La posta elettronica aziendale: tra segretezza della corrispondenza e diritto d'accesso del datore di lavoro
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
La posta elettronica aziendale: tra segretezza della corrispondenza e diritto d'accesso del datore di lavoro di Giovanni Cucchiarato(*) ed Alessandro Rossini(**) SOMMARIO: 1. Introduzione: commento ad una sentenza della Corte d’Appello della California. – 2. L’evoluzione giuridica del concetto di posta elettronica aziendale. – 3. Il carattere personalistico dell’e-mail aziendale. – 4. Profili problematici. – 5. Conclusioni. 1. Introduzione: commento ad una sentenza della Corte d’Appello della California Il presente contributo prende spunto da una recente sentenza statunitense in materia di diritto di accesso del datore di lavoro alle comunicazioni inviate da un computer aziendale - e tramite un account e-mail aziendale - tra un dipendente ed il suo avvocato (sentenza “Holmes v. Petrovich Development Company, LLC, et. al.” del 13 gennaio 2011, Court of Appeal of the State of California, Third Appellate District, Sacramento1). Con tale provvedimento, che ad onor del vero ha ricevuto scarsa attenzione da parte dei commentatori e dei mezzi di informazione italiani, i giudici statunitensi hanno sancito il carattere “non confidenziale” delle comunicazioni e-mail scambiate tra un lavoratore (*) Avvocato in Milano, specializzato in Diritto societario; Istituto Italiano per la Privacy. (**) Praticante legale in Milano, specializzato in Informatica giuridica e Compliance aziendale; Istituto Italiano per la Privacy. 1 Il provvedimento è reperibile in formato PDF ed in versione integrale in lingua inglese presso il sito internet delle Corti d’Appello della California, all’indirizzo: http://www.courtinfo.ca.gov/opinions/archive/C059133.PDF. Ai fini del presente contributo sono rilevanti, in particolare, le pagg. 24 e ss. della pronuncia. Diritto Economia e Tecnologie della Privacy
2 Giovanni Cucchiarato ed Alessandro Rossini dipendente ed il proprio avvocato utilizzando un computer ed un indirizzo di posta elettronica aziendali. Il caso riguardava una ex dipendente della società “Petrovich Development Company, LLC”, che aveva citato in giudizio tale società ed il titolare della stessa (del quale aveva ricoperto il ruolo di assistente) per molestie sessuali, ritorsioni, licenziamento illegittimo, violazione del diritto alla privacy e provocazione intenzionale di stress emotivo. In particolare, per quanto qui ci interessa, l’attrice lamentava che nel corso del processo di primo grado (svoltosi avanti al Tribunale Superiore di Sacramento e conclusosi con esito a lei sfavorevole), i suoi ex datori di lavoro avevano prodotto quale prova in giudizio a suo carico uno scambio di e-mail - di carattere riservato e privilegiato - tra la stessa lavoratrice ed il suo avvocato. Nello specifico, con tale corrispondenza elettronica, che era stata inviata dal computer aziendale dell’appellante ed effettuata tramite l’utilizzo del suo account di posta elettronica aziendale, veniva prospettata da parte della stessa lavoratrice la possibilità di intentare una causa contro il proprio datore di lavoro. La Corte d’Appello californiana ha considerato legittimo l’utilizzo di tale scambio di e-mail quale prova a carico dell’ex dipendente, ritenendo che non dovesse trovare applicazione la normativa statunitense che vieta la produzione in giudizio delle comunicazioni - per loro stessa natura “riservate” - tra cliente ed avvocato. E ciò in base all’assunto che il datore di lavoro, nel caso di specie, avesse il diritto di accedere all’account di posta elettronica aziendale della lavoratrice in quanto essa stessa: (1) era stata informata in merito alla “policy aziendale”, ai sensi della quale i computer della società dovevano essere utilizzati esclusivamente per scopi legati al business dell’azienda ed era quindi vietato per i dipendenti il loro utilizzo al fine di inviare o ricevere e-mail a carattere personale; (2) era stata avvisata che la società avrebbe potuto monitorare i computer aziendali ai fini dell’osservanza della propria policy e che quindi avrebbe potuto controllare in qualsiasi momento tutti i files ed i messaggi in essi contenuti; (3) era stata inoltre ammonita esplicitamente in merito al fatto che ai dipendenti che utilizzano computer aziendali per creare o mantenere informazioni o messaggi a carattere personale “non veniva Diritto Economia e Tecnologie della Privacy
