La posta elettronica. ed i suoi aspetti nel mondo aziendale. di Paola Scardino. Parte I Normativa applicabile. L art. 616 del Codice Penale

Transcript

1 La posta elettronica ed i suoi aspetti nel mondo aziendale di Paola Scardino Parte I Normativa applicabile Ogni giorno che passa è un giorno che ci vede sempre più protagonisti di una nuova era. L avvento della telematica ha cambiato quasi ogni aspetto della nostra vita, gesti che un tempo sembravano forzati o ad appannaggio di pochi, ora sono entrati a pieno titolo nelle attività quotidiane di tutti. Anche i tradizionali mezzi di comunicazione, hanno subìto questa evoluzione e sempre più spesso si preferisce ricorrere alla posta elettronica piuttosto che a quella cartacea. Questi cambiamenti hanno avuto poi ripercussioni anche nella sfera giuridica, dove si è cercato, in alcuni casi, di legiferare ex novo, ed in altri, di adattare ai nuovi istituti la tutela già esistente. È questo il caso della posta elettronica. L art. 616 del Codice Penale L art. 616 del Codice Penale infatti, estende alla corrispondenza telegrafica, telefonica, informatica e telematica, ed anche ad ogni altra forma di comunicazione a distanza 1, la stessa tutela che garantisce alla corrispondenza epistolare 2. 1 Questa formulazione del comma 4 è stata introdotta con l art.5 della l , n.547. Il merito della riforma del 1993 è quello di non aver operato distinzioni in ordine alle caratteristiche tecniche, proprie dei singoli mezzi di comunicazione. La conseguenza è che qualsiasi tecnologia utilizzata come tramite, può assicurare una tutela penale piena ed adeguata alla comunicazione. 2 La categoria della corrispondenza è da includere nel più vasto genere della comunicazione, comprendendo quest ultima qualsiasi trasmissione intersoggettiva del pensiero umano (Mantovani, Diritto penale, Parte spec., Delitti contro la persona, Padova, 1995, 493 s.). La dottrina usa riconoscere alla corrispondenza epistolare due requisiti fondamentali: quello della personalità e dell attualità. Questi requisiti sono stati anche specificati nell art.24, d.p.r , n.65, secondo cui si considera corrispondenza epistolare qualsiasi invio chiuso, ad eccezione dei pacchi, e qualsiasi invio aperto che contenga comunicazioni aventi carattere attuale e personale. In ordine all attualità ed alla personalità della comunicazione, non è possibile rinvenire una definizione normativa. Si devono entrambe presumere nel caso dell invio chiuso, che è ritenuto inviolabile per il solo fatto della chiusura da parte del mittente, mentre sono da verificare caso per caso nell ipotesi di

2 Le condotte previste dall articolo in oggetto sono molteplici e sembrano porre in pericolo beni giuridici differenti. Innanzi tutto si è inteso punire Chiunque prenda cognizione del contenuto di una corrispondenza chiusa, a lui non diretta. In questo caso la condotta dell agente va a ledere il segreto privato di un altro individuo il quale, con il semplice gesto della chiusura della busta, ha dato vita all unico atto richiesto dalla norma come presupposto per la tutela. Bene giuridico protetto dall art. 616 non è qualsiasi corrispondenza, ma solo quella chiusa 3. Secondo parte della dottrina 4 la chiusura della busta è limpida manifestazione di volontà del divieto di accesso ai terzi a qualsiasi cosa sia in esso contenuta. Sottrazione e distrazione sono da riferire sia alla corrispondenza chiusa che a quella aperta. Le condotte si presentano come alternative ed incompatibili, ossia non è possibile che si verifichino congiuntamente. La sottrazione comporta per il soggetto passivo la privazione della disponibilità di fatto della posta, mentre la distrazione si concreta nella deviazione temporanea del corso della corrispondenza. L elemento discretivo tra sottrazione e distrazione, quindi, si evidenzia nella definitività della prima e nella temporaneità della seconda 5. Bisogna comunque sottolineare che, per essere sanzionate, entrambe le condotte devono essere finalizzate alla presa di cognizione della comunicazione. La distruzione e la soppressione di corrispondenza offendono invece la libertà di accesso da parte del destinatario e la sicurezza nella trasmissione della corrispondenza. La distruzione, a ben guardare, vanifica una funzione che è propria delle missive, e cioè quella di mezzo di comunicazione, mentre la soppressione comporta per il destinatario avente diritto, la perdita della materiale disponibilità della corrispondenza. Il 2 comma dell articolo in esame, tutela invece la riservatezza del contenuto della missiva 6. corrispondenza aperta. Secondo la dottrina è attuale la comunicazione in itinere, ossia inviata dal mittente ma non ancora pervenuta al destinatario (Vigna, Dubolino, Segreto, in ED, XLI, Milano,1073), mentre, perché si realizzi il requisito della personalità sarà sufficiente l indicazione sulla busta del destinatario determinato (Manzini, Trattato di diritto penale, VIII, Torino, 1985, 909 e ss.; Antolisei, Manuale di diritto penale, Parte Spec., I, a cura di Conti, Milano, 1999, 240; Barile, Cheli, Corrispondenza (libertà di), in ED, X, Milano, 1962; Mantovani, ult. cit., I, 494 ). Sussisterebbe il carattere della personalità anche nel caso di destinatari determinabili (Vigna, Dubolino, ult.cit., 1076). 3 Anche la Corte di Cassazione, Sez. VI, con la sentenza , ha chiarito che oggetto di tutela della condotta prevista dal 1 comma dell art.616 c.p. è la segretezza in sé della corrispondenza chiusa. 4 Vigna, Dubolino, ult. cit., 1063; Garavelli, Libertà e segretezza delle comunicazioni, in Digesto penale,vii, Torino, 1993, Manzini, ult. cit., 934; Lago, Art. 616, in Comm. Dolcini, Marinucci, Milano, 1999, 3275; Garavelli, ult. cit., 433; Amato, Art. 616, in Cod. pen. Padovani, Milano, 2000, Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni. Art.616, co.2, c.p.

