Sommario: 

1. Premessa. 

2. La legge n. 675/96. 

3. Lo Statuto dei Lavoratori. 

4. La segretezza della corrispondenza. 

5. Le policy aziendali.

1)      Premessa

L’introduzione delle nuove tecnologie, tra cui si annoverano gli elaboratori elettronici e i relativi programmi, ivi inclusi quelli necessari al funzionamento della posta elettronica ed al collegamento ad Internet, tra gli strumenti funzionali allo svolgimento dell’attività  lavorativa, ha comportato una indiscutibile evoluzione nelle modalità di esecuzione della prestazione lavorativa medesima.

Tuttavia questo cambiamento strutturale, nello svolgimento delle rispettive mansioni e nell’organizzazione aziendale del lavoro, ha aperto questioni interpretative di difficile soluzione con riguardo a diversi profili giuridici: dalla tutela della privacy di coloro che utilizzano tali strumenti, alla tutela giuslavoristica del lavoratore, rispetto ad eventuali possibili ingerenze nella propria sfera privata da parte del datore di lavoro; dai profili penali a quelli di rango costituzionale, concernenti la tutela della corrispondenza.

Le caratteristiche tecniche e le potenzialità intrinseche a tali strumenti pongono, infatti, con una urgenza sempre crescente, problemi di coordinamento e contemperamento tra due sfere di interesse, diametralmente opposte e parimenti meritevoli di tutela.

Da un lato sono innanzitutto individuabili: l’esigenza delle imprese di implementare sistemi di organizzazione del lavoro, basati sul ricorso a strumenti tecnologicamente avanzati, necessari per mantenere adeguati livelli di competitività sul mercato, che implicano la registrazione di una gran mole di dati, generati dai lavoratori  e, al contempo, l’esigenza di evitare che si verifichino abusi, da parte degli stessi lavoratori, nell’uso dei dispositivi hardware e software, che sono parte del patrimonio aziendale e come tali tutelabili dal datore di lavoro[1].

Dall’altro si staglia il diritto del lavoratore a non vedere invasa la propria sfera personale, tutelata non più soltanto dalle norme della l. 300/70, poste a salvaguardia della dignità e libertà del lavoratore rispetto al potere di controllo datoriale, ma dalla normativa vigente in materia di tutela della privacy, tesa a garantire all’interessato/lavoratore il controllo sul trattamento e la circolazione delle informazioni che lo riguardano, sotto il profilo dell’an e del quomodo.

E’ notorio infatti che già le componenti standard, degli strumenti che rendono possibile l’utilizzo della posta elettronica e di Internet, implicano ad oggi la registrazione automatica di numerosi dati attinenti alla navigazione, nonché la memorizzazione di messaggi in arrivo o in uscita, trasmessi mediante l’account aziendale[2].

Ciò solleva naturalmente problemi di legittimità di tali forme di registrazione, sia con riferimento alla normativa vigente in materia di tutela della riservatezza delle persone rispetto al trattamento dei dati personali,  che con riguardo alle disposizioni giuslavoristiche, nonché ai principi costituzionali ed alla legislazione penale, in materia di tutela della corrispondenza.

Poiché nell’ambito del rapporto di lavoro tali normative, cui sottendono ratio diverse, devono trovare necessariamente un’applicazione coordinata, nei paragrafi che seguono si è cercato di metterne in evidenza, se pur brevemente, gli aspetti più rilevanti e le difficoltà attuative rispetto alla moderna realtà produttiva.

Dalle riflessioni svolte emerge la necessità di un intervento normativo specifico, che affronti in modo unitario le numerose questioni giuridiche in discussione, dopo aver individuato un punto di possibile equilibrio tra gli opposti interessi in gioco. Poiché tali problematiche sono percepite e condivise anche al di fuori dei confini nazionali, dagli altri Stati membri, è in corso un dibattito comune sull’argomento, che dovrebbe sfociare, in tempi brevi, nella emanazione di un documento unitario, quantomeno a livello dei Garanti per la privacy europei.

Nell’attesa che, a livello comunitario, si disegnino i confini per un nuovo corretto rapporto tra tecnologia, diritti dell’individuo, impresa e lavoro, l’unica via da seguire appare dunque quella della adozione di dettagliate e specifiche policy aziendali, per tentare di adeguare l’attuale prassi produttiva alla complessa serie di adempimenti e divieti, prevista dalla normativa vigente.

2) La legge n. 675/96

Va detto innanzitutto che la delicatezza del tema del trattamento dei dati personali, nell’ambito del rapporto di lavoro, era già emersa in tutta la sua ampiezza all’indomani dell’entrata in vigore della legge 675/96 (d’ora in poi “la Legge”), anche a prescindere dalla specificità delle questioni relative all’uso di Internet e della posta elettronica.

Anche volendo limitarsi, per così dire, ad esaminare il trattamento dei dati che ogni datore di lavoro è tenuto necessariamente ad effettuare, ai fini della gestione del rapporto di lavoro con i propri dipendenti, trattamento che potremmo, pur se impropriamente, definire off line[3], era apparsa subito evidente infatti la difficoltà di adeguamento alle prescrizioni del dettato normativo. Nelle odierne organizzazioni aziendali la raccolta ed il trattamento dei dati dei dipendenti non si limitano a quelli conseguenti “...a specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali…”[4], ma riguardano sovente la gestione di numerosi altri aspetti del rapporto: dalla rilevazione delle presenze tramite badge[5] alle “note di qualifica”[6], dalle ulteriori polizze assicurative facoltative che il datore dovesse decidere di stipulare in favore dei dipendenti ai cellulari con uso misto o all’uso della mensa da parte di soggetti la cui confessione religiosa non dovesse ad esempio consentire l’ingerimento di certi alimenti.