La posta elettronica aziendale 3 riconosciuto il diritto alla privacy in riferimento a tali informazioni o messaggi”2. La Corte californiana si è spinta poi fino ad equiparare le e-mail inviate dalla lavoratrice al proprio legale per mezzo di un computer aziendale ad una consultazione avvenuta in una sala riunioni, ad alta voce e con la porta della stanza aperta, di modo che qualsiasi persona ragionevole potesse aspettarsi che le lamentele della lavoratrice in merito al suo datore di lavoro sarebbero state udite da quest’ultimo3. Alla luce di un tale ragionamento, la Corte concludeva quindi per l’assenza, nel caso di specie, del carattere “privilegiato” e confidenziale della comunicazione tra cliente ed avvocato ai sensi della normativa statunitense in materia (ossia dell’art. 952 del ”Evidence Code”, Codice in materia di Prove). I passi richiamati della sentenza sopra citata, pur avendo portata più generale rispetto all’oggetto del presente contributo (dal momento che si riferiscono a tutte le comunicazioni e-mail che avvengono per mezzo di un computer aziendale - abbiano esse luogo tramite un account di posta elettronica privato o aziendale) e pur riguardando un 2 Cfr. il testo originale della sentenza, a pag. 2 della stessa, nel quale la Corte d’Appello californiana ha statuito: “Among other things, we conclude that e-mails sent by Holmes to her attorney regarding possible legal action against defendants did not constitute “confidential communication between client and lawyer” within the meaning of Evidence Code section 952. This is so because Holmes used a computer of defendant company to send the e-mails even though (1) she had been told of the company’s policy that its computers were to be used only for company business and that employees were prohibited from using them to send or receive personal e-mail, (2) she had been warned that the company would monitor its computers for compliance with this company policy and thus might “inspect all files and messages…at any time,” and (3) she had been explicitly advised that employees using company computers to create or maintain personal information or messages “have no right of privacy with respect to that information or message”. 3 Cfr. il testo originale della sentenza, a pag. 3: “the e-mails sent via company computer under the circumstances of this case were akin to consulting her lawyer in her employer’s conference room, in a loud voice, with the door open, so that any reasonable person would expect that their discussion of her complaints about her employer would be overheard by him”, nonché a pag. 30 della stessa sentenza. Diritto Economia e Tecnologie della Privacy
4 Giovanni Cucchiarato ed Alessandro Rossini caso sottoposto all’attenzione di un tribunale straniero4, possono sicuramente rappresentare l’occasione per accendere (o riaccendere) il dibattito su alcune problematiche rimaste per lo più irrisolte nell’ambito della Dottrina e della Giurisprudenza italiane. Nel presente contributo esamineremo in particolare la delicata e complessa problematica relativa all’utilizzo degli indirizzi di posta elettronica aziendale ed il connesso difficile contemperamento tra il diritto del datore di lavoro di avere accesso alla posta elettronica aziendale di un proprio dipendente (in particolare nei casi di “improrogabili necessità aziendali”) e l’esigenza, profondamente sentita soprattutto in tempi recenti, di tutelare la legittima aspettativa di riservatezza sulla corrispondenza inviata tramite e-mail aziendale dal lavoratore dipendente. Ci soffermeremo poi su uno dei principali motivi che giustificano ed accentuano sempre più una tale aspettativa di riservatezza del lavoratore, ossia il fatto che l’indirizzo e-mail aziendale è oggi, nella stragrande maggioranza dei casi, “nominativo”, dal momento che contiene il nome proprio del dipendente che lo utilizza, acquisendo così esso una forte connotazione “personalistica”. Al fine di meglio comprendere le problematiche sottese al presente contributo è ora opportuno fare un breve excursus sull’evoluzione, dal punto di vista giuridico, del concetto di e-mail aziendale nella realtà legislativa, dottrinale e giurisprudenziale italiana. 