3 La fattispecie delittuosa, che presuppone una conoscenza illecita della corrispondenza, consiste nel rivelare, senza giusta causa 7, il contenuto della stessa. La rivelazione deve comportare un pregiudizio, giuridicamente rilevante, ad interessi pubblici o privati del mittente, del destinatario o di terzi. È opinione diffusa in dottrina, che il 2 comma dell art. 616 non garantisca il diritto alla segretezza della corrispondenza, ma piuttosto, il diritto soggettivo a non veder reso pubblico o diffuso il contenuto della propria corrispondenza 8, anche se aperta. Del resto, è la stessa Costituzione (art. 15) che eleva al rango di situazioni soggettive costituzionalmente garantite, sia la segretezza che la riservatezza delle conversazioni, e la Corte Costituzionale ha fortemente sottolineato il dovere per ogni individuo che sia venuto a conoscenza del contenuto delle stesse, di mantenerne il segreto e di non divulgarlo 9. Al comma 4, infine, si estende l oggetto della tutela anche alla corrispondenza telegrafica, telefonica, informatica e telematica. Sono necessarie delle osservazioni: l art. 616 tutela la corrispondenza su più fronti: sancisce l inviolabilità del contenuto, dà un enorme valore alla chiusura della busta, punisce una serie di condotte che insistono sull elemento fisico in cui è raccolto il pensiero che si vuole comunicare. Insomma, si tutela sia il momento 7 ( ) La nozione di giusta causa, alla cui assenza l'art. 616, primo capo v, c.p., subordina la punibilità della rivelazione del contenuto della corrispondenza non è fornita dal legislatore ed è dunque affidata al concetto generico di giustizia, che la locuzione stessa presuppone, e che il giudice deve pertanto determinare di volta in volta con riguardo alla liceità - sotto il profilo etico-sociale - dei motivi che determinano il soggetto ad un certo atto o comportamento. Deve ovviamente trattarsi di motivi "oggettivamente" rilevanti, perché il fine o motivo dell'agente, per sé solo, non può considerarsi come giusta causa autorizzante la rivelazione. (Corte di Cassazione, Sez. V, ) 8 Giacobbe, Riservatezza (diritto alla), in ED, XL, Milano, 1989, 1243 ss.; Palazzo, Considerazioni in tema di tutela della riservatezza, RIDPP, 1975,128 ss; de Cupis, Riservatezza e segreto (diritto a), in NN.D.I., XVI, Torino, 1969, 121; Vigna, Dubolino, ult. cit., 1069; Contra: Mantovani, I, 505 ss.; Patrono, Privacy e vita privata, in ED, XXXV, Milano, 1986, 565 Garavelli, ult.cit., 431 ss.; Mazzacuva, I delitti contro la persona: le altre ipotesi di tutela, in Canestrai, Gamberoni, Insolera, Mazzacuva, Sgubbi, Stortoni, Taglierini, Diritto penale, lineamenti di parte speciale, Bologna, 1998, 384; che riconducono segretezza e riservatezza all unico genus riservatezza rispetto al quale la segretezza si atteggia come ipotesi speciale. 9 (...) Il riconoscimento e la garanzia costituzionale della libertà e della segretezza della comunicazione comportano l'assicurazione che il soggetto titolare del corrispondente diritto possa liberamente scegliere il mezzo di corrispondenza, anche in rapporto ai diversi requisiti di riservatezza che questo assicura sia sotto il profilo tecnico, sia sotto quello giuridico. E non v'é dubbio che, una volta che una persona abbia prescelto l'uso del mezzo telefonico, vale a dire l'utilizzazione di uno strumento che tecnicamente assicura una segretezza più estesa di quella riferibile ad altri mezzi di comunicazione (postali, telegrafici, etc.), ad essa, in forza dell'art. 15 della Costituzione, va riconosciuto il diritto di mantenere segreti tanto i dati che possano portare all'identificazione dei soggetti della conversazione, quanto quelli relativi al tempo e al luogo dell'intercorsa comunicazione. Nello stesso tempo, sempre in forza dell'art. 15 della Costituzione, non può negarsi che al riconoscimento di tale diritto sia coessenzialmente legata la garanzia consistente nel dovere, posto a carico di tutti coloro che per ragioni professionali vengano a conoscenza del contenuto e dei dati esteriori della comunicazione, di mantenere il più rigoroso riserbo sugli elementi appena detti. Se questa garanzia non ci fosse, infatti, risulterebbe vanificato il contenuto del diritto che l'art. 15 della Costituzione intende assicurare al patrimonio inviolabile di ogni persona in relazione a qualsiasi forma di comunicazione, tanto più se quest'ultima comporta, per la propria realizzazione, una consistente organizzazione di mezzi e di uomini. (Corte Costituzionale, sent. n. 81, ).

