tutte le tipologie di responsabilità e che a stretto rigore non è riconducibile né alla responsabilità amministrativa, né alla responsabilità civile, né a quella penale.”, U. APICE in La responsabilità amministrativa degli enti in Diritto e pratica delle società n. 3 – ottobre 2002, Il Sole 24 ore, pag.8.

[45] Art. 5 D.lgs. n. 231/2001 – Responsabilità dell’ente

“L’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio:

a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;

b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).

L’ente non risponde se le persone indicate nel comma 1 hanno agito nell’inteesse esclusivo proprio o di terzi.”

[46] Art. 1 D.lgs. 8.06.2001 n. 231.

[47] Art. 24 D.lgs. 8.06.2001 n. 231.

[48] Il 23.06.2003 è stato promulgato il d.lgs. n.196/03 – Testo Unico sulla Privacy, che ha riunito tutte le fonti normative in tema di trattamento di dati personali in unico testo, riscrivendo anche talune norme adeguandole alle interpretazioni giurisprudenziali e del Garante della Privacy. Il Testo Unico entrerà in vigore dal 01.01.2004. Le considerazioni svolte in questo paragrafo valgono comununque anche nella vigenza della precedente legge 675/96.

[49] Art. 31 del T.U.: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”

[50] Art. 13 del T.u.:”Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.”

[51] Art. 2050 c.c.- Responsabilità per l’esercizio di attività pericolose-“Chiunque cagiona ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno”.

[52] LUCA M. DE GRAZIA, cit. supra.

[53] Cfr. S. SUTTI, Food for thought, cit. supra nt.9.

[54] Cfr. in dottrina S.SUTTI in La sicurezza dei sistemi informativi aziendali: norme protettive, oneri e misure obbligatorie, in La privacy in Internet a cura di Andrea Lisi, Edizioni Simone, 2003.

[55] Sentenza del Tribunale di Roma, Ufficio del Giudice per le indagini preliminari, sez. 8° , n. 12005/98 R.G., notizie di reato n. 6677/99 R.G.G.I.P., in www.penale.it .

[56] LUCA M. DE GRAZIA in cit. supra definisce la sentenza “potenzialmente pericolosa” per l’ampiezza e l’indeterminatezza degli obblighi a cui è tenuto il titolare di un sistema informatico per adire la tutela sopra esposta.

[57] Unico tentativo ufficiale di regolamentazione del problema viene dal Gruppo di lavoro sulla protezione dei dati- Articolo 29 già citato alle note 7 e 8, il cui Documento di Lavoro non ha comunque efficacia di legge. A pag. 6 dello stesso si legge:”Nell’esaminare il problema della vigilanza occorre tener presente che per quanto i lavoratori abbiano il diritto ad una certa privacy sul posto di lavoro tale diritto va controbilanciato con quello del datore di lavoro a controllare il funzionamento della sua impresa ed a difendersi contro atti dei dipendenti che rischino di porre a repentaglio suoi interessi legittimi (ad esempio quando la responsabilità del datore di lavoro sia chiamata in questione per le azioni dei dipendenti).”

[58] Il riferimento è alla procedura di cui all’Art. 4 Stat. Lav, e agli adempimenti imposti dal Testo Unico sulla privacy che infra analizzeremo.

[59] Cfr. S. SUTTI, cit. supra; l’interessante conclusione ivi svolta parte dal riferimento all’art. 51 c.p.: “L’esercizio di un diritto o l’adempimento di un dovere imposto da una norma giuridica…… esclude la punibilità”.

[60] Art. 114 – Controllo a distanza - :”Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio1970, n. 300.”

[61] Cfr. A. BELLAVISTA, Il controllo sui lavoratori, Giappichelli, 1995

[62] Ha parlato più in generale di norma aperta M. VICECONTE, cit.; ma anche la giurisprudenza di merito: Pretura Milano 4.10.1988 in Notiziario giur. lav. 1989, 436;e di legittimità: Cass. 3.05.1997, n. 3837 in Giust. civ. Mass. 1997, 676.

