L'accesso abusivo all'e-mail del dipendente protetta da password | Lavoro Lex - Studio Legale
353
post-template-default,single,single-post,postid-353,single-format-standard,non-logged-in,ajax_fade,page_not_loaded,,qode-title-hidden,qode_grid_1300,hide_top_bar_on_mobile_header,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

L’accesso abusivo all’e-mail del dipendente protetta da password

LA MASSIMA
L’accesso abusivo all’altrui casella di posta elettronica configura il reato di cui all’art. 615 ter cod. pen. essendo detta casella uno “spazio di memoria”, ossia una porzione della complessa apparecchiatura ­ fisica e astratta ­ destinata alla memorizzazione delle informazioni, protetto mediante apposizione di una password in modo tale da rivelare la chiara volontà dell’utente di farne uno spazio a sé riservato, e nella disponibilità del suo titolare, identificato da un account registrato presso un provider del servizio. ¶ Cass. Sez. V Pen. 31 marzo 2016, n. 13057

La sentenza in commento riguarda il fatto di un pubblico ufficiale, agente di polizia provinciale, che si era introdotto abusivamente nella casella di posta elettronica certificata (PEC) di un suo sottoposto ed aveva scaricato dei file. In primo grado ed in appello il reo era stato condannato per accesso abusivo ad un sistema informatico (art. 615-ter c.p.) e per aver preso visione dei messaggi in esso contenuti (art. 616 c.p.) oltre che per il reato previsto all’art. 617 c.p.. In particolare, nel caso di specie, il superiore gerarchico, aveva agito approfittando della sua qualità, con abuso dei poteri e violazione dei doveri inerenti ad una