Sotto questo profilo quindi l’applicazione della l. 675/96 ha richiesto un difficile lavoro di analisi delle singole situazioni, avente lo scopo di rendere coerenti tali trattamenti con le prescrizioni normative, soprattutto con riguardo alla distinzione tra dati comuni e sensibili, alla obbligatorietà o meno del conferimento dei dati, alla disciplina del consenso o alle conseguenze di un eventuale diniego dello stesso da parte del lavoratore.

Infatti uno dei principi cardine della disciplina sulla privacy consiste nel fatto che il consenso al trattamento o alla comunicazione dei dati, quando richiesto, deve essere non solo “informato” ma “libero” (art. 11), ovvero “revocabile” in ogni momento e senza conseguenze per l’interessato.[7]

Tuttavia poiché quando si tratta di consenso prestato da soggetti interessati, operanti nell’ambito di un rapporto di lavoro subordinato, il rispetto della effettività di questa circostanza è messo intrinsecamente in dubbio, ne è derivata la necessità di un’applicazione rigorosissima del principio di “pertinenza e non eccedenza” di cui all’art. 9[8], per evitare di incorrere in un uso abusivo dello strumento del consenso, come metodo di dubbia sanatoria di trattamenti “debordanti” e quindi illeciti.

Il che ha implicato per ogni azienda, che volesse realmente qualificarsi privacy compliant, la necessità di una revisione delle proprie procedure organizzative, finalizzata all’individuazione delle attività che implicavano trattamenti obbligatori[9] o comunque necessari[10], per i quali quindi il consenso, necessario nel caso di dati sensibili, era da considerarsi “dovuto” ai fini della instaurazione o prosecuzione del rapporto di lavoro, da tenere distinte da quelle relative a trattamenti qualificabili come “facoltativi”[11], per i quali un rifiuto del consenso, necessario anche nel caso di dati comuni, avrebbe comportato semplicemente la esclusione del singolo interessato/dipendente da quella attività, senza conseguenze di rilievo.

In altri termini, l’adeguamento alle prescrizioni della legge sulla privacy ha significato e significa, per il mondo imprenditoriale, l’adozione di una nuova filosofia organizzativa, attraverso la quale tutti i processi aziendali devono essere (ri)pensati e (ri)strutturati in modo conforme alla ratio normativa, mediante l’individuazione delle diverse “aree” aziendali di trattamento dei dati, l’analisi dei relativi “flussi” tra un’area e l’altra, la coerente gestione degli incarichi al trattamento da conferire ai singoli dipendenti[12]. Non solo ma la redazione di una corretta informativa, corredata di idonee richieste di consenso agli interessati, dovrebbe infatti essere l’atto finale di un processo molto più complesso, riguardante anche l’avvenuta organizzazione ed adozione delle necessarie misure di sicurezza, in conformità con i risultati delle attività descritte sopra.

Tenendo conto di tutto ciò, non v’è dubbio che la questione dell’uso della posta elettronica e di Internet in azienda riveste un carattere di particolare complessità, dovendo essere esaminata e gestita, ai sensi privacy, secondo i criteri indicati sopra e con la massima attenzione.

Prescindendo per ora dalle problematiche del “controllo” datoriale e della possibile o meno liceità dello stesso, si deve considerare che la semplice “conservazione”, come pure la “cancellazione” e la “distruzione” di dati, rappresentano operazioni di trattamento, ai sensi privacy, che devono essere regolamentate e gestite conformemente alle disposizioni della l. 675/96[13].

L’attività di registrazione dei dati relativi alle e-mail, nonché la memorizzazione – mediante l’utilizzo dei file log - dei siti visitati e/o degli indirizzi web raggiunti, nonché, a seconda dei casi, di altre tipologie di dati, deve essere qualificata come “trattamento” di dati personali, rilevante ai sensi della legge 675/96 e successive modifiche[14]. In altre parole, la registrazione ed archiviazione delle informazioni relative alla posta elettronica, indipendentemente dalla presa di cognizione del contenuto del singolo messaggio, nonché il controllo sull’accesso ad Internet, sono attività sottoposte agli adempimenti ed alle regole dettate dalla normativa vigente in materia di privacy.

Non dovrebbero quindi sussistere dubbi sul fatto che il datore di lavoro,  prima di procedere all’effettuazione delle operazioni di trattamento (pertanto prima di rendere operative le funzioni di memorizzazione dei sistemi informativi a propria disposizione), dovrà innanzitutto dare espressamente atto dell’esistenza di tali tipologie di trattamenti nella notificazione all’Autorità Garante di cui all’art. 7 della citata legge, nonché informare in modo chiaro e completo il dipendente, circa le modalità e le finalità del trattamento effettuato con tali tipologie di dati, nonché chiedere il relativo consenso scritto, laddove necessario, in conformità in particolare agli artt. 10, 11, 12, 22 della legge 675/96. In ogni caso il trattamento dovrà essere svolto nel rispetto dei principi fondamentali dettati dall’art. 9 della legge 675/96 ed essere “protetto” da adeguate misure di sicurezza (nel rispetto delle disposizioni di cui all’art. 15, commi 1 e 2, ed al DPR 318/99).

Nel tentativo di dare un quadro preciso della questione, proviamo a partire dalla realtà tecnologica e dalla prassi organizzativa.

I sistemi informativi, da quelli più semplici a quelli “integrati”[15], sono strutturati in modo tale da realizzare automaticamente la registrazione/conservazione (quindi il “trattamento”) di qualsiasi messaggio di posta elettronica e di qualsiasi accesso ad Internet, effettuato da qualsiasi utente dei sistemi stessi.