[63]Cass. 16.09.1997 n. 9211 in Mass. Giur. Lav. 1997, 804.

[64] Cass. 6.04.1986 n. 1490 in Giust. civ. Mass. 1986, fasc. 3.

[65] Pret. Milano 4.10.1988, in Notiziario giur. Lav., 1989, 486; Cass. 8.10.1985, in idem, 1986, 155.

[66] Cass. 3.04.2002 n. 4746 in Giust. civ. Mass. 2002, 576.

[67] Pret. Napoli 15.04.1990, in Notiziario giur. Lav., 1990, 227; ma soprattutto la più recente Trib. Milano 14.06.2001 in Guida al Lavoro 2001.

[68] Su tale “ipotesi di difficile verificazione” cfr. E. Stenico, La tutela della riservatezza del lavoratore nell’esercizio della prestazione, in La tutela della privacy del lavoratore, UTET, 2001.

[69] Di questa opinione condivisa dalla maggioranza dei commentatori L. NOGLER, “Potere di controllo e utilizzo privato di telefono aziendale”, Guida al Lavoro n. 21, 2002.

[70] C.FOSSATI – C.MORPURGO, Internet e azienda, in Diritto & Pratica del Lavoro, 1, 2002

[71] Conforme Cass n.8250 del 17.06.2000 in AMOROSO – DI CERBO – MARESCA, cit.

[72] F. CARINCI, Diritto del lavoro, Utet, 1998.

[73] Art. 38 Stat. Lav.(Disposizioni penali).

“Le violazioni degli articoli 2, 4, 5, 6, 8 e 15, primo comma, lettera a ), sono punite, salvo che il fatto non costituisca più grave reato, con l'ammenda da lire 100.000 a lire un milione o con l'arresto da 15 giorni ad un anno.
Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente.
Quando, per le condizioni economiche del reo, l'ammenda stabilita nel primo comma può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo.
Nei casi previsti dal secondo comma, l'autorità giudiziaria ordina la pubblicazione della sentenza penale di condanna nei modi stabiliti dall'articolo 36 del codice penale.”

[74] Art. 8 Stat. Lav. (Divieto di indagini sulle opinioni).“E’ fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonchè su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.”

[75] Cfr. P. LAMBERTUCCI, Svolgimento del rapporto di lavoro e tutela dei dati personali, in AA.VV. La tutela della privacy del lavoratore, UTET, 2001.

[76] Documento di lavoro del gruppo di lavoro ex art. 29 riguardante la vigilanza ed i controlli sulle comunicazioni elettroniche effettuate dal posto di lavoro, pag. 2; cfr. supra nt.8.

[77] “Del rispetto della vita privata deve parimenti far parte in certa misura il diritto di stabilire e sviluppare relazioni con esseri umani. Non sembra inoltre esservi alcuna ragione di principio per la quale si debba considerare tale interpretazione della nozione “ vita privata” tale da escludere attività di natura professionale o commerciale, giacché dopo tutto è nel corso della propria vita lavorativa che la maggior parte delle persone ha una possibilità significativa, se non la più significativa, di sviluppare relazioni con il mondo esterno”; 23.11.1992, serie A n. 251/B, par. 29.

[78] Newsletter 17.09.01 Garante Privacy.

[79] Così come la precedente legge 675/1996.

[80] Art.13, comma 1,Testo Unico Privacy - (Informativa)

“1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.”.

[81] Ai sensi dell’art. 4 del Testo Unico sulla Privacy per “dati sensibili” si intendono “i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.”

[82] Art. 26 Testo Unico sulla Privacy.

[83] Ricordiamo che nella “parte II” è inserito l’art. 111 relativo al Codice di deontologia e buona condotta nei trattamenti effettuati per la gestione del rapporto di lavoro.

