Dai controlli aziendali vietati ai controlli imposti sul sistema informativo Stefano Sutti, LL.M. STUDIO LEGALE SUTTI Head Office: Via Montenapoleone 8 20121 Milan, Italy
Food for thought: - Art. 2049 Codice Civile: "I padroni e i committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono adibiti". - Art. 2050 Codice Civile: "Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno". - Art. 51 Codice Penale "L'esercizio di un diritto o l'adempimento di un dovere imposto da una norma giuridica... esclude la punibilità".
L'ordinamento italiano vivente presenta un buon grado di schizofrenia in materia di "controlli del lavoratore": da un lato infatti persiste una visione conservatrice che mira, nella tradizione dell'art. 4 Statuto dei Lavoratori, ad "emancipare" o "proteggere" il lavoratore dai controlli di cui egli possa essere oggetto da parte dell'azienda per cui lavora, restringendo correlativamente la libertà delle parti di accordarsi - e dell'impresa di organizzarsi - come meglio credono. Dall'altro, pare allo stesso legislatore ineliminabile l'esigenza di far gravare in ultima analisi sull'azienda (e sulle persone fisiche che la controllano) le sanzioni volte ad ottenere il rispetto di varia normativa a tutela dei terzi e dei lavoratori stessi; o ancora oneri cui è condizionata la tutela di diritti della stessa azienda. Ciò che non sempre viene percepito è che tali prescrizioni rendono di fatto obbligatori o almeno obbligati, e perciò per definizione leciti, i controlli necessari ad assicurarne l'osservanza. Norme talora volte a rafforzare un controllo sociale occhiuto, come quelle in materia di privacy, finiscono così per svuotare progressivamente di contenuto le tradizionali limitazioni ai controlli del lavoratore dipendente in aree oggi assolutamente critiche allo stesso interesse aziendale.
In materia di meri oneri, è banale ad esempio citare i vari aspetti inerenti alle misure idonee ad assicurare certi effetti in materia di proprietà industriale, quali la segretezza del know-how o delle informazioni commerciali, per tutti i vari fini cui questi possono rilevare, per esempio alla luce dei TRIPS. Altro argomento è quello della adozione di misure di sicurezza come presupposto perché l'azienda possa far valere gli illeciti nei suoi confronti, o meglio, perché i comportamenti lesivi assumano il carattere di illecito.
In questo senso vanno per esempio due articoli introdotti dalla Legge n. 547/1993 nel codice penale vigente.
Il primo, e precisamente l'art. 615-ter, prevede che «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni». Il secondo, ovvero l'art. 615-quater, prevede invece che «Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni».
In altri termini, al legislatore non importa se qualcuno si introduce o si trattiene abusivamente nel sistema informativo di qualcuno, o usa e diffonde gli strumenti per accedervi, se questo non è già protetto da misure di sicurezza. Che la norma vada intesa nel senso per cui la serietà ed idoneità delle misure sia necessaria, è confermato dalla recente sentenza 04/04/2000 del GUP di Roma, che ha dichiarato il non luogo a procedere nei confronti di un utente che si era introdotto via Internet «nel sito telematico del GR1, rinominando con lo stesso nome di quello autentico e sostituendo il file contenente il Radio Giornale delle ore 13.00, con un altro file contenente una serie di critiche alla Società Microsoft e al nuovo sistema operativo denominato Windows 98».
Di altrettanto interesse dal punto di vista della difesa della sicurezza aziendale, e della liceità dei relativi controlli, sono gli argomenti che potrebbero trarsi in questo senso dall'art. 616, che punisce «chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta». Sempre secondo lo stesso articolo, nella sua versione modificata nel 1993, infatti, «agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza». Ora, posto che comunemente il livello di segretezza attribuito dagli esperti in sicurezza agli scambi di e-mail non cifrata è quello appunto della corrispondenza "aperta", ovvero della cartolina postale, potrebbe ragionevolmente argomentarsi che la lettura della posta elettronica altrui non costituisce di per sé reato ove il mittente non prenda alcuna precauzione per garantirne la riservatezza.