4 Nella legislazione e nella giurisprudenza di merito italiane, nonché nelle pronunce e nei provvedimenti del Garante per la protezione dei dati personali, in casi come quello affrontato dalla sentenza della Corte californiana qui citata, la tutela del diritto alla privacy del lavoratore si interseca e si contempera molte volte con la normativa giuslavoristica, ed in particolare con il divieto di utilizzazione per il datore di lavoro di mezzi di controllo a distanza del lavoratore, sancito dall’art. 4 della legge n. 300 del 1970 (cd. “Statuto dei Lavoratori”). A tale proposito cfr., in materia di legittimità del controllo informatico del lavoratore in relazione alla navigazione su internet ed all’invio di e-mail effettuati con strumenti aziendali ma per scopi personali, una recente sentenza della Cassazione Civile, sez. Lavoro, n. 4357 del 23 febbraio 2010, in Giustizia Civile 2011, 4, 1054. Per un’approfondita analisi sul tema cfr. il saggio di P. TULLINI, Comunicazione elettronica, potere di controllo e tutela del lavoratore, in Rivista Italiana del Diritto del lavoro, 2009, 3, 323. Diritto Economia e Tecnologie della Privacy
La posta elettronica aziendale 5 2. L’evoluzione giuridica del concetto di posta elettronica aziendale I messaggi di posta elettronica rientrano oramai pacificamente nel più ampio concetto di “corrispondenza”. Tuttavia, il percorso che ci consente oggi di poter giungere agevolmente a tale conclusione non è stato immediato. La Dottrina prima, il Legislatore e la Giurisprudenza poi, hanno saputo analizzare il fenomeno dell’utilizzo e della proliferazione dei documenti digitali adattando a tale nuova tipologia di documenti i precedenti modelli normativi. La differente natura ontologica del documento informatico ha, infatti, creato non poche incertezze interpretative, incertezze superate dapprima dal Legislatore penale che, con la legge n. 547 del 23 dicembre 1993, ha introdotto nel nostro sistema normativo il concetto di documento informatico, un documento immateriale e, al contempo, estremamente “reale”5. La medesima legge n. 547/1993, modificando l’art. 616 del Codice Penale in materia di violazione, sottrazione e soppressione di corrispondenza, ha equiparato la corrispondenza telematica a quella epistolare, prevedendo all’ultimo comma di tale norma che “agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza”. 5 Cfr., in tema di “falso informatico”, M. PETRONE, Le recenti modifiche del codice penale in tema di documento informatico: problemi e prospettive, in Il diritto dell’informazione e dell’informatica, 1995, 259 ss.: “Quando pensiamo al documento, perciò, dobbiamo pensare necessariamente a qualcosa di materiale e, ovviamente, tutelando questo supporto materiale, noi tuteliamo tutto ciò che in esso è rappresentato. Ed allora, non si poteva sfuggire all'alternativa, o di continuare a parlare di qualcosa di materiale, oppure di modificare addirittura le forme della condotta di falso. Non si sarebbe potuto parlare più, per il falso informatico, di falsità materiale, di falsità ideologica, di falso per soppressione, ma, per esempio, accettando la tesi del documento informatico come dato informatico - ossia come contenuto di pensiero, privo di materialità - di cancellazione del dato, di sostituzione del dato, di immissione di un dato falso, ecc.”. Diritto Economia e Tecnologie della Privacy