I messaggi di posta, sia in entrata che in uscita, arrivano nel server aziendale e vi rimangono quantomeno[16] fino a quando non vengano scaricati dagli utenti/dipendenti, sui propri Personal Computer o inviati ai rispettivi destinatari dal server medesimo. Il sistema può essere infatti progettato in modo che, mediante lo “scaricamento” o l’invio, il messaggio venga cancellato dal server, oppure che questo venga duplicato, rimanendo sia nel server che nel PC. In ogni caso, il fatto che i messaggi in entrata vengano scaricati, dai destinatari, sui rispettivi singoli PC e cancellati dal server centrale, non impedisce che nel server stesso rimanga necessariamente traccia registrata dei seguenti dati (sia in entrata che in uscita): indirizzo del mittente, nome del destinatario, oggetto, data, ora e generalmente volume dei dati trasmessi e degli eventuali allegati. Il contenuto dei messaggi, sia quelli ricevuti che quelli inviati, viene inoltre generalmente archiviato/conservato dall’utente sul proprio PC che, in quanto tale, è in ogni caso un bene aziendale contenente dati, del cui trattamento, ai sensi privacy, risponde il Titolare/azienda.

Se si considera che nei messaggi di posta elettronica (di cui, in mancanza di una regolamentazione aziendale ad hoc, viene notoriamente fatto un uso assolutamente promiscuo[17]) possono essere contenuti dati sensibili di ogni genere, certamente debordanti rispetto a quanto stabilito dall’Autorizzazione Generale n°1, in materia di trattamento dei dati sensibili nell’ambito dei rapporti di lavoro, nonché rispetto alle prescrizioni dell’art. 9, appare evidente la imprescindibile necessità di elaborare rigorose policy aziendali, aventi lo scopo, in attesa della approvazione dell’auspicato codice deontologico[18], di regolamentare l’uso di tale strumento, in modo da renderlo, per quanto possibile, conforme alle prescrizioni della l. 675/96.

In mancanza di una disciplina normativa specifica e di una regolamentazione aziendale, l’uso della posta elettronica per motivi “non esclusivamente professionali”[19], prassi ampiamente tollerata nella grande maggioranza delle aziende, implica paradossalmente il rischio, per il Titolare/azienda, di dover rispondere di trattamento di dati comuni e sensibili, di cui non conosce, né potrebbe[20], la natura e la tipologia ma che sono “conservati” negli strumenti elettronici aziendali, spesso mescolati con i messaggi inerenti l’attività professionale e per i quali devono tuttavia applicarsi tutte le relative norme della Legge[21].

Viceversa, sempre dal punto di vista “privacy”, la gestione dell’accesso ad Internet del dipendente, pur costituendo analogo potenziale trattamento di dati comuni e sensibili[22] e, come tale, ricadente nelle medesime prescrizioni normative, risulta meno problematico per due ragioni. Da un lato la registrazione/conservazione degli accessi ai diversi siti è limitata al server centrale, quindi all’area EDP (più facilmente controllabile sotto il profilo delle misure di sicurezza) e non rimane “archiviata” nei singoli PC, dall’altro l’azienda può, al limite, decidere di eliminare tale funzione, per tutto il personale o per buona parte, evitando il trattamento in quanto tale. Può inoltre essere adottata la soluzione intermedia dell’installazione di appositi software che impediscano l’accesso ai siti considerati “a rischio”, in modo da lasciare libero soltanto l’accesso ai siti necessari per svolgere l’attività lavorativa. In ogni caso, poiché l’interessato/dipendente deve essere correttamente informato anche del “non trattamento” che lo riguarda, la policy dovrà riportare e descrivere esattamente le scelte di gestione degli accessi ad Internet adottate dall’azienda.

Per completare il quadro descrittivo delle situazione, bisogna aggiungere che spesso i server che gestiscono il sistema aziendale possono non essere situati presso la sede del Titolare del trattamento, ma presso “web farm” esterne che forniscono, in outsourcing, tale servizio, con conseguente trattamento all’esterno, da parte di terzi, dei dati.

Infine si deve aggiungere che, altrettanto spesso le aziende decidono, per ovvi motivi di contenimento dei costi, di implementare un unico sistema informativo che gestisca le attività di tutte le aziende del Gruppo, con conseguente trattamento, da parte dell’azienda presso cui è installato il sistema, dei dati di tutte le altre aziende che, sotto il medesimo account di posta elettronica, transitano sul sistema stesso.

In questo caso, come nel precedente, sarà necessario redigere un incarico a responsabile che tenga conto, di questa tipologia di dati e di trattamenti e darne una adeguata informativa agli interessati.

Questa lunga descrizione degli aspetti tecnico-organizzativi ha lo scopo di evidenziare come l’uso degli strumenti tecnologici in azienda, crea problematiche complesse, difficilmente immaginabili preventivamente ed in astratto, che mettono a dura prova anche la tenuta di leggi “recenti”, come la l. 675/96.

E’ pur vero che, se ci limitiamo all’uso esclusivamente professionale, si può correttamente sostenere che si tratti di trattamenti “necessari”, quindi non “debordanti” ai sensi dell’art. 9 della Legge, in quanto intrinseci alle necessità produttive di una qualsiasi moderna organizzazione aziendale. Certamente sarebbe impensabile oggi eliminare l’uso della posta elettronica e di Internet dall’attività lavorativa, non soltanto per l’azienda, che vedrebbe retrocedere la propria posizione sul mercato, ma anche per il dipendente, che vedrebbe diminuire notevolmente la possibilità di sviluppo professionale e la propria conseguente competitività sul mercato del lavoro.

Ciò non toglie che, per rendere lecito il trattamento e pur trattandosi di dati comuni, sarà necessaria una idonea informativa, che dia conto anche delle misure di sicurezza adottate, corredata del consenso del dipendente, che sarà da qualificarsi, in questo caso, come “necessario”[23].