Ulteriormente intensificato risulta il ruolo di controllo doverosamente assunto dall'azienda in materia di danni a terzi. In materia di "obblighi" a predisporre quanto possibile anche in termini di controlli a distanza od automatici o attraverso mezzi tecnici (che certamente rientrano in "tutte le misure idonee ad evitare il danno"...) vengono innanzitutto in conto quelli relativi alla prevenzione dei cosiddetti crimini informatici.
Sappiamo, ad esempio, che dal 1993 «chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni» (art. 635-bis Codice Penale). O ancora, «chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni» (art. 615-quinquies). Infine, «chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni» (art. 640-ter Codice Penale).
Altre regole tutelano più precisamente le comunicazioni, anche se la legge parla alla rinfusa di sistema "informatico o telematico". Così «chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni» (art. 617-quinquies Codice Penale); «Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni» (art. 617-sexies Codice Penale).
Sono state in altri termini previste sanzioni specifiche per violazioni (probabilmente già punibili nella totalità dei casi) che hanno a che fare con i "sistemi informatici e telematici", nonché un certo numero supplementare di "reati di pericolo", in cui sono puniti comportamenti potenzialmente prodromici a violazioni future, che configurano tutti illeciti che all'azienda viene imposto di prevenire. A questi reati possono essere aggiunti una serie di illeciti dispersi in varia legislazione, non ultima quella in materia di pedofilia, che fa riferimento alla mera "copia" di immagine pedopornografiche, fattispecie che si realizza anche con il semplice "accesso" ad una pagina o ad un messaggio posti su siti o in newsgroup, in quanto lo stesso comporta inevitabilmente e come minimo la copia dell'immagine dalla Rete alla RAM della stazione coinvolta (quando non al disco, ad esempio nella cache del browser utilizzato).
Ancora, sappiamo come e-mail e programmi di chatting e file sharing come IRC, ICQ, etc., siano recentemente venuti alla ribalta come strumenti utili alla violazione del copyright sul software ed altre opere dell'ingegno, ad esempio di carattere musicale o cinematografico. Ancora, la Rete e la posta sono naturalmente luogo di elezione di tutti i reati che possono essere commessi mediante la parola, a cominciare dai reati di opinione (le varie apologie previste dall'ordinamento vigente) e dalle istigazioni, per finire con illeciti disparati quanto la sollecitazione abusiva del pubblico risparmio, la violazione del diritto all'immagine, la truffa, per finire con ingiuria e diffamazione. Anzi, la posta elettronica rappresenta oggi un elemento ricorrente proprio nell'esperienza lavoristica internazionale con particolare riguardo alle fattispecie del mobbing e delle molestie sessuali, ed alla crescente pressione per l'intensificazione delle misure preventive e di controllo dell'azienda al riguardo.
Posto che la mancata adozione di "tutte le misure idonee" allo stato della tecnica per prevenire la commissione di illeciti, da parte di propri dipendenti, nell'esercizio delle loro mansioni - specie nel corso di attività che come vedremo la Legge n. 675 dimostra di considerare di per sé "attività pericolosa" - è punita, chi invoca l'art. 4 Statuto dei Lavoratori non può fare altro che addentrarsi in distinguo sulla "finalità del controllo" cui solo le aziende più sprovvedute forniscono materiale.