6 Giovanni Cucchiarato ed Alessandro Rossini Da allora tale equiparazione tra la corrispondenza epistolare “classica” e quella informatica è stata interiorizzata dal sistema giuridico italiano. Con riferimento, poi, alla materia oggetto del presente contributo, è importante individuare fin d’ora i punti nodali che ancora oggi non appaiono pacificamente risolti dal Legislatore e che - anche prendendo spunto dagli assunti posti a fondamento della pronuncia giurisprudenziale della Corte statunitense citata in introduzione - suscitano (o quantomeno dovrebbero suscitare) dibattiti non solo tra gli esperti del settore, ma altresì tra tutti quei lavoratori che quotidianamente utilizzano la posta elettronica aziendale anche per finalità non strettamente lavorative. L’art. 15 della nostra Costituzione Repubblicana sancisce espressamente il principio di inviolabilità e segretezza della corrispondenza e di ogni altra forma di comunicazione. Ai sensi di tale norma costituzionale, la limitazione di un tale diritto di inviolabilità e segretezza può avvenire solo in seguito ad un atto motivato dell’autorità giudiziaria e con le garanzie stabilite dalla legge. Tale diritto fondamentale è rafforzato poi dalla previsione del già citato art. 616 del Codice Penale, che punisce con la reclusione fino a un anno o con la multa da Euro 30 ad Euro 516 - sempre che il fatto non sia previsto come reato da un’altra disposizione di legge - chiunque prenda cognizione del contenuto di una corrispondenza chiusa a lui non diretta, ovvero sottragga o distrugga, al fine di prendere o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta a lui non diretta, ovvero la distrugga o sopprima in tutto o in parte. Tuttavia, la problematica legata al principio dell’inviolabilità e segretezza della corrispondenza e le relative questioni interpretative appaiono più sfumate quando si tratta di indirizzi di posta elettronica cosiddetti “aziendali”. Per posta elettronica aziendale si deve intendere il servizio di account e-mail pagato dal datore di lavoro che, nella maggior parte dei casi, è costituito dal nome della società dello stesso datore di lavoro posto di seguito al simbolo della cosiddetta chiocciola “@”. Sulla natura dell’indirizzo e-mail aziendale sono state avanzate, con alterne fortune, diverse e contrastanti teorie in seno alla Dottrina. Diritto Economia e Tecnologie della Privacy
La posta elettronica aziendale 7 Appare tuttavia oggi dominante, anche a seguito delle diverse pronunce giurisprudenziali succedutesi in materia6, la teoria che riconosce alla posta elettronica aziendale natura di “strumento di lavoro”. Sebbene la Giurisprudenza maggioritaria non riconoscesse - e tutt’ora non riconosca - penalmente perseguibile ex art. 616 c.p. il datore di lavoro che acceda alla posta elettronica del proprio lavoratore dipendente, forti critiche venivano e vengono a tutt’oggi avanzate da parte di coloro che vedono in tali condotte una lesione della privacy del lavoratore e chiedono a più voci un intervento teso a riconoscerne il diritto a mantenere segreta la corrispondenza elettronica scambiata mediante e-mail aziendale. Con delibera n. 13 dell’1 marzo 20077, pubblicata sulla G.U. n. 58 del 10 marzo 2007, il Garante per la protezione dei dati personali si è espresso in merito a tale materia, emanando delle fondamentali “linee 6 Ex pluribus, cfr.: Ordinanza di archiviazione del G.I.P. presso il Trib. di Milano del 10 maggio 2002, in Massimario della Giurisprudenza del Lavoro, 2002, II, 747: “Le caselle di posta elettronica recanti quali estensioni nell'indirizzo e-mail @[...].it, seppur contraddistinte da diversi "username" di identificazione e password di accesso, sono da ritenersi equiparate ai normali strumenti di lavoro della società e quindi soltanto in uso ai singoli dipendenti per lo svolgimento dell'attività aziendale agli stessi demandata; considerando quindi che la titolarità di detti spazi di posta elettronica debba ritenersi riconducibile esclusivamente alla società […]”; Tribunale di Chivasso, sentenza del 20 giugno 2006, in Foro Italiano, 2007, 2, 132: “Posto che l’”e-mail” aziendale appartiene al datore di lavoro, non sussiste il reato di violazione di corrispondenza qualora il superiore gerarchico acceda alla posta elettronica professionale del dipendente”, nonché: “L’e-mail aziendale appartiene al datore di lavoro. In relazione al reato di cui all'art. 616 c.p. il fatto non sussiste qualora, anche in presenza di adeguata policy aziendale, il datore di lavoro acceda alla casella personalizzata del dipendente”, sentenza confermata dalla Cassazione Penale n. 47096 del 19 dicembre 2007, in Guida al Lavoro - Il Sole 24 Ore, 4, 26; Tribunale di Torino, sentenza del 15 ottobre 2006, in Diritto dell’Internet, 2007, 3, 275: “Non è configurabile il reato di violazione di corrispondenza allorquando il datore di lavoro consulti i messaggi di posta elettronica recapitati sull’indirizzo aziendale registrato a nome del dipendente, in quanto il datore di lavoro pone in essere solo un uso di beni aziendali affidati ai dipendenti esclusivamente per ragioni di servizio”. 