Può il datore di lavoro accedere alle caselle di posta assegnate ai dipendenti? Un quesito di estrema attualità questo, che incontra l’interesse sia dei datori di lavoro che di tutti i cittadini.
Le problematiche giuridiche che discendono dalla risposta del quesito sopra indicato sono di due profili, tra loro strettamente collegati.
Sotto il primo profilo occorre valutare se l’accesso alla posta del dipendente comporti una possibile colpevolezza del datore di lavoro per quanto riguarda il reato di “violazione, sottrazione e soppressione della corrispondenza” (articolo 616 c.p.) e, quindi, se la posta elettronica va considerata giuridicamente come la posta cartacea. Sotto il secondo profilo occorre vedere se l’accesso alla posta elettronica comporta una violazione della privacy del dipendente.
Sul tema si è espresso sia il Garante per la protezione dei dati personali (di seguito Garante), sia autorevoli Tribunali e, recentemente, anche la Corte di Cassazione.
Per quanto riguarda il reato di “violazione, sottrazione e soppressione della corrispondenza”, la giurisprudenza si è così espressa: “la condotta del datore di lavoro che all’insaputa del lavoratore controlla la sua posta elettronica non integra gli estremi del reato di violazione della corrispondenza di cui all’art. 616, comma 1 c.p. poiché il lavoratore non è titolare esclusivo della posta elettronica aziendale e quindi si espone al rischio che altri lavoratori o il datore possano lecitamente entrare nella sua casella e leggere i messaggi” (Tribunale di Milano 10 maggio 2002 e da ultimo Sentenza Tribunale di Torino, Sezione Distaccata di Chivasso 20 giugno 2006 n. 143)
Recentemente la Corte di Cassazione ha ripreso tali orientamenti delle Corti di Merito (Sentenza n. 47096 dell’11 dicembre 2007 – depositata il 19 dicembre 2007), facendo alcuni interessanti precisazioni
Il caso esaminato dalla Corte riguarda un dirigente di un’azienda che aveva effettuato l’accesso alla casella di posta elettronica di un dipendente.
Nel caso in questione erano presenti delle disposizioni aziendali sottoscritte dal dipendente in questione con il proprio datore di lavoro in cui si stabiliva che il PC deve essere utilizzato esclusivamente per svolgere la propria attività lavorativa, e, come tale, può essere sottoposto al controllo dei propri superiori.
Per la Corte, al fine di stabilire se vi sia o meno reato di violazione della corrispondenza, occorre distinguere tra corrispondenza “aperta” e corrispondenza “chiusa”. Trattasi di corrispondenza aperta quella accessibile da parte di tutti coloro che legittimamente dispongano della “chiave informatica di accesso”, come ad esempio la casella di posta assegnata ai dipendenti dal datore di lavoro. Si tratta, viceversa di corrispondenza “chiusa” quella non accessibile. Per quest’ultima varrebbe il reato di corrispondenza di cui all’articolo 616 c.p. e non per la corrispondenza aperta.
Per la Corte la corrispondenza custodita in un sistema telematico protetto da password si qualifica come “aperta” e deve ritenersi conoscibile da parte di tutti coloro che legittimamente dispongono della chiave informatica di accesso.
Nel caso di specie le password poste a protezione dei computer e della corrispondenza di ciascun dipendente dovevano essere a conoscenza dell’organizzazione aziendale essendo prevista una “Procedura di Emergenza” che prevede la comunicazione in busta chiusa al dipendente gerarchico legittimato ad utilizzarla per accedere al computer anche in caso di assenza dell’utilizzatore abituale. Quindi il datore di lavoro legittimamente aveva utilizzato la password per accedere al computer ed altrettanto legittimamente aveva preso visione della posta elettronica.
Quindi in presenza di una casella di posta elettronica e di una procedura di emergenza, che preveda la conoscenza – in qualche modo – della password da parte di un responsabile, l’accesso all’e-mail del dipendente non comporta il reato di “violazione, sottrazione e soppressione della corrispondenza”.
Vediamo ora agli aspetti legati alla privacy.
Sul controllo della posta elettronica aziendale è intervenuto il Garante nel Provvedimento generale del 01 marzo 2007 – “Linee Guida del Garante per posta elettronica e internet”.
Il Garante, così come per il controllo dell’uso di Internet da parte dei dipendenti, suggerisce l’adozione di un “Disciplinare Tecnico” in cui specificare come avverrà il controllo e l’eventuale accesso alle caselle di posta assegnate ai dipendenti. Di fatto la necessità di adottare un regolamento di questo tipo è ritenuto indispensabile anche dalla giurisprudenza.
Per il Garante, gli elementi da segnalare al dipendente sono i seguenti:
– indicare quali comportamenti sono consentiti,
– se e quali informazioni vengono memorizzate nel sistema informatico,
– se e come verranno effettuati i controlli
– le conseguenze in caso di contestazioni di utilizzo indebito di posta elettronica.
Il datore di lavoro,inoltre, dovrà indicare le soluzioni tecniche o organizzative adottate per garantire la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (ad esempio riguardo l’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti).
Circa poi le soluzioni tecniche suggerite dal Garante, alcune sono sicuramente meritevoli di segnalazione.
Ecco le principali.
– Utilizzare indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio: [email protected]), rendendo così chiara la natura non privata della corrispondenza.
– Implementare funzionalità di sistema informatico che consentano, in caso di assenze, di inviare automaticamente messaggi di risposta contenenti le “coordinate” (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura. É anche opportuno prescrivere ai lavoratori di avvalersi di tali modalità (anche mediante indicazione nel disciplinare interno), prevenendo così l’apertura della posta elettronica. In caso poi di assenze non programmate, in cui non è possibile per il lavoratore attivare la procedura descritta, il titolare del trattamento, perdurando l’assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad es., l’amministratore di sistema) , l’attivazione di un analogo accorgimento, avvertendo gli interessati.
– Qualora, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, l’interessato dovrà delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa; di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile. (Alessandra Delli Ponti per NL)