Nel caso viceversa di “uso privato” della posta elettronica e di Internet, i relativi trattamenti di dati sia comuni che sensibili saranno certamente “debordanti” e  questi ultimi non potranno sicuramente essere considerati “coperti” dall’Autorizzazione Generale n° 1 del Garante[24]. Soltanto una policy aziendale, che vieti o, in ossequio al principio del “margine di tolleranza”, stabilisca nel dettaglio l’uso “privato” della posta, prevedendo ad esempio file separati di archiviazione da gestire ad esclusiva cura del dipendente, potrà sollevare l’impresa dalle responsabilità penali e civili conseguenti alla violazione delle norme della legge 675/96.

In mancanza di una dettagliata regolamentazione aziendale, un’interpretazione rigorosa della legge n° 675/96 rischierebbe quindi di porre in una posizione di illiceità l’intero mondo imprenditoriale, a prescindere dal fatto che i dati raccolti vengano o meno utilizzati o anche solo esaminati dal datore di lavoro e quindi prima ancora di porsi il problema del monitoraggio e del rispetto degli articoli 4 e 8 della legge n° 300/70.

In Italia, come negli altri Paesi appartenenti alla UE, la materia è allo studio dell’Autorità Garante, che ha annunciato la preparazione di un “provvedimento generale, in particolare per quel che concerne il controllo delle e-mail dei lavoratori dipendenti…” ed ha dichiarato anche di aver “…posto in essere alcuni specifici accertamenti di carattere preliminare in riferimento ai profili dell’informativa ai lavoratori interessati, del principio di proporzionalità nel trattamento dei dati, della trasparenza dei controlli...”[25]. Non è dato sapere se il provvedimento annunciato coinciderà o meno con il codice deontologico in materia di rapporti di lavoro, previsto dalla l. 467/2001, che dovrà occuparsi di trattamenti “necessari per finalità previdenziali o per la gestione del rapporto di lavoro, prevedendo anche specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione e alla ricezione di curricula contenenti dati personali anche sensibili” (art. 20).

Del resto l’argomento è talmente delicato che le Autorità Garanti della protezione dei dati degli Stati membri stanno  procedendo in parallelo, nell’attività di studio per l’elaborazione di codici o normative che regolino il settore ed hanno costituito un Gruppo di lavoro, il cosiddetto “Articolo 29”[26], che avrebbe dovuto elaborare una decisione comune entro il mese di maggio del 2002[27].

In un primo parere, adottato il 13 settembre 2001[28], il Gruppo ha confermato che ogni rilevazione, uso o memorizzazione di informazioni sui lavoratori con mezzi elettronici rientra nel campo d’applicazione della legislazione di protezione dei dati ed ha confermato la doverosa applicazione dei principi cardine della privacy (finalità, trasparenza, legittimità, proporzionalità, sicurezza ecc.). In particolare il parere ha ribadito che i lavoratori devono essere dettagliatamente informati su quali dati vengono raccolti su di loro (direttamente o per altre vie), i dati devono essere rilevati esclusivamente per finalità determinate, esplicite e legittime e devono essere pertinenti e non eccedenti rispetto alle finalità. A proposito del consenso, il Gruppo di lavoro ha ritenuto che, ”..se un datore di lavoro deve trattare dati personali come conseguenza necessaria e inevitabile del rapporto di lavoro, sbaglia se cerca di legittimare il trattamento mediante il consenso. Il ricorso al consenso va limitato ai casi in  cui il lavoratore è effettivamente libero di scegliere e può successivamente ritirare il proprio consenso senza pregiudizio”[29].

Per quanto concerne l’interazione tra diritto del lavoro e diritto della protezione dei dati, il parere stabilisce che quest’ultimo e le prassi e il diritto del lavoro non operano separatamente e senza interferenze, ma è necessario un bilanciamento che contribuisca allo sviluppo di soluzioni che proteggano adeguatamente gli interessi dei lavoratori.

Passando a trattare la questione del controllo o monitoraggio dei lavoratori rispetto all’uso della posta elettronica e di Internet, il Gruppo di lavoro ha ritenuto che ogni controllo deve essere una risposta proporzionata del datore di lavoro ai rischi che corre, tenendo in dovuto conto la riservatezza del lavoratore e gli altri interessi legittimi di questi. Tutti i dati personali detenuti o utilizzati durante i controlli devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità che giustificano il controllo. Quest’ultimo deve essere, in ogni caso, trasparente (cioè informato) ed eseguito nel modo meno invasivo possibile.

3. Lo Statuto dei Lavoratori

Nell’affrontare la questione del “controllo”, da parte del datore di lavoro, non si può prescindere naturalmente dall’esaminare la legge n° 300/70, la cui applicabilità è fatta espressamente salva dalla legge n° 675/96[30].

In particolare l’art. 4 dello Statuto vieta l’installazione e l’utilizzo di apparecchiature che abbiano, come unica finalità, quella del controllo a distanza dei lavoratori[31].

La norma citata, in ogni caso, non vieta in assoluto ogni forma di controllo da parte del datore di lavoro: essa dispone infatti che, nel caso in cui gli impianti e le apparecchiature, richieste da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, comportino anche la possibilità del controllo a distanza da parte del datore di lavoro, sia necessaria, per la legittimità dell’uso di tali strumenti, l’adozione di una specifica procedura. In queste ipotesi, il datore di lavoro infatti deve informare il lavoratore dell’esistenza di tali strumenti di controllo a distanza ed ottenere il consenso all’utilizzo degli stessi da parte delle rappresentanze sindacali aziendali, ovvero delle commissioni interne oppure, in mancanza di accordo con queste ultime, dovrà superare il vaglio dell’Ispettorato del lavoro[32].