Altre regole potenzialmente utili a consentire all'azienda accorta di monitorare e raccogliere informazioni anche a distanza sul lavoratore dipendente sono quelle previste, questa volta a pena addirittura di sanzioni penali, dal Decreto Legislativo n. 626/1994, secondo cui "Le misure generali per la protezione della salute e per la sicurezza dei lavoratori sono: ... b) eliminazione dei rischi in relazione alle conoscenze acquisite in base al progresso tecnico e, ove ciò non è possibile, loro riduzione al minimo", ivi compresi "q) uso di segnali di avvertimento e di sicurezza". Notiamo altresì che il datore di lavoro, ai sensi della stessa legge, (art. 4): "f) richiede l'osservanza da parte dei singoli lavoratori delle norme vigenti, nonché elle disposizioni aziendali in materia di sicurezza e di igiene del lavoro e di uso dei mezzi di protezione collettivi e dei dispositivi di protezione individuale messi a loro disposizione; ... h) adotta le misure per il controllo delle situazioni di rischio". Ciò mentre i lavoratori (art. 5) "f) non rimuovono o modificano senza autorizzazione i dispositivi... di controllo".
Ancora, l'azienda, sempre a fini di tutela della sicurezza, è chiamata (art. 35) ad una verifica costante del fatto che le attrezzature di lavoro "siano utilizzate correttamente", prendendo le misure idonee "per impedire che dette attrezzature possano essere utilizzate per operazioni e secondo condizioni per le quali non sono adatte". Sappiamo poi che regole specifiche prevedono che sia controllato il rispetto di alcuni principi nell'utilizzo di "videoterminali". All'art. 89 della stessa legge sono poi illustrate le sanzioni per i datori di lavoro e per i dirigenti che ritenessero di dover mediare le "assolute" esigenze rappresentate dalla 626 con la... privacy dei propri dipendenti.
Ma il maggior attacco alla suddetta "privacy" viene proprio dalla cosiddetta "legge sulla privacy", ovvero la Legge n. 675/1996, che è volta in realtà a regolare il "trattamento dei dati personali" di nuovo attraverso principalmente l'imposizione di controlli affidati al titolare del relativo trattamento quando questo non avviene per finalità "esclusivamente personali", e perciò tipicamente all'azienda.
Sappiamo infatti che (art. 18) "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile", cosa che si estende ovviamente a chi è responsabile per costui ai sensi dell'art. 2049 e non ha adottato "tutte" le famose "misure idonee". Danni che per inciso si estendono (art. 29) ai danni non patrimoniali.
Tutto ciò non riguarda forse la telecamera sempre accesa da cui il tornitore teme di essere "colto in flagrante" mentre abbandona il tornio ed accende la sigaretta, ma riguarda praticamente quasi tutti gli altri casi in cui viene in conto un controllo relativo ad informazioni gestite o scambiate da un lavoratore dipendente. Sappiamo bene infatti come la 675 abbia implementato la direttiva europea di pari oggetto nel modo più generico ed estremista, così da coinvolgere praticamente qualsiasi tipo di contatto con dati di persone fisiche o giuridiche, che si compia o meno attraverso l'utilizzo di strumenti informatici o comunque automatici.
Gravano così sull'azienda, per tanto che l'attività si inserisca nel quadro dello svolgimento delle mansioni del responsabile, tutte le responsabilità inerenti alla raccolta non notificata od autorizzata di dati, al mancato consenso od informativa all'interessato, alla successiva violazione dei suoi diritti, all'utilizzo improprio, alla comunicazione o diffusione del dato; elemento quest'ultimo che si colora di ulteriori profili di illiceità quando il lavoratore si trovi in condizione, grazie all'omissione degli opportuni controlli aziendali, di trasferire addirittura il dato all'estero (per esempio, mandando una mail al collega di Tokyo in cui il ritardo nel completamento del lavoro viene giustificato dall'influenza del vicino di scrivania).
Le regole che giustificano i controlli più pervasivi restano però indubbiamente quelle volte ad assicurare il rispetto di misure minime di sicurezza nel trattamento dei dati personali.
Risulta infatti (art. 36) che "chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione" ivi compreso il caso in cui il fatto "è commesso per colpa" (secondo comma), ovvero nel caso in cui in pratica la violazione delle misure di sicurezza si è verificata per omissione dei necessari controlli.