[84] Cfr. P. LAMBERTUCCI, Svolgimento del rapporto di lavoro e tutela dei dati personali, in La tutela della privacy del lavoratore, AA.VV. , UTET, 2001.

[85] Cfr. G. SCORZA, Privacy e diritto del lavoro, in La privacy in Internet, a cura di A. LISI, Simone, 2003.

[86] Tesi questa di J. MONDUCCI in Controllo del lavoratore e trattamento dei dati personali, in Diritto e Pratica delle Società, 2, luglio 2001, Il Sole 24 Ore.

[87] Di diverso avviso, sebbene nella vigenza della legge 675/96, nel senso di dover procedere sempre e comunque alla notificazione A. STRACUZZI, cit.

[88] D.MINOTTI, I reati commessi su Internet, in Internet, a cura di G.CASSANO, Giuffrè; Cfr. L.PICOTTI, Commento all’art. 5 legge 547/1993, in Legislazione Penale, 109-117.

[89] D. MINOTTI, I reati commessi su Internet, in Internet, a cura di G.CASSANO, Giuffrè; S.SUTTI, La sicurezza dei sistemi informativi aziendali: norme protettive, oneri e misure obbligatorie, in La privacy in Internet, a cura di A. LISI, Simone, 2003; G. PICA, Diritto penale delle tecnologie informatiche, Utet, 1999

[90] Garante Privacy, newsletter 12.07.1999

[91] A. STRACUZZI, cit.

[92] Cfr. sul punto le misure di sicurezza imposte dal Testo Unico sulla Privacy.

[93] Cfr. G. RIEM, cit.

[94] Uff. Indagini preliminari Milano, 10.05.2002 in Dir. e Giust. 2002, f.25.

[95] Art. 615 quater, comma 1: “Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro 5.164”

[96] Perché si configuri il reato basta la sola “abusiva detenzione” del codice di accesso: Cass. Penale n. 4389 del 2.07.1998 , in Studium Juris 2000, 91.

[97] Art. 617 quinques, comma 1: “Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni”. Commenta L.M. DE GRAZIA: “E’ vero che nel testo dell’articolo si ritengono punibili i soggetti che effettuano le intercettazioni fuori dai casi stabiliti dalla legge, ma viene il dubbio che questi casi siano solo ed esclusivamente quelli in cui detta attività venga esplicata dalla polizia giudiziaria dietro autorizzazione del giudice a seguito di un procedimento”; in Internet ed Intranet, sicurezza e privacy: i pericoli “nascosti” nell’applicazione della L. 675/96 e del D.lgs 318/99, in Trattato breve del diritto della rete, diretto da A.SIROTTI GAUDENZI, Maggioli Editore.

[98] Art. 617 sexies, comma 1, c.p.:”Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.”

[99] Tramite ricorso ex artt. 145 e seguenti del Testo Unico sulla Privacy.

[100] “Un divieto globale per i dipendenti d’impiegare Internet a fini personali appare irragionevole e non tiene conto del grado in cui l’Internet può aiutarli nella vita di tutti i giorni.” Documento di lavoro, 29.05.2002, pag. 5.

[101] Art. 34, Testo Unico sulla Privacy:“Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.”

[102] “Il lavoratore non può rivendicare alcun tipo di diritto alla riservatezza tutte le volte in cui il datore di lavoro comunichi a tutti i dipendenti, chiaramente e senza possibilità di equivoci il divieto di utilizzare l’indirizzo aziendale di posta elettronica per motivi personali, specificando che tutti i merssaggi possono essere visibili da tutti e in qualsiasi momento”; Garante Privacy, newsletter 13.07.1999.

Autore

Marco Secco, LL.M.

Master in Diritto della Rete presso l'Università degli Studi di Padova

Studio Legale Associato Maturo Smania Gasparini, Cittadella (PD).

Articolo tratto dalla tesina presentata a chiusura del Master -2002/2003, con relatore il Prof. Avv. Stefano Sutti.

[torna all'inizio]