4 statico della fissazione del messaggio su di un supporto materiale, che quello dinamico dello spostamento del supporto dal mittente al destinatario. Queste prescrizioni non sono tutte egualmente estensibili alle altre forme di corrispondenza individuate dal 4 co. Si consideri la posta telematica. Il messaggio viene prima tradotto in un linguaggio informatico, poi spedito dal computer del mittente all indirizzo virtuale del destinatario tramite la rete informatica, a cui sono connessi entrambi i soggetti. L elemento statico della comunicazione elettronica sarà quindi costituito dal messaggio registrato nella memoria del computer del mittente, sia stato esso inviato o meno, dal messaggio registrato nel server e pervenuto al provider del mittente e/o del destinatario, dal messaggio già ricevuto e registrato nel computer del destinatario 10, dal supporto materiale, floppy, cd rom o carta, su cui venga eventualmente fissata la comunicazione. L elemento dinamico, così come prospettato e tutelato dall art. 616, non è ravvisabile nella comunicazione a mezzo internet. Il messaggio viaggia sulla rete, tutto è virtuale ed affidato ad impulsi. Non esiste un supporto cartaceo da sottrarre, distrarre, distruggere o sopprimere. Si potrebbe al massimo immaginare la cancellazione del messaggio dalla memoria del computer, o del server, del mittente o del destinatario 11. Per tutelare il momento dinamico si deve ricorrere all art. 617 quater 12. Questo articolo prende in considerazione tre condotte, tra loro compatibili: l intercettazione, che consiste nella presa di cognizione attraverso l intromissione fraudolenta in una comunicazione in atto tra terzi 13, l interruzione e l impedimento, che sono dati da atti idonei a far cessare la comunicazione in atto o ad impedire che si dia inizio ad una nuova 14. nell art. 616 grande rilevanza ha l atto di chiusura della busta che contiene e preserva il messaggio ed il pensiero del mittente. Occorre specificare che, così come la posta cartacea, anche quella telematica può essere contenuta in una busta chiusa. 10 Si intende tutelato sia il messaggio soltanto scaricato e registrato nella memoria del computer che quello scaricato e letto, dunque aperto, fino a che non venga meno il requisito dell attualità della comunicazione. 11 Questo è il caso di un soggetto che, individuata la password che consente l accesso alla casella di posta elettronica altrui, vi si inserisca cancellando le comunicazioni in essa memorizzate e pervenute. Da notare che l intromissione nella casella di posta altrui è condotta sanzionata ex art.617 quater, configurando un ipotesi di intercettazione. 12 L art.617 quater, Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche introdotto dall art.6, l , n.547, secondo il Mantovani, estende la tutela garantita dall art.617 alla segretezza, libertà e riservatezza delle comunicazioni telefoniche o telegrafiche anche alle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi. 13 Mantovani, ult. cit., 532; Fondaroli, La tutela penale dei beni informatici, DII, 1996, 316.; Valastro, La tutela penale delle comunicazioni intersoggettive, fra evoluzione tecnologica e nuovi modelli di responsabilità, RIDDP, 1999, Corasanti, La tutela della comunicazione informatica e telematica, in Borruso, Buonomo, Corasanti, D Aietti, Profili dell informatica, Milano, 1994, 122.