7 Delibera reperibile presso il sito del Garante per la protezione dei dati personali, all’indirizzo internet: http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522. Diritto Economia e Tecnologie della Privacy
8 Giovanni Cucchiarato ed Alessandro Rossini guida” che hanno permesso di fissare degli standard minimi al fine poter garantire, da un lato, il rispetto della privacy del lavoratore e, dall’altro lato, un’adeguata informativa rivolta ai dipendenti in merito alla natura della posta elettronica aziendale quale “strumento di lavoro”. Con tale provvedimento del Garante vennero quindi fissati alcuni obblighi in capo alle aziende, che appare opportuno richiamare, seppur sommariamente, in questa sede. Il datore di lavoro deve innanzi tutto informare con chiarezza ed in modo dettagliato i dipendenti in merito alle modalità di utilizzo di internet e della posta elettronica aziendale, nonché alla possibilità che vengano effettuati controlli: (i) fornendo preventivamente ai dipendenti una chiara e particolareggiata “informativa”, ai sensi dell’art. 13 del D. Lgs. n. 196/2003 (Codice della Privacy), relativa ai trattamenti di dati che possano riguardarli e (ii) adottando un “disciplinare”/“codice interno” in cui siano chiaramente indicate le modalità di utilizzo degli strumenti messi a disposizione del dipendente, nonché la possibilità di controlli da parte dell’azienda sull’utilizzo di tali strumenti. In aggiunta, il datore di lavoro deve implementare misure di sicurezza tali da: (iii) assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati e (iv) poter prevenire utilizzi indebiti che possano essere fonte di responsabilità. Inoltre, al fine di dare ulteriori indicazioni pratiche alle aziende, il Garante ha individuato delle misure organizzative e tecnologiche da adottare al fine di garantire il rispetto della privacy del lavoratore, quali l’utilizzo di indirizzi di posta elettronica condivisi tra più lavoratori (in modo da rendere palese la natura non privata della corrispondenza), ovvero l’inserimento nei messaggi di posta elettronica di un avvertimento ai destinatari nel quale venga dichiarata la natura non personale del messaggio e venga altresì specificato se le risposte potranno essere conosciute all’interno dell’organizzazione di appartenenza del mittente. Le altre misure organizzative e tecnologiche indicate dal Garante sono: • l’individuazione preventiva (anche per tipologie) dei lavoratori ai quali è accordato l’utilizzo della posta elettronica e l’accesso ad internet; Diritto Economia e Tecnologie della Privacy
La posta elettronica aziendale 9 • l’individuazione di quale ubicazione debba essere riservata alle postazioni di lavoro, al fine di ridurre il rischio di impieghi abusivi; • il trattamento dei dati in forma anonima o tale da precludere l’immediata identificazione degli utenti, mediante loro opportune aggregazioni; • la conservazione dei dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza. A tal fine i sistemi software aziendali devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet ed al traffico telematico dei dipendenti, la cui conservazione non sia necessaria e/o giustificata da una finalità specifica e comprovata e limitata al tempo necessario - e predeterminato - a raggiungerla. Un eventuale prolungamento dei tempi di conservazione deve essere valutato come eccezionale e può avere luogo solo in relazione ad esigenze tecniche o di sicurezza del tutto particolari oppure all'indispensabilità del dato rispetto all’esercizio o alla