Le norme in questione vanno naturalmente reperite nelle misure "a matrioska" del DPR n. 318/1999.
Al riguardo va innanzitutto tenuto presente che appare fortemente probabile che qualsiasi dipendente finisca per trovarsi nella posizione di "incaricato" del trattamento di dati personali (data l'amplissima definizione data dalla Legge 675) o in quella di colui che, al pari del borghese gentiluomo di Molière che faceva della prosa senza saperlo, "fa del trattamento senza saperlo" - in violazione della disciplina relativa.
Per rendersi conto di ciò, si tenga presente che per "trattamento dei dati" ognuno di noi pensa in prima battuta alla schedatura in un database di caratteristiche o notizie che ci riguardano da parte di un terminalista, ma almeno l'80% dei dati personali disponibili nel patrimonio informativo aziendale è in realtà contenuto normalmente nei file generati da un word-processor, in messaggi di e-mail, in record di contabilità, o... in corrispondenza assolutamente cartacea.
Secondariamente, le cosiddette "fattispecie minori". Non esistono infatti "elaboratori non accessibili tra altri elaboratori o terminali", almeno se non si tratta di monadi di Leibniz. Piuttosto rari appaiono altresì gli "elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico", dato che in tale categoria certamente non rientrano i PC muniti di un modem o in altri modi collegati con la rete telefonica o con Internet, e neppure i... cellulari, che sono certamente "elaboratori" nel senso della norma, per tanto che registrino qualche numero telefonico con relativo nominativo.
Il titolare e il responsabile del trattamento devono così garantire che non avvengano accessi se non dietro utilizzo dell'apposita parola chiave, nonché il fatto che i rispettivi codici identificativi non coincidano, nonché che il loro utilizzo non sia sospeso per più di sei mesi. Ancora, il datore di lavoro deve controllare l'efficacia dei programmi antivirus adottati con cadenza semestrale, qualsiasi cosa ciò significhi per i sistemi operativi ed i dispositivi che non conoscano né virus né programmi di protezione al riguardo.
Per i dati sensibili, che comprendono ad esempio la famosa informazione sui problemi di raffreddamento del vicino di scrivania, e che di nuovo coinvolgono praticamente tutti, il trattamento ai dati presuppone inoltre un'autorizzazione specifica, che di nuovo comporta un controllo, almeno repressivo, degli accessi non autorizzati, ad esempio da una workstation abbandonata durante l'orario di lavoro; ciò mentre controlli devono essere predisposti ai fini di limitare l'accesso (art. 5) "ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento", la validità delle richieste di accesso deve essere verificata prima di consentire l'accesso stesso, e va parimenti garantito che non sia possibile accedere contemporaneamente da due stazioni con lo stesso identificativo.
Infine, il titolare del trattamento deve adottare un piano per la sicurezza che preveda i criteri tecnici per la protezione delle aree e dei locali coinvolti, e l'identificazione delle persone che vi accedono, così come per garantire il rispetto delle restrizioni imposte a tali persone per ciò che concerne la trasmissione dei dati in questione.
Alla luce di quanto sopra, appaiono davvero limitati i residui confini alla possibilità di adottare policy aziendali che prevedano, con particolare ma non esclusivo riguardo allo scambio interno ed esterno di informazioni, tutti gli opportuni controlli, limitazioni, registrazioni a futura memoria, accesso alle stesse. Con particolare riguardo all'utilizzo dei sistemi di memorizzazione, elaborazione e comunicazione a distanza, tali policy tendono oggi in sostanza a riaffermare il principio che l'eventuale tolleranza per gli utilizzi personali degli stessi non comporta in alcun modo una rinuncia da parte dell'azienda a diritti esclusivi sul flusso di informazioni che in essi si verifica.