5 Essa ha un carattere virtuale, certo, ma di non minore spessore. Il mittente potrà attribuire alla comunicazione il carattere della segretezza, sia utilizzando forme criptate o protette di trasmissione, sia semplicemente indicando il personale indirizzo del destinatario. Nel momento in cui viene ricevuto, il messaggio viene inserito in un contenitore virtuale di posta da leggere. Quindi, agli occhi di chiunque apra la casella , risulta chiaro il carattere dell attualità della comunicazione e quello della segretezza, propria della posta chiusa. Bisogna ancora aggiungere che per accedere al provider ed al server è necessario digitare una password ed una ID. Questo, se da un lato rende difficile l accesso a terzi che non sono a conoscenza delle chiavi, da un altro amplifica il carattere della segretezza. A parere di chi scrive, anche le lettere aperte e lette conservano questa caratteristica: la password e la ID potrebbero essere paragonate ad un lucchetto che chiude una scatola al cui interno vi siano delle lettere di cui il destinatario vuole tenere segreto il contenuto. Potrebbe negarsi a quelle lettere il carattere della segretezza e dell attualità? Allo stesso modo, lo si potrebbe negare ad una letta e conservata in memoria in una casella protetta da chiavi? Sia che il soggetto chiuda la scatola con un lucchetto, sia che ponga delle password dinanzi all ingresso virtuale della propria posta elettronica, egli esercita il potere che la legge gli riconosce di segretare una comunicazione, escludendone la conoscenza a terzi, che hanno così il dovere di astenersi dal prendere cognizione, distruggere o diffondere la posta in questione 15. Le norme del Codice in materia di protezione dei dati personali Bisogna tenere presente che il tema della riservatezza, ad ogni livello nella vita dell uomo, è oggetto di studio e di normative da ormai molti anni. Così il Garante per la protezione dei dati personali non ha mancato di pronunciarsi anche in ordine alla riservatezza della posta elettronica. In particolare, nel comunicato stampa del 12 luglio 1999, affrontando il più ampio caso di una mailing list costituita su iniziativa di alcuni dipendenti di un amministrazione con strumenti messi a disposizione dalla amministrazione stessa, l Autorità ha ribadito i principi contenuti all art. 15 della Costituzione, che afferma l inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione, ed ha ricordato che la legge n. 547 del 1993 sui reati informatici 15 Nel reato di violazione di corrispondenza oggetto della tutela penale non è il segreto, che eventualmente sia affidato alla corrispondenza, ma la corrispondenza in sé, la quale è considerata dalla legge per sé stessa segreta (cfr., Relazione ministeriale sul progetto del codice penale, II, pag. 425). Per la dottrina, v. nota 4.

6 e il D.P.R. n. 513 del 1997 sul documento elettronico, hanno confermato che la posta elettronica deve essere tutelata alla stregua della corrispondenza epistolare o telefonica 16. La posta elettronica è dunque entrata a pieno titolo tra le forme di comunicazione più diffuse. Ed è probabilmente da annoverare anche tra quelle più comode e veloci. Con un semplice gesto, con un click sulla parola invio, in pochi secondi il proprio messaggio raggiunge il destinatario, ovunque egli si trovi, ovunque noi ci troviamo. Se si escludono i tantissimi pc presenti nelle case dei privati, esistono migliaia di postazioni internet pubbliche in tutto il mondo, si pensi ai tanti internet point, e da ognuno di queste è possibile ricevere e scrivere la propria posta. Non meraviglia, dunque, che la posta elettronica sia diventata anche un indispensabile strumento di lavoro. Le operazioni che si svolgevano con l uso della posta tradizionale, oggi vengono svolte con maggiore celerità e praticità tramite l . Ma ubi commoda, ibi incommoda, diceva un noto brocardo latino. L introduzione della telematica nel mondo del lavoro ha creato non poche problematiche giuridiche che investono sia la tutela giuslavoristica che la privacy del lavoratore stesso. Ai sensi del Codice in materia di protezione dei dati personali si deve qualificare come trattamento ogni registrazione di dati inerenti alle ed alla navigazione in internet. Nella posta elettronica che invia o riceve un lavoratore possono essere contenuti diverse tipologie di dati e non ultimi dati ritenuti sensibili. Si pensi a tutte quelle informazioni in grado di rivelare l origine razziale di un individuo, o le convinzioni religiose, le opinioni politiche, l adesione ad un partito, ad un sindacato o anche dati che riguardano lo stato di salute o le abitudini sessuali. Questi messaggi, se inviati all indirizzo aziendale di un lavoratore, rimangono nel server dell azienda finchè non vengano scaricati nel pc dell utente o inviati al destinatario. E lo stesso accade anche per i siti internet visitati. Il Garante per la Privacy è più volte intervenuto sull argomento, anche se fino ad oggi, una disciplina certa ed unitaria ancora non è stata creata: nel già citato comunicato stampa del 12 luglio 1999, ha ribadito l inviolabilità della libertà e della segretezza della posta elettronica, ma ha anche fissato le modalità in cui possono essere effettuati dei controlli sulle del lavoratore. Secondo il Garante, fino a quando il datore di lavoro non comunica ufficialmente, e senza possibilità di equivoci, che tutti i messaggi inviati 16

7 tramite l indirizzo aziendale di ciascuno vengono considerati nella disponibilità della stessa azienda ( e quindi essere accessibili dallo stesso datore, o comunque visibili da tutti ed in qualsiasi momento), ciascun utente ha diritto alla più assoluta tutela alla riservatezza della propria casella postale elettronica 17 ; nella relazione del 1999 ha precisato che si deve ritenere illegittimo ogni trattamento occulto in rete ed ogni pretesa di sottrarre al controllo degli interessati i trattamenti che riguardano i loro dati personali; nel comunicato stampa del 7 luglio 2001, dopo aver smentito la pronuncia di un provvedimento in materia, si è riservato di adottarne uno, anche sulla scorta di approfondimenti in corso con le Autorità garanti di altri Paesi, ed ha poi chiarito che la legge sulla privacy (art. 43, comma 2) fa comunque salve le norme dello Statuto dei lavoratori che non consentono alcun controllo a distanza dei lavoratori se non previa definizione di precisi limiti per l'azienda e dopo l'accordo con le rappresentanze sindacali 18 ; nella relazione del 2001 ha specificatamente trattato l argomento delle informative e del controllo a distanza del personale lavorativo. Ha ritenuto dato personale qualunque informazione che permetta l identificazione, anche in via indiretta, dei soggetti interessati; ha sottolineato di aver posto in essere alcuni specifici accertamenti, di carattere preliminare, in riferimento ai profili dell informativa ai lavoratori interessati, del principio di proporzionalità nel trattamento dei dati, della trasparenza dei controlli e dei limiti entro i quali gli stessi sono consentiti ex art. 4 della legge n. 300/1970. Il Gruppo Europeo per la tutela del trattamento dei dati Sul problema delle procedure di informazione e di controllo a distanza del personale, nonchè del trattamento dei dati nella sfera del rapporto di lavoro, l Autorità si è impegnata attivamente in un dibattito in ambito comunitario tra i rappresentanti delle autorità garanti dei Paesi membri dell Unione europea 19. Ai sensi dell art. 29 della direttiva 95/46/CE è stato istituito il Gruppo Europeo per la tutela del trattamento dei dati, che è intervenuto in materia con la Opinion n. 8/ Così si legge nel comunicato stesso