Dal punto di vista giuslavoristico, non dovrebbe esservi dubbio sul fatto che i sistemi informatici, laddove realizzino o consentano forme di controllo a distanza dei lavoratori, rientrino nell’ambito di applicazione dell’art. 4, comma 2, dello Statuto dei Lavoratori, ancorché tale norma sia stata formulata quando la tecnologia su cui si fondano i meccanismi di funzionamento della posta elettronica e di Internet ancora non esistevano.

Si potrebbe addirittura aggiungere che il problema non riguarda soltanto l’uso della posta elettronica e di Internet, ma l’uso degli elaboratori (PC) in quanto tali, soprattutto in considerazione del fatto che, in applicazione delle misure di sicurezza privacy imposte dal D.P.R. 318/99, al dipendente devono essere attribuiti, per l’accesso al sistema, una login ed una password, mediante le quali è possibile ricostruire qualsiasi attività da questi effettuata sui documenti archiviati nel sistema, ivi inclusi la data e l’ora.

Per quanto concerne il tipo di controllo attuabile, la casistica giurisprudenziale sembrerebbe lasciar intendere che devono considerarsi vietati tutti quei sistemi automatizzati che permettano di risalire all’identità del singolo dipendente, in una ricostruzione “aggregata” di informazioni relative all’attività da questo svolta[33], mentre risultano permessi quei controlli, ritenuti non lesivi della dignità del lavoratore, effettuati per area o settore o comunque non riconducibili all’attività del singolo individuo[34].

Sono considerati consentiti inoltre i cosiddetti “controlli difensivi”, cioè quelli che non riguardano (direttamente o indirettamente) l’attività lavorativa, ma sono diretti ad accertare eventuali condotte illecite del lavoratore.

In questo contesto si deve tener presente che gli strumenti informatici, quali posta elettronica e Internet, si possono prestare, abbastanza agevolmente, a forme più o meno gravi di abuso da parte dei dipendenti, quando non addirittura di veri e propri reati[35]. E’ noto che l’eventuale abuso della strumentazione aziendale (inteso come utilizzo degli strumenti dell’azienda per fini diversi da quelli attinenti all’esecuzione della propria prestazione lavorativa), di per sé può già essere considerata una violazione dei doveri di diligenza e fedeltà, che la legge impone al prestatore di lavoro subordinato[36].

Una pronuncia di merito[37], con riferimento alla valutazione della legittimità delle sanzioni disciplinari e del licenziamento di una lavoratrice, disposto da una società, a causa dell’uso smodato delle connessioni ad Internet, precisa infatti che “la condotta della lavoratrice non solo e non tanto ha provocato costi aziendali non necessari (si badi che nel caso in esame le connessioni non sono state sporadiche e quindi comprensibili e giustificabili, ma cospicue e regolari). Data la sua entità ha integrato gli estremi di un rilevante inadempimento degli obblighi contrattuali di lavoro: in altri termini, quale che fosse la ragione (Internet o qualsiasi altra cosa), per tutte quelle ore la lavoratrice non ha effettuato la prestazione per la quale era retribuita”.

Di  recente la Corte di Cassazione, pronunciandosi (forse per la prima volta) in materia di controllo a distanza dei dati telefonici, ha escluso l’operatività del divieto di cui all’art. 4, l. 300/70, poiché il comportamento del datore di lavoro doveva essere interpretato come “...teso a controllare la condotta illecita del dipendente e non l’attività lavorativa svolta dal medesimo”[38]. Purtroppo la Suprema Corte non ha minimamente approfondito la materia, la qual cosa sarebbe stata di grande utilità, ai fini della soluzione delle problematiche qui esposte. Basti considerare infatti che gli strumenti che consentono un “controllo difensivo”, come ad es. le registrazioni telefoniche o la posta elettronica, sono inevitabilmente anche in grado di controllare l’attività lavorativa del dipendente e pertanto non consentono di escludere a priori l’applicazione della procedura prevista dal secondo comma dell’art. 4.

La dottrina[39] è in prevalenza orientata nel sostenere che, in ogni caso, la registrazione degli accessi ad Internet da parte dei lavoratori, così come la memorizzazione di tutti i messaggi di posta elettronica in entrata e in uscita dal server[40], pur essendo propedeutica all’esercizio del potere di controllo e disciplinare del datore di lavoro (di per sé normativamente previsto)[41], deve avvenire nel rispetto della procedura di cui all’art. 4, nonché nel rispetto di ulteriori disposizioni dello Statuto dei Lavoratori. Infatti, anche dopo aver ottenuto il benestare dell’Ispettorato o il consenso espresso delle rappresentanze sindacali, il datore di lavoro  potrà, a fronte di un abuso degli strumenti aziendali, comminare una sanzione disciplinare, solo ove abbia rispettato la procedura di cui all’art. 7 dello Statuto dei Lavoratori. Dovrà infatti essere stato redatto e reso accessibile a tutti  i lavoratori il codice disciplinare, in conformità con i contratti collettivi applicabili; inoltre il datore di lavoro dovrà contestare l’addebito nelle forme previste dall’art. 7 citato ed infine applicare la sanzione, che dovrà, in ogni caso essere proporzionata all’addebito contestato[42].

La descrizione dei limiti di lecito utilizzo dei beni aziendali, quindi di posta elettronica e Internet, dovranno pertanto essere specificati in modo puntuale nel codice disciplinare, altrimenti ben difficilmente si potrà procedere alla contestazione dell’inadempimento del lavoratore[43].

