Posta elettronica: è legittimo il controllo del datore di lavoro?
La vicenda ha preso le mosse dal licenziamento intimato ad un dipendente reo di aver utilizzato il pc aziendale per effettuare numerosi accessi nel sistema di altri colleghi, acquisendo e-mail personali o riguardanti fatti, notizie e documentazione aziendale riservata.
Le “vittime” delle intrusioni telematiche appartenevano all’Ufficio Risorse Umane, dipendenti che, in funzione del loro ruolo, ricevevano costantemente e-mail riguardanti ipotesi di ricollocazione del personale, piani di interventi retributivi, ordini di servizio in corso di elaborazione. Informazioni, quindi, coperte dal più stretto riserbo.
Il dipendente ha convenuto in giudizio l’azienda e chiesto la reintegra nel posto di lavoro, contestando, in primo luogo, l’intera procedura di acquisizione dei dati informatici da parte del datore di lavoro e la riconducibilità degli stessi al proprio pc. La decisione del Giudice, che ha accolto il ricorso promosso dal lavoratore e dichiarato illegittimo il recesso, si è basata essenzialmente sulle risultanze della Consulenza Tecnica D’Ufficio (CTU) chiamata a verificare i dati oggetto dell’audit aziendale e sui quali è stata effettuata la contestazione disciplinare che ha, poi, condotto al recesso.
Il Consulente Tecnico ha chiarito come i predetti dati non fossero attendibili né affidabili. Ciò in quanto l’azienda aveva omesso di adottare specifiche policy volte a garantire l’immodificabilità e attendibilità dei file di log. Nel momento in cui è stata effettuata la copia dei log che ricollegavano al pc del lavoratore l’indirizzo Ip utilizzato, infatti, il contenuto del file non è stato sottoposto ad alcun controllo di integrità al fine di attestare l’identità assoluta con il dato nel suo contenuto originale, così come prodotto dal sistema.
Il CTU ha osservato come, pur potendosi prospettare in astratto varie modalità di conservazione dei dati, che avrebbero determinato in modo inconfutabile la loro immodificabilità e attendibilità, le stesse non sono state adottate dal datore di lavoro.
Il Tribunale di Napoli, a conclusione della prima fase del procedimento, ha, pertanto, motivato l’ordinanza di accoglimento del ricorso promosso dal dipendente, deducendo che la Società – sulla quale incombeva l’onere di provare la legittimità del provvedimento espulsivo – non era stata in grado di fornire adeguata dimostrazione dei fatti storici degli accessi e la loro riferibilità al dipendente.
La questione, di particolare interesse per datori di lavoro e lavoratori, in considerazione dell’ormai diffuso (e spesso necessario) utilizzo di posta elettronica in azienda, è complessa, poiché coinvolge, prima di tutto, la tutela dei valori costituzionali di libertà e dignità del lavoratore.
Tuttavia, fermo restando il primario diritto del dipendente a vedere protetta la propria privacy, è pur sempre necessario fornire alle aziende strumenti che consentano loro di verificare l’eventuale utilizzo improprio dei sistemi informatici, soprattutto quando sorge il dubbio che vi siano degli abusi.
Una interpretazione eccessivamente restrittiva dell’art. 4 dello Statuto dei Lavoratori, norma che vieta i controlli a distanza dei lavoratori, rischia, infatti, di collidere con quelle che sono le attuali modalità di esecuzione del lavoro.
Se ritenessimo, ad esempio, che l’accesso alla casella di posta elettronica del dipendente rientra sempre e comunque fra le forme di controllo a distanza, il datore di lavoro non avrebbe alcuno strumento per accertare eventuali illeciti dei lavoratori.
Quando è consentito il controllo e quali sono i suoi limiti?
La questione è stata oggetto di un provvedimento ad hoc del Garante della Privacy che, con deliberazione n. 13 del 1.3.2007, ha dettato specifiche linee guida riferite in particolar modo all’utilizzo delle mail aziendali e di internet.
E’, infatti, evidente che la richiamata disciplina statutaria in tema di apparecchiature volte ad esercitare un controllo sull’attività lavorativa dei dipendenti non potesse prevedere, al momento della sua emanazione, tali fenomeni, allora sconosciuti.
A seguito dell’entrata in vigore delle richiamate Linee Guida dell’Autorità Garante le aziende possono ora effettuare controlli volti ad evitare condotte illecite dei dipendenti.
Ciò è possibile solo laddove sia stato preventivamente sottoscritto un accordo con le rappresentanze sindacali aziendali, affinché i dipendenti ne possano avere piena conoscenza.
È, quindi, consentita, una certa “invasione” della privacy dei dipendenti, purché gli stessi non ne siano all’oscuro.
Con riferimento ai controlli sulle e-mail, l’Autorità Garante ha espressamente previsto che la posta elettronica debba comunque essere protetta mediante una serie di accorgimenti (indirizzi e mail condivisi, attribuzione al dipendente di un diverso indirizzo destinato ad uso personale, etc..).
In caso di violazione di tale divieto si applica la normativa penale a tutela delle comunicazioni personali (art. 616 e ss. c.p.).
Ma attenzione!
Il datore di lavoro che legge le e-mail aziendali dei propri dipendenti non incorre nel reato di cui all’art. 616 c.p. se esiste, come abbiamo visto, un regolamento ad hoc che recepisca le Linee Guida del Garante, tenendo naturalmente conto del contesto aziendale in cui esso si inserisce.
L’ordinanza in esame evidenzia una delle più diffuse criticità delle policy aziendali in uso presso le aziende, ossia la concezione degli adempimenti previsti dalla normativa sulla privacy solo in termini “formalistici”, ma non sostanziali.
È, quindi, necessario implementare appositi meccanismi di conservazione dei file di log che garantiscano l’immodificabilità degli stessi attraverso sistemi di audit esterni e certificati che consentano di poter verificare se i sistemi adottati siano conformi alla normativa privacy.
Adottando questi necessari accorgimenti, si raggiunge l’obiettivo senza sacrificare l’esigenza del datore di lavoro di evitare (ed eventualmente sanzionare) gli abusi e quella dei dipendenti di tutela della loro privacy.