difesa di un diritto in sede giudiziale o, ancora, all’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria; • l’attribuzione al dipendente di un indirizzo destinato ad uso personale (oltre a quello di lavoro); • la previsione, in caso di assenza del dipendente, di un messaggio di risposta automatica con le coordinate di altri dipendenti a cui è possibile rivolgersi; • in caso di assenza prolungata o non prevista del dipendente - e per improrogabili necessità legate all’attività lavorativa - la previsione della possibilità per il dipendente di delegare ad un altro dipendente (fiduciario) la verifica del contenuto dei messaggi a lui destinati e l’inoltro al titolare di quelli ritenuti rilevanti per l’ufficio. 3. Il carattere personalistico dell’e-mail aziendale Oggigiorno l’utilizzo della posta elettronica appare imprescindibile per quasi tutte le attività lavorative, tanto da assurgere, come si è Diritto Economia e Tecnologie della Privacy
10 Giovanni Cucchiarato ed Alessandro Rossini detto, a vero e proprio strumento di lavoro, uno strumento che il datore di lavoro tendenzialmente mette a disposizione del proprio dipendente o collaboratore a fini esclusivamente aziendali e che, pertanto, viene fornito al lavoratore unicamente per lo svolgimento delle mansioni cui esso è preposto. Tuttavia, la posta elettronica aziendale presenta un’insuperabile natura ambivalente in quanto, da un lato, rimane uno strumento solo ad appannaggio del datore di lavoro, che la crea e ne rimane l’unico proprietario e, dall’altro lato, viene però utilizzata de facto da una persona fisica dipendente dell'azienda, un soggetto quindi diverso dal proprietario/datore di lavoro, che sovente la utilizza anche a titolo personale. Proprio tale dualità ed ambivalenza è alla base degli interrogativi che portano a chiedersi se questo carattere “personalistico” dell’indirizzo e-mail possa considerarsi un concetto così slegato ed autonomo rispetto a quello di privatezza/riservatezza. Lo strumento dell’e-mail aziendale è oggi sempre più spesso composto dal nome proprio della persona/lavoratore dipendente che in concreto utilizzerà la casella di posta elettronica, seguito dal nome della società, nella classica formula, cui oramai siamo abituati, “nome.cognome@società.it”. Tale scelta risponde in primo luogo ad esigenze gestionali e di marketing delle aziende, le quali sono oramai consapevoli di come, nella corrispondenza con i clienti ed i fornitori, sia preferibile abbinare al nome della società il nome proprio di una persona fisica, che diventi un riferimento concreto ed ingeneri così un senso di maggiore attenzione nei confronti del cliente o fornitore. Tale esigenza di “personalizzazione” non sarebbe infatti adeguatamente raggiunta utilizzando esclusivamente indirizzi di posta elettronica generalisti, quali ad esempio “info@società.it” o “commerciale@società.it”8. 8 Cfr. sul punto M. Artusi, Internet marketing experience, I.M.E. Editore, 2008, 87 ss.: “L’e-mail marketing è una forma di direct marketing che utilizza la posta elettronica come canale di comunicazione con il cliente attuale e potenziale. I principali obiettivi dell’e-mail marketing sono: - acquisire nuovi clienti; - fidelizzare la clientela esistente; - rafforzare l’immagine aziendale”. Diritto Economia e Tecnologie della Privacy
La posta elettronica aziendale 11 Sebbene non si possa dubitare del carattere intrinsecamente personale dell’indirizzo di posta elettronica aziendale9, soprattutto in ragione del summenzionato carattere nominativo di questa tipologia di e-mail, la Giurisprudenza e la Dottrina dominante hanno tuttavia scisso da tale intrinseca caratteristica il concetto di riservatezza, il quale concetto, ad opinione di chi scrive, parrebbe invero anch’esso potersi ritenere connaturato negli indirizzi di posta elettronica aziendale “nominativi”. Come si può facilmente desumere dalle pronunce richiamate in nota al paragrafo precedente, la Giurisprudenza prevalente ritiene infatti che non sia possibile configurare alcun “diritto di esclusiva” in capo al lavoratore dipendente sulla casella di posta elettronica aziendale, neanche nel caso essa assuma il carattere nominativo sopra evidenziato, essendo la titolarità di tale spazio di comunicazione da ricondursi unicamente alla società datrice di lavoro. 