8 Il Gruppo ha innanzi tutto chiarito che il diritto alla privacy non è un diritto assoluto ma va bilanciato con altri interessi e diritti. Questo sta a significare che i lavoratori devono comunque condividere con il datore e con i colleghi alcune informazioni che riguardano la sfera privata. Al diritto alla riservatezza del singolo, si può opporre un interesse legittimo del datore di lavoro al trattamento dei dati personali dei dipendenti che può avere origine da una legge o da obiettivi legittimi legati allo sviluppo dell azienda 21. Ma la misura dell invasione nella sfera privata del soggetto deve essere data dal confronto dei singoli diritti, dalla natura del rapporto e dal rispetto di alcuni principi, primo tra tutti, quello di proporzionalità. Qualsiasi provvedimento di controllo deve essere sottoposto ad attente valutazioni. In particolare l attività di controllo deve essere trasparente verso i dipendenti, deve essere necessaria, ossia l unica idonea a consentire al datore il raggiungimento di certi obiettivi, il trattamento che si vuole compiere deve essere equo e commisurato alle preoccupazioni che si vogliono sopire. Secondo l opinione del Gruppo Europeo, qualsiasi azienda voglia includere tra gli strumenti di lavoro sia internet che la posta elettronica, dovrebbe perseguire una politica basata sul rispetto dei principi indicati e porre in essere delle soluzioni tecnologiche che possano prevenire gli abusi piuttosto che individuarli in un momento successivo alla loro commissione 22. Il datore di lavoro potrebbe fornire due linee di posta elettronica: una prima, per scopi professionali, passibile di controlli da parte del datore stesso, ed una seconda, destinata a scopi privati, da sottoporre ai normali provvedimenti di sicurezza e passibile di controllo, solo in casi eccezionali, volto ad individuare eventuali abusi. In ordine all utilizzo di internet si potrebbe bloccare l accesso ad alcuni siti o predisporre delle avvertenze automatiche. Qualsiasi controllo deve risultare però commisurato ai rischi del datore di lavoro, considerato che si possono individuare gli abusi anche senza prendere visione dei siti 21 Il datore di lavoro ( ) ha in particolare il diritto di gestire la sua azienda con una certa efficienza, ma soprattutto il diritto di tutelarsi contro la responsabilità od i danni cui possono dare origine gli atti dei lavoratori. (In Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, adottato il 29 maggio 2002). 22 La pratica fornisce già molti esempi di questo impiego delle tecnologie disponibili. - Internet: alcune imprese utilizzano uno strumento di software che può venir configurato così da bloccare qualsiasi collegamento a categorie predeterminate di siti Web. Previa consultazione dell elenco aggregato dei siti visitati dai suoi dipendenti il datore di lavoro può decidere di aggiungerne alcuni all elenco di quelli già bloccati (eventualmente dopo aver avvertito i dipendenti che i collegamenti con tali siti saranno bloccati a meno che il dipendente non sia in grado di giustificarne la necessità). - Posta elettronica: altre imprese si avvalgono di un sistema automatico di rinvio ad un server isolato per tutti i messaggi di posta elettronica che superino una determinata lunghezza. Il destinatario viene automaticamente informato del fatto che un messaggio sospetto è stato reindirizzato a tale server e può esservi consultato. (In Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, adottato il 29 maggio 2002).