Di diversa opinione sono altri autori che, nell’intento di evitare al datore di lavoro il compito di avventurarsi in “…complesse trattative sindacali dagli esiti necessariamente alquanto incerti”[44], suggeriscono di considerare “...leciti, a prescindere dall’esistenza – a monte- di qualunque accordo sindacale stipulato ai sensi dell’art. 4 Stat. Lav.”, quei controlli “...focalizzati non già sullo svolgimento dell’attività lavorativa da parte del dipendente, ma soltanto sul tipo di impiego che il dipendente stesso fa dello strumento informatico posto a sua disposizione dal datore di lavoro”.

Tale interpretazione, fondata sul tentativo di affrontare in modo “pragmatico” l’attuale realtà produttiva, si basa naturalmente sulla necessità che vengano adottate in azienda regole univoche, circa le modalità di utilizzo degli strumenti informatici e le finalità per le quali questi vengono messi a disposizione dei dipendenti, che siano portate a conoscenza di tutto il personale “...con strumenti idonei, analoghi a quelli utilizzati per il codice disciplinare di cui all’art. 7 Stat. Lav.”.

Con riguardo alla disciplina dettata dallo Statuto dei Lavoratori, occorre inoltre considerare l’art. 8, il quale impone al datore di lavoro il divieto di effettuare – direttamente o tramite terzi - indagini sulle opinioni politiche, religiose, o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, sia all’atto dell’assunzione che nel corso dello svolgimento del rapporto di lavoro[45].

Si deve a questo proposito considerare che il controllo e la registrazione della navigazione nel web effettuata dal dipendente, potrebbero rivelare, al datore di lavoro, indirettamente, aspetti attinenti alla personalità del prestatore di lavoro. E’ necessario pertanto brevemente analizzare se ed in che misura tali fattispecie concrete possano ritenersi comprese nel disposto di cui all’art. 8 citato. Tale norma infatti richiede, per la sua operatività, che il datore di lavoro effettui vere e proprie “indagini” aventi ad oggetto le opinioni del lavoratore di natura politica, sindacale o religiosa, o fatti comunque estranei alla valutazione delle attitudini professionali del lavoratore.

Ciò premesso, non si ritiene che vi siano dubbi sul fatto che il monitoraggio degli accessi ad Internet possa rappresentare una forma di indagine, che tuttavia non implica di per sé una conoscenza diretta delle opinioni di natura politica, religiosa e/o sindacale dei lavoratori, ma che indubbiamente potrebbe costituire, in certi casi, una fonte di indizi in tal senso. Vero è, d’altro canto, che l’obiettivo del monitoraggio è per lo più la verifica del corretto utilizzo degli strumenti di lavoro messi a disposizione del lavoratore. A certe condizioni pertanto si potrebbe sostenere che la registrazione in realtà riguardi dati concernenti il corretto adempimento della prestazione lavorativa.

In questo contesto occorre inoltre tenere presente che la norma citata, prevedendo una sanzione di natura penale in caso di sua violazione, non tollera interpretazioni di natura estensiva o analogica.

4. La segretezza della corrispondenza

Infine sempre con riferimento alla possibilità di registrazione e di accesso ai messaggi di posta elettronica, inviati dai dipendenti, oltre ai profili di legittimità rispetto alla normativa vigente in materia di privacy e di diritto del lavoro, merita un breve cenno anche la problematica scaturente dai principi costituzionali e dalla legislazione penale, in materia di tutela della corrispondenza.

Infatti, a seguito della equiparazione della corrispondenza telematica o elettronica alla corrispondenza cartacea[46], si è posto il problema della applicabilità, delle norme dettate in tema di segretezza della stessa, ai messaggi di posta elettronica [47].

Dubbi interpretativi riguardano in particolare le fattispecie di reato dettate agli articoli 616 e 617 quater, del codice penale.

Per quanto concerne l’art. 616 c.p.[48], si pone il problema di individuare se ed entro quali limiti possa considerarsi lecito l’accesso, da parte del datore di lavoro o di altri colleghi, al contenuto delle e-mail ricevute e/o spedite dal dipendente, dall’indirizzo di posta elettronica aziendale, a lui concesso in uso[49].

Fermo restando che l’analisi del problema e la ricerca di una soluzione corretta ed equilibrata, rispetto agli opposti interessi in gioco, non può essere svolta senza tenere conto di tutto quanto già premesso, dal punto di vista della tutela della privacy e dello Statuto dei Lavoratori, parte della dottrina sta sostenendo l’inapplicabilità di tale norma, rispetto ai messaggi di posta elettronica, sul presupposto che questi ultimi, non potrebbero essere definiti “corrispondenza chiusa”, per la  caratteristica tecnica della loro piena visibilità sia al momento dell’invio che al loro arrivo a destinazione[50].

Tale impostazione appare poco convincente se si considera che, per leggere i messaggi e-mail, è comunque necessario compiere una azione specifica di “apertura” degli stessi, anche se mediante un semplice click, diversamente resta immediatamente visibile soltanto l’indirizzo del mittente, l’oggetto, la data e l’ora[51]. Tanto più se si considera che, ai fini privacy ed in applicazione del D.P.R. 318/99, le misure di sicurezza da adottare obbligatoriamente impongono l’uso di un codice identificativo e di una password personali, che impediscono l’accesso all’elaboratore e quindi alla posta, da parte di terzi diversi dal dipendente assegnatario[52].

 Quindi a meno che non si vogliano operare forzature, se da un lato difficilmente la posta elettronica può considerarsi “corrispondenza aperta”, dall’altro altrettanto difficilmente potrà trattarsi solo ed esclusivamente di corrispondenza aziendale.

Infatti in mancanza di una specifica regolamentazione aziendale, che disciplini l’uso della posta, si deve dare per scontato che di questa venga fatto anche un uso “privato”, da parte dei dipendenti, in coerenza del resto con quel necessario “margine di tolleranza” richiamato dalla dottrina e dalla giurisprudenza[53].