4. Profili problematici Ad opinione di chi scrive la problematica connessa alla tutela della privacy del lavoratore dipendente non può comunque considerarsi esaurita aderendo ciecamente all’impostazione della Giurisprudenza descritta nei due paragrafi precedenti. La “liquidità” della materia ed il suo continuo evolversi permettono (ed impongono) di individuare nuovi scenari e valutare ulteriori profili di complessità della tematica qui affrontata, capaci di dare nuovi ed interessanti spunti di riflessione. Il provvedimento del 22 aprile 2010 del Garante per la protezione dei dati personali10 può e deve essere letto in quest’ottica. Affrontando la materia del diritto alla privacy dell’ex dipendente di un’azienda, il Garante ha infatti ricordato che “anche l’indirizzo e-mail di una persona fisica è da considerarsi un dato personale. Difatti, gli indirizzi e-mail XY@alfa.it e YZ@alfa.it, pur rappresentando un 9 Cfr. Ordinanza di archiviazione del G.I.P. presso il Trib. di Milano del 10 maggio 2002 cit. 10 Tale provvedimento è reperibile presso il sito del Garante, all’indirizzo internet http://www.garanteprivacy.it/garante/doc.jsp?ID=1727692. Diritto Economia e Tecnologie della Privacy
12 Giovanni Cucchiarato ed Alessandro Rossini mezzo utilizzato dall’impresa per raccogliere gli ordini della clientela, contengono il nome e cognome delle signore XY e YZ e sono ad esse comunque riferibili da oltre un decennio”. E ancora: “L’indirizzo e-mail attribuito al singolo lavoratore per lo svolgimento delle sue mansioni determina quindi una legittima aspettativa di riservatezza sulla corrispondenza, ma non garantisce la confidenzialità dei messaggi inviati e ricevuti tramite lo stesso, poiché l’account ad esso riferibile può essere eccezionalmente nella disponibilità di accesso da parte del datore di lavoro qualora ciò si renda necessario per improrogabili esigenze aziendali”. Ad avviso di chi scrive la “legittima aspettativa” a cui si riferisce il Garante nel provvedimento sopra citato non va intesa limitatamente all’aspettativa di riservatezza dello stesso lavoratore dipendente, ma può e deve essere letta anche con riferimento a quei soggetti terzi, i quali possono ragionevolmente ritenere che il destinatario dei messaggi da loro inviati ad un indirizzo e-mail nominativo, ancorché aziendale, sia solo ed esclusivamente quella determinata persona che utilizza quello specifico indirizzo di posta elettronica aziendale. A tale proposito si pensi, ad esempio, a quelle società che decidono di utilizzare nomi a dominio differenti, a volte anche profondamente, rispetto alla ragione sociale o ai marchi della società stessa. In tali casi il datore di lavoro dà al dipendente uno strumento lavorativo di proprietà della società che, tuttavia, non è palesemente riferibile all’impresa. In che modo potranno i terzi essere consapevoli che la corrispondenza inviata a questi indirizzi e-mail potrebbe essere letta - sia pure nei soli casi di “improrogabili esigenze aziendali” - da persone diverse rispetto a quelle indicate nominativamente nell’indirizzo di posta elettronica? Anche in merito alla tutela del terzo ignaro del carattere “aziendale” - e quindi “controllabile” - dell’indirizzo e-mail nominativo, riteniamo che vada posto l’accento sull’importanza di una adeguata “informativa” nei confronti dei terzi. Così come previsto dal Garante per la protezione dei dati personali con le famose “linee guida” del 2007 in tema di tutela della privacy del lavoratore dipendente, anche i terzi destinatari e mittenti di messaggi di posta elettronica ricevuti da, o inviati a, indirizzi e-mail aziendali, infatti, debbono essere adeguatamente informati in merito al carattere non Diritto Economia e Tecnologie della Privacy