9 visitati 23. Inoltre il datore di lavoro dovrà far prova di prudenza nell arrivare a determinate conclusioni, tenendo conto della facilità con cui possono verificarsi visite involontarie di siti Web in seguito a risposte impreviste di motori di ricerca, collegamenti hypertext poco chiari, pubblicità fuorvianti ed errori di battitura. In ogni caso i lavoratori hanno il diritto di vedersi presentare i fatti contestati e di avere l occasione di ribattere alle accuse d abuso presentate dal datore di lavoro 24. Il Gruppo Europeo, nel parere 8/2001, ha tenuto a ricordare che l Unione Europea e gli Stati membri, per ciò che riguarda la riservatezza e la segretezza della corrispondenza, sono vincolati alle disposizioni in materia, contenute nella Convenzione europea per la salvaguardia dei diritti umani e delle libertà fondamentali, ed in particolare agli artt. 8 e Ulteriori principi cui gli Stati devono rifarsi, sono quelli che si evincono dalle sentenze pronunciate dalla Corte europea dei diritti dell uomo: il fatto che il lavoratore usi mezzi o infrastrutture commerciali di proprietà del datore di lavoro non può pregiudicare la legittima aspettativa di riservatezza del lavoratore stesso 26, a meno che il datore non gli fornisca informazioni adeguate in proposito. sia le comunicazioni sul posto di lavoro che la posta elettronica ed eventuali files ad essa acclusi, devono ritenersi coperti dal generale principio di segretezza che riguarda la corrispondenza. esistono dei limiti ai provvedimenti di vigilanza del datore, legati al fatto che il lavoratore può esercitare, nel luogo di lavoro stesso, il diritto riconosciutogli dall art. 8 CEDU, a stabilire relazioni con altri esseri umani, e come tale rientrante nella tutela della vita privata. 23 Per esempio, come suggerisce lo stesso Gruppo, effettuare una verifica del tempo speso a navigare in internet o dei siti visitati. 24 In Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, adottato il 29 maggio Articolo Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. 2. Non può esservi ingerenza della pubblica autorità nell esercizio di tale diritto se non laddove tale ingerenza sia contemplata dalla legge in quanto provvedimento che, in una società democratica, risulti necessario per la sicurezza nazionale, l ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui. Articolo Ogni persona ha diritto alla libertà d espressione. Tale diritto include la libertà d opinione e la libertà di ricevere o di comunicare informazioni od idee senza ingerenza alcuna da parte delle autorità pubbliche ed indipendentemente dalle frontiere. Il presente articolo non impedisce che gli Stati sottopongano ad un regime di autorizzazione le imprese di radiodiffusione, di cinema o di televisione. 2. L esercizio di queste libertà, comportando doveri e responsabilità, può essere sottoposto a determinate formalità, condizioni, restrizioni o sanzioni disposte dalla legge e necessarie in una società democratica per la sicurezza nazionale, l integrità territoriale o l ordine pubblico, la prevenzione di disordini e reati, la protezione della salute o della morale, la protezione della reputazione o dei diritti altrui, oppure per impedire la divulgazione d informazioni confidenziali oppure ancora per garantire l autorità e l imparzialità del potere giudiziario. 26 In merito si deve ricordare che, secondo la Corte, la vita professionale, e quella al di fuori delle mura domestiche, non esulano dalla protezione della vita privata sancita dall art. 8 della CEDU.

10 anche nel contesto lavorativo deve essere riconosciuto all individuo il diritto alla libertà di espressione e di informazione, libero da interferenze delle autorità pubbliche, riconosciuto e disciplinato dall art. 10 CEDU. Tutto ciò considerato, il datore di lavoro che voglia effettuare trattamento dei dati personali e porre in essere attività di controllo, dovrà, così come prospettato dal Gruppo, rispettare un insieme di principi: proporzionalità: i dati personali raccolti devono essere adeguati, pertinenti e non eccessivi ai fini del conseguimento dello scopo prefissato. Il datore dovrà scegliere il mezzo di controllo meno invasivo e, in ordine alla posta elettronica dovrebbe interessarsi alla sola mole di corrispondenza scambiata ed alla durata delle comunicazioni; necessità: ogni controllo deve risultare assolutamente indispensabile per raggiungere lo scopo desiderato. Il controllo della corrispondenza, ad esempio, è da ritenersi eccezionale e subordinato ad esigenze di sicurezza del sistema e dell azienda 27. Necessità significa anche non conservare i dati per un tempo eccessivo rispetto agli scopi da perseguire; finalità: i dati devono essere raccolti in vista di uno scopo unico e preciso, esplicito e legittimo. Connessa alla finalità è la compatibilità, ossia, l eventuale successivo trattamento dei dati deve avvenire in modo compatibile con quello anteriore; trasparenza: ogni controllo e trattamento deve essere effettuato in modo palese e dandone informazione al lavoratore. Questi dovrà essere edotto della tipologia di dati raccolti nonchè sulle modalità di trattamento e di controllo. Questo principio comporta per il datore di lavoro l obbligo di fornire al lavoratore una dichiarazione circa la propria politica aziendale in ordine alla tipologia di controlli che si intendono effettuare sulla posta elettronica aziendale e sull uso di internet. Il datore di lavoro dovrà anche specificare la possibilità di controlli eccezionali indicandone le eventuali modalità e campo d applicazione. A carico del datore esiste anche un obbligo di informare le autorità di vigilanza prima di procedere a qualsiasi operazione di trattamento dei dati 28 ; 27 Secondo il Gruppo, tra le attività lecite rientrerebbe altresì la rilevazione della presenza di virus informatici e più generalmente qualsiasi attività del datore di lavoro mirante a garantire la sicurezza del sistema. Giova ricordare che l apertura della posta elettronica di un dipendente può rendersi necessaria anche per motivi diversi dal controllo e dalla vigilanza, come quello di mantenere lo scambio di corrispondenza nel caso in cui il dipendente sia assente (ad esempio per malattia o per ferie) e non vi sia altro modo (come la funzione autoreply o l inoltro automatico) per ottenere tale risultato. (In Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, adottato il 29 maggio 2002). 28 Questo costituisce un altro modo per garantire la trasparenza perché i lavoratori possono sempre verificare nei registri relativi alla protezione dei dati ad esempio quali siano le categorie dei dati, le finalità ed i destinatari che si presumono interessati dall attività di elaborazione di dati personali dei dipendenti svolta dal datore di lavoro. (In Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, adottato il 29 maggio 2002).