L'esercizio del giurista si concentra così nella previsione delle forme opportune di tali controlli, anche ai fini della loro giustificazione ai sensi della normativa vigente, e della responsabilizzazione del lavoratore al riguardo. NOTE SULL'AUTORE: Stefano Sutti è nato il 16 Giugno 1960 a Milano, dove tuttora vive e lavora. Dopo la maturità classica come privatista con il massimo dei voti, si è laureato magna cum laude in Giurisprudenza all'Università Cattolica del Sacro Cuore di Milano, dove ha animato l'associazione studentesca Eretika. Sempre nello stesso ateneo ha altresì fatto studi di Economia e Commercio, ed ha infine ottenuto nel 1985 un Master in Diritto Aziendale. Giornalista dal 1980, traduttore e conferenziere è stato per un decennio titolare della rubrica su informatica e telematica negli studi professionali per PC Magazine della Jackson, oltre che collaboratore di PC Week, e di numerose altre testate giuridiche e di settore. E' redattore del Foro Padano, di The European Lawyer e della e-zine Lex Legis (http://www.diritto.org) dove è responsabile della sezione sul diritto comparato. Avvocato al foro di Milano, lavora nello Studio Legale Sutti (http://www.sutti.com) dal 1982, di cui è diventato Socio nel 1987, e Managing Partner dal 1992, promuovendo la crescita dello studio e l'apertura dei suoi uffici all'estero. Nell'ambito dello stesso studio legale, ha altresì responsabilità specifiche per quello che riguarda il diritto commerciale, ed è particolarmente attivo nella parte attinente il settore dell'informatica e delle telecomunicazioni; a tale effetto dal 1987 al 1989 ha partecipato ai lavori della Commissione Informatica dell'Ordine Avvocati e Procuratori di Milano, fornendo tra l'altro consulenza ed assistenza con riguardo allo sviluppo di applicazioni aziendali e per l'automazione degli studi professionali. In veste professionale, Stefano Sutti ha altresì partecipato alla creazione di LegIT - Specialists in Legal Information Technology, un gruppo di studi legali di vari paesi che ha partecipato ad un certo numero di progetti della Commissione CEE, in particolare nel campo del telelavoro e dell'EDI, ed è stato tra i fondatori di euroITcounsel, un circolo di qualità di avvocati e studi europei specializzati in IT ed e-commerce. La maggior parte della copertura mediatica ottenuta da Stefano Sutti e dallo studio di cui fa parte è in effetti legata all'informatica ed alla comunicazione. Oltre al rilievo dato ad alcuni casi in cui lo stesso è intervenuto professionalmente, ad esempio in materia di Millenium Bug, Stefano Sutti è costantemente intervistato e menzionato con riguardo a questi temi da pubblicazioni italiane ed internazionali (cfr. al riguardo quanto segnalato sul sito dello SLS). Dal punto di vista scientifico, Stefano Sutti ha partecipato intensamente al lavoro delle commissioni IBA, IPBA e AIJA coinvolte nel diritto dell'informatica, ed ha avuto occasione di rappresentare l'Italia a Bruxelles nell'European Technology Conference 1997. Tra le altre apparizioni pubbliche, ha presieduto la sessione sulle relazioni tra informatica, concorrenza e proprietà industriale al seminario "European Information and Communication Technologies: Policy and Practice into the 21st Century" sponsorizzato della Camera di Commercio Internazionale di Parigi nel 1996, ed ha partecipate alla "First Annual Electronic Conference of the G7 Global Marketplace for SME Project", sponsorizzata dalla DGIII della Commissione europea a Bonn il 7-9 Aprile 1997. Più recentemente durante l'ultimo CEBIT ad Hannover, il 25 Febbraio 2000, ha presentato la legislazione italiana in materia di firma digitale in un workshop organizzato da euroITcounsel, e nel corso di quest'anno ha parlato in diverse altre occasioni in materia di privacy, di di sicurezza e di e-commerce. |
|
|