Sussistono dubbi peraltro anche sulla possibilità, pur con una regolamentazione aziendale,

di vietare del tutto l’uso privato della posta, se si tiene conto di quanto ha dichiarato la Commission Nazionale de l’Informatique et des Libertés (l’Autorità francese sulla protezione dei dati CNIL), che ha pubblicato un Rapporto sulla sorveglianza elettronica dei lavoratori, in cui fa il punto della situazione in Francia e negli altri Paesi della UE, indicando alcune raccomandazioni pratiche.[54]

Il Rapporto riferisce che, a differenza di quanto praticato dalle imprese, la giurisprudenza francese ha elaborato risposte molto chiare in favore della tutela della dignità del lavoratore. In particolare riporta una sentenza della Corte di Cassazione (2.10.2001) in cui si afferma che “...il dipendente, anche durante l’orario di lavoro e sul luogo di lavoro, ha il diritto al rispetto della sua vita privata... il che implica, in particolare, la segretezza della corrispondenza. Il datore di lavoro non può dunque..accedere a messaggi personali inviati dal dipendente o da questi ricevuti attraverso strumenti informatici messi a disposizione del dipendente per svolgere l’attività lavorativa, anche qualora il datore di lavoro abbia preventivamente vietato l’utilizzo del computer per fini non professionali”.

Il Rapporto prosegue affermando che il divieto assoluto di utilizzare la posta elettronica, anche in base alla sentenza sopra citata, non è ammissibile. Il criterio della ragionevolezza e dell’uso socialmente accettabile appare offrire utili indicazioni. L’eventuale utilizzo da parte dell’impresa di dispositivi di controllo individuale comporta la necessità di notificare il trattamento e di conservare i dati per un periodo non eccessivo (individuato in non più di sei mesi), oltre all’esigenza di consultare i rappresentanti del personale e gli organi paritetici sopra menzionati.

Anche nella realtà italiana quindi, un adeguato regolamento aziendale dovrebbe, fermi restando gli adempimenti privacy e le procedure ex art. 4 Stat. Lav., stabilire il margine di tolleranza e imporre che le e-mail “private” vengano archiviate dal lavoratore, ad es. in file separati, in modo da evitare commistioni e consentire viceversa l’accesso a quelle professionali, per soddisfare le esigenze datoriali di organizzazione del lavoro.

La giurisprudenza italiana si è espressa sul punto una sola volta. Una recente ordinanza, che appare viceversa abbastanza “distratta” [55], ha negato, a questo proposito, la sussistenza del reato, sia per mancanza dell’elemento soggettivo del dolo nella condotta del datore di lavoro, sia sotto il profilo dell’insussistenza degli elementi oggettivi del reato. Dopo aver liquidato le problematiche privacy come “assolutamente inconferenti” l’ordinanza ha negato il carattere di “privatezza” dell’indirizzo di posta elettronica aziendale, in quanto “...è inconfigurabile in astratto..un diritto all’utilizzo esclusivo di una casella di posta elettronica aziendale”. Dichiarando che l’obiettivo della password “non è certo quello di proteggere la segretezza dei dati personali contenuti negli strumenti a disposizione del singolo lavoratore bensì solo quella di impedire che ai predetti strumenti possano accedere persone estranee alla società”, l’ordinanza ha aggiunto che “tanto meno può ritenersi che leggendo la posta elettronica contenuta sul personal computer del lavoratore si possa verificare un non consentito controllo sulle attività di quest’ultimo atteso che l’uso dell’e-mail costituisce un semplice strumento aziendale a disposizione dell’utente-lavoratore al solo fine di consentire al medesimo di svolgere la propria funzione aziendale… e che, come tutti gli altri strumenti forniti dal datore di lavoro, rimane nella completa e totale disponibilità del medesimo senza alcuna limitazione”.

L’ordinanza infine ha concluso sostenendo che l’uso privato della posta (anche se tollerato), non consente una generalizzata affermazione del principio di segretezza, poiché trattasi comunque di uso illecito che, in quanto tale, non può far attribuire, a chi lo commette, diritti di sorta.

Con riferimento all’art. 617 quater c.p.[56], relativo all’intercettazione telefonica e telematica, perché la fattispecie di reato possa dirsi integrata è necessario che vi sia l’intento fraudolento da parte dell’autore dell’intercettazione. Tale elemento soggettivo è ritenuto presente qualora l’intercettazione sia effettuata con modalità occulte all’insaputa dell’interessato. E’ evidente che tale aspetto non possa essere riscontrato laddove l’autore dell’intercettazione fornisca un’informativa completa di tale prassi, avvallata dal consenso dell’interessato. Rispetto, quindi, alla registrazione della posta elettronica del dipendente, da parte del datore di lavoro, è necessario predisporre un’informativa ad hoc da consegnare al lavoratore ed ottenere il relativo consenso, al fine di escludere l’applicabilità della fattispecie penale sopra descritta.

5. Le policy aziendali

Nei paragrafi che precedono si è cercato di dare un quadro coordinato delle problematiche giuridiche connesse all’uso degli strumenti tecnologici in azienda, teso a sottolineare la assoluta necessità di un intervento normativo specifico, che affronti le questioni in modo unitario, trovando un punto di equilibrio tra gli opposti interessi in gioco, tutti parimenti meritevoli di tutela.