11 legittimità: deve essere valutata alla stregua dell art. 7 della Direttiva 95/46/CE che consente il trattamento dei dati del lavoratore solo se finalizzato ad interessi legittimi del datore e non infranga i diritti fondamentali dei lavoratori 29 ; accuratezza e conservazione dei dati: i dati legittimamente raccolti devono essere archiviati in modo accurato, devono essere aggiornati e conservati per il solo tempo necessario. Inoltre il datore di lavoro deve indicare il periodo di conservazione dei messaggi di posta elettronica sui servers dell azienda (è opinione del Gruppo che un periodo ragionevole e sufficiente sono tre mesi); sicurezza: il datore di lavoro è obbligato, in forza di questo principio, ad adottare tutti i provvedimenti tecnici necessari a garantire la protezione e la sicurezza dei dati trattati e preservarli da ogni possibile intrusione esterna. Collegato a questo obbligo è il diritto del datore di proteggere il proprio sistema da virus informatici operando una scansione dei dati relativi ai messaggi di posta elettronica ed alla navigazione in internet. In questo caso, in presenza di un apertura automatizzata dei messaggi, non sarà quindi configurabile una violazione della privacy. Il Gruppo Europeo ha affrontato anche la tematica del consenso. Innanzi tutto è stato chiarito che il consenso del lavoratore, per essere davvero rilevante e legittimare il trattamento dei dati da parte del datore, deve essere prestato in modo consapevole. Questo significa che deve giungere in seguito ad una chiara ed attenta lettura di un informativa preparata dal datore, esplicativa della policy attuata dall azienda. Solo se fornito in modo libero, il consenso può legittimare i trattamenti in questione. Ma si deve sottolineare che la legittimazione non può in nessun caso prevalere sui diritti e sulle libertà fondamentali del lavoratore tra cui si annovera la segretezza della corrispondenza. Il Gruppo ha tenuto a specificare che "Laddove un datore di lavoro si trovi nella necessità di trattare dati personali in quanto conseguenza necessaria ed inevitabile del rapporto di lavoro costituisce comportamento fuorviante qualsiasi tentativo di legittimare tale trattamento mediante l assenso. Il ricorso all assenso va limitato ai casi in cui il dipendente dispone di una scelta veramente libera ed è di conseguenza in grado di ritirare il proprio assenso senza pregiudizio per i propri interessi" 30. Occorre tenere presente che i messaggi di posta elettronica possono contenere dei dati sensibili appartenenti a terzi. In questo caso il datore di lavoro si troverà certamente nell impossibilità di ricevere il consenso al loro trattamento e potrà facilmente incorrere in violazioni della privacy di questi soggetti. 29 La necessità del datore di lavoro di tutelare la sua impresa da seri pericoli, impedendo ad esempio la trasmissione d informazioni confidenziali ad un concorrente, può costituire un interesse legittimo. (In Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, adottato il 29 maggio 2002). 30 In Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, adottato il 29 maggio 2002

12 La Legge n. 300/70 Per quanto riguarda la normativa italiana, in ordine al monitoraggio delle ed alla navigazione in internet in ambito lavorativo, occorre rifarsi alla legge n. 300/70 (Statuto dei lavoratori). Al datore di lavoro competono il potere direttivo, il potere disciplinare e quello di controllo. Il potere direttivo si configura come la situazione soggettiva attiva del creditore nella obbligazione di lavoro e come manifestazione di un autorità di tipo gerarchico che dall imprenditore discende verso i collaboratori di grado via via inferiori 31. Il potere disciplinare trova la sua origine nella responsabilità disciplinare ed è strettamente collegato all inadempimento della prestazione di lavoro e dell obbligo di fedeltà cui è tenuto il lavoratore. Al datore di lavoro spetta la possibilità di applicare delle sanzioni disciplinari, da commisurarsi in relazione alla gravità dell infrazione. Il potere di controllo è la possibilità per il datore di verificare il corretto adempimento dell obbligazione del prestatore di lavoro secondo il principio di diligenza e di obbedienza. Lo Statuto dei lavoratori, perseguendo l obiettivo di tutelare la libertà e la dignità del lavoratore, ha introdotto dei limiti all esercizio dei poteri del datore di lavoro. I limiti più consistenti riguardano soprattutto l area di vigilanza e di controllo sull attività del dipendente. In tema di vigilanza occorre considerare l art. 4 dello Statuto: È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l Ispettorato del lavoro, dettando, ove occorra, le modalità per l uso di tali impianti. La norma individua un divieto inderogabile ed assoluto di installare ed usare apparecchiature al solo scopo di controllare l attività dei lavoratori. La vigilanza ed il controllo, pur se necessari alla produttività dell azienda, devono essere mantenuti in una dimensione umana e non esasperati della 31 E. Ghera, in Diritto del Lavoro, 2000, Cacucci Editrice.