La posta elettronica aziendale 13 privato e non personale di tali indirizzi e-mail. Ciò potrebbe avvenire, ad esempio, tramite l’inserimento di un avviso rivolto ai terzi destinatari di messaggi di posta elettronica aziendale, nel quale venga chiaramente rivelata la natura non personale del messaggio, con l’avvertimento che le informazioni contenute in eventuali messaggi di risposta potranno essere conosciute da altri soggetti diversi dalla persona a cui è riferibile nominativamente l’indirizzo di posta elettronica in questione. 5. Conclusioni Come si ha avuto modo di illustrare in queste brevi note, la materia oggetto del presente contributo continua ad essere “fluida” ed a portare con sé non poche problematiche di carattere pratico, alle quali non è sempre facile trovare una soluzione che riesca a contemperare appieno i vari interessi in gioco. L’interesse, in primo luogo, delle decine di milioni di lavoratori dipendenti che oggigiorno in Italia utilizzano, anche per scopi privati, un indirizzo di posta elettronica aziendale nominativo. L’interesse, in secondo luogo, dei datori di lavoro, i quali altrettanto legittimamente hanno la necessità accedere, per la tutela della loro impresa ed in caso di improrogabili esigenze aziendali, alle informazioni contenute negli account di posta elettronica da loro stessi messi a disposizione - come qualsiasi altro strumento di lavoro - dei propri dipendenti. Nonché l’interesse, infine, di quei soggetti terzi che, per le più disparate ragioni, vengono a contatto con un indirizzo di posta elettronica aziendale senza riuscire molte volte a rendersi conto del carattere non privato e non “personale” di tale indirizzo e-mail. Pur essendo pienamente consapevoli delle difficoltà a cui si va incontro nel cercare di trovare una soluzione di “compromesso” che riesca effettivamente a contemperare ed a tutelare tali interessi tra loro contrastanti, non vi è dubbio che argomentazioni quali quelle usate dalla Corte d’Appello della California nella sentenza citata nell’introduzione del presente contributo siano alquanto rischiose. Negare il carattere di confidenzialità e riservatezza delle comunicazioni tra cliente ed avvocato per il solo fatto di essere state scambiate tramite un computer o un indirizzo e-mail aziendali, e Diritto Economia e Tecnologie della Privacy
14 Giovanni Cucchiarato ed Alessandro Rossini spingersi fino ad equiparare la corrispondenza scambiata con il proprio avvocato tramite un indirizzo di posta elettronica aziendale ad una conversazione avvenuta con lo stesso legale “in una sala riunioni aziendale, ad alta voce e con la porta della stanza aperta”, può infatti portare a conseguenze molto pericolose. Muovendosi in un’ottica di salvaguardia dei diritti fondamentali dei lavoratori dipendenti e cercando, allo stesso tempo, di offrire comunque una forma di tutela alle legittime esigenze dei datori di lavoro, è quindi necessario, ad opinione di chi scrive, un tipo di approccio completamente diverso rispetto a quello dei giudici americani qui citati. Propulsori di un tale approccio “innovativo” devono essere in primo luogo il Legislatore, al quale compete la responsabilità di cercare una soluzione che contemperi nel miglior modo possibile tutti gli interessi in gioco, ed in secondo luogo la Giurisprudenza, che ha invece il compito, in attesa di un intervento legislativo, di trovare soluzioni adeguate, nell’attuale contesto normativo, alla delicatezza e complessità della materia. Soluzioni che, partendo dalle linee guida e dalle equilibrate posizioni espresse nei provvedimenti del nostro Garante per la protezione dei dati personali, mettano in primo piano, ad esempio, l’importanza degli obblighi di informativa e di formazione da parte dei datori di lavoro nei confronti dei loro lavoratori dipendenti. Senza quindi approdare a soluzioni semplicistiche e senza pensare che oggigiorno sia possibile vietare l’utilizzo dell’e-mail aziendale (anche) per scopi non strettamente lavorativi, ovvero che sia possibile precludere l’utilizzo, tramite un computer aziendale e durante l’orario di lavoro, (anche) ad un indirizzo di posta elettronica personale, dal momento che quello dell’e-mail è diventato - quanto meno nel mondo industrializzato - di gran lunga lo strumento di comunicazione più utilizzato. Diritto Economia e Tecnologie della Privacy
Puoi anche leggere