E’ superfluo ricordare infatti che il lavoratore ha, da un lato il diritto al rispetto della propria sfera privata e della propria dignità, dall’altro l’obbligo di svolgere le mansioni per le quali è stato assunto con diligenza e fedeltà, osservando le direttive e le istruzioni impartite dal datore di lavoro. Questi, da parte sua, ha il diritto di organizzare la propria attività produttiva come meglio ritiene opportuno e di controllare che le proprie direttive vengano osservate, allo scopo di evitare danni economici (es. contenimento dei costi), o impedire che vengano commessi reati (tramite Internet o la posta elettronica), o che vengano violati segreti aziendali ecc.

Nell’attesa di un intervento normativo ad hoc e ferma restando l’assoluta incertezza giurisprudenziale sopra menzionata, la redazione di appropriate policy aziendali appare l’unica via percorribile oggi per tentare di rispondere, con il maggior grado di specificità possibile, alla complessa ed intrecciata serie di divieti, obblighi e adempimenti stabiliti dalla legislazione vigente. Da un lato l’obbligo di informazione e gestione, richiesto dalla l. n°675/96 e dal parere (WP48) dei Garanti europei, per quanto concerne il trattamento dei dati dei dipendenti, effettuato tramite l’uso della posta elettronica e di Internet, nonché l’adozione delle relative misure di sicurezza. Dall’altro lato la necessità di definire, dal punto di vista giuslavoristico, il controllo di carattere “meramente difensivo” sull’uso di tali strumenti aziendali ed il cosiddetto “margine di tolleranza”. Dall’altro lato ancora la necessità di stabilire, in riferimento a tale “margine”, le regole relative all’uso privato della posta elettronica e di Internet.

Sotto questo profilo il Rapporto CNIL citato, oltre a quanto già detto circa la posta elettronica, fornisce altre utili indicazioni. Ad es. anche il divieto assoluto di utilizzare Internet per fini non professionali è irrealistico e quindi l’uso deve essere ragionevole, tale da non mettere a rischio la sicurezza dell’impresa né da comprometterne la produttività. E’ lecito, da parte dell’azienda, installare dispositivi atti a filtrare l’accesso a siti non autorizzati o prevedere, per motivi di sicurezza, il divieto di collegarsi a forum di discussione o chat. Se vengono registrati i dati di connessione (durata e siti visitati), i relativi archivi (file di log) devono avere esclusivamente finalità di sicurezza e non di controllo del lavoratore, che deve essere informato dell’esistenza e della durata di conservazione, indicata al massimo in sei mesi. Infine il Rapporto suggerisce di nominare, in cooperazione con le rappresentanze del personale, una figura definita “delegato alla protezione dei dati ed all’utilizzo delle nuove tecnologie nell’impresa”, che sarà incaricata di seguire la gestione dei dati personali in termini di sicurezza, diritto di accesso e tutela, ivi incluso il rispetto degli obblighi di notificazione all’autorità garante.

A conferma di questa linea, è interessante notare che la Svizzera, pur non rientrando nell’ambito di operatività della Direttiva  95/46/CE, ha adottato un regolamento tipo, a livello federale, che disciplina in modo organico “la sorveglianza dell’utilizzazione di Internet e della posta elettronica al posto di lavoro”.

Dopo aver descritto gli interessi dell’azienda e quelli del lavoratore, sottolinenando che “non sono utilizzati sistemi di controllo o di vigilanza per sorvegliare il comportamento del lavoratore”, il regolamento passa a disciplinare l’utilizzazione di Internet e della posta elettronica. L’accesso a tali strumenti deve essere autorizzato per categorie di impiegati e l’azienda deve decidere se consentire o meno l’uso privato (esiste anche un manuale esplicativo dove, al cap. 5, sono riportati alcuni spunti di riflessione per regolamentare questo aspetto). In ogni caso tale consenso deve essere dato fissando regole concrete ed inequivocabili. Devono essere descritte tutte le misure di sicurezza adottate e devono essere specificati tutti i “protocolli” utilizzati[57], ivi inclusi i file temporanei del contenuto (cache) ed i file permanenti di tracce dei siti visitati (cookies). Il regolamento vieta all’impresa di esaminare il contenuto di e-mail private[58] e raccomanda di organizzare un servizio e-mail separato, preferibilmente criptato, imponendo ai servizi informatici il rispetto della confidenzialità dei protocolli e delle liste di corrispondenza.

Le modalità ed i limiti del controllo delle violazioni della disciplina dell’uso degli strumenti e dei protocolli è dettagliato in tutti i suoi aspetti, ivi incluso quello sulla posta privata, che deve essere effettuato per campionatura casuale, in maniera anonima e limitato ad un predeterminato periodo di utilizzazione.

Viceversa il controllo degli “affari” è consentito, quindi è espressamente prevista la possibilità di prendere visione della posta elettronica di collaboratori assenti (naturalmente se si tratta della posta professionale). Se non c’è distinzione tra posta professionale e privata (indipendentemente dal fatto che sia stata autorizzata o meno) e la questione risultasse dubbia, è necessario chiarire con il dipendente e l’accesso non è considerato lecito. Il regolamento stabilisce inoltre le modalità di sorveglianza delle prestazioni, la procedura in caso di sospetto reato, le sanzioni in caso di abuso, aggiungendo che “ai fini della protezione dei dati i colleghi di lavoro della persona interessata sono considerati terzi” e che, in materia di protocolli, non esistono obblighi di conservazione, in ogni caso questa non deve superare le quattro settimane.

Infine nel caso di sorveglianza illecita da parte del datore di lavoro, il regolamento riconosce al lavoratore il diritto di avvalersi dei rimedi giuridici civili per lesione illecita della personalità (artt. 28 e ss. c.c.), di agire sul piano penale per violazione della sfera segreta o privata mediante apparecchi di rilevazione delle immagini (art. 179 quater c.p.) o per sottrazione di dati personali (art. 179 novies c.p.)[59].

                                                                  Avv. Allegra Stracuzzi