13 tecnologia al punto da renderli invasivi della privacy, che spetta all individuo anche sul luogo di lavoro 32. Questo divieto inderogabile viene mitigato dalla possibilità, entro limiti precisi giustificati da esigenze di produzione, organizzazione e sicurezza, di utilizzare apparecchiature di controllo, previa adozione di una specifica procedura: il datore di lavoro dovrà informare il dipendente della presenza degli strumenti di controllo ed ottenere il parere favorevole della rappresentanze sindacali aziendali ovvero delle commissioni interne o, in via subordinata, superare il vaglio dell Ispettorato. Anche il pc, alla luce di questa norma statutaria, può essere annoverata tra le apparecchiature di controllo. Questo perché, attraverso i dati che la macchina è in grado di memorizzare, il datore di lavoro può avere contezza dell attività del dipendente. Si devono dunque ritenere consentiti solo quei sistemi informatici o automatizzati che forniscono informazioni non riconducibili al singolo dipendente e per questo non lesivi della dignità del lavoratore. È da ricordare che il datore ha la possibilità di effettuare controlli difensivi, volti ad accertare eventuali condotte illecite del dipendente. C è un altra norma dello Statuto che deve essere considerata, ed è l art. 8: È fatto divieto al datore di lavoro, ai fini dell assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell attitudine professionale del lavoratore. Attraverso il computer il datore di lavoro, non solo può controllare l attività del dipendente, ma può anche reperire notizie che riguardano la razza, il credo religioso, politico o le abitudini sessuali del lavoratore, andando a violare i principi più alti della riservatezza. Detto questo, bisogna però tenere presente che il computer deve ritenersi strumento di lavoro di proprietà dell azienda e, come tale, nella completa e totale disponibilità del datore di lavoro. Il lavoratore ha la possibilità di servirsene per svolgere la propria attività lavorativa, ma ha l obbligo di non abusarne, ossia non può utilizzarlo per fini diversi da quelli inerenti le proprie mansioni. Nel caso si verifichino degli abusi, il datore di lavoro potrà esercitare il potere disciplinare nei confronti del lavoratore disobbediente, e comminargli una sanzione disciplinare proporzionata alla gravità del fatto. L esercizio di questo potere è però subordinato al rispetto della procedura indicata all art. 7 dello Statuto dei lavoratori Di questo avviso, la Cassazione: sent. 8250/ In particolare sarà necessario che il datore abbia specificato nel codice disciplinare, ed in modo accurato e preventivo, le lecite modalità di utilizzo dello strumento aziendale.

14 Queste considerazioni dovrebbero essere valide anche per l indirizzo , ma in proposito, in dottrina, si individuano due correnti di pensiero: la prima 34, accorda al datore di lavoro la possibilità di controllare in ogni momento il contenuto delle , purchè il lavoratore sia stato avvertito, preventivamente ed in modo inequivoco, della possibilità di simili controlli 35. la seconda 36, sostiene invece il divieto assoluto di intercettazione della posta da parte del datore di lavoro. Un eventuale controllo andrebbe contro l art. 15 della Costituzione 37, contro le norme penali ad esso legate, contro l art. 8 dello Statuto dei lavoratori. 34 Per tutti vedasi: G. Ciacci, La tutela dei dati personali su internet, Manuale di Diritto Amministrativo -26 volume- La tutela della riservatezza. CEDAM La tesi prende le mosse soprattutto dal comunicato stampa del Garante per la Privacy, già analizzato in precedenza, del 12 luglio A. Trojsi, Gli interventi del Garante e la protezione dei dati personali in materia di lavoro, in La tutela della privacy del lavoratore, UTET La Corte Costituzionale, con la sentenza n. 81 dell' , contenente una pronuncia interpretativa di rigetto, ha affermato che la limitazione della segretezza della corrispondenza e di ogni altra forma di comunicazione può avvenire, in applicazione dell'art. 15 della Carta Costituzionale, "soltanto sulla base di un atto della autorità giudiziaria sorretto da una adeguata e specifica motivazione, diretta a dimostrare la sussistenza in concreto di esigenze istruttorie volte al fine, costituzionalmente protetto, della prevenzione e della repressione dei reati" e con le garanzie stabilite dalla legge. I giudici costituzionali hanno, da un lato, stabilito che l'art. 15 Cost. ha efficacia immediatamente precettiva e, dall'altro, hanno chiarito che la applicabilità di tale norma costituzionale riguarda, oltre che il contenuto delle conversazioni telefoniche (acquisibile attraverso le intercettazioni), anche i semplici dati, che possono portare alla identificazione dei soggetti e alla individuazione del tempo e del luogo delle comunicazioni telefoniche, acquisibili attraverso l'esame dei cosiddetti tabulati. Cass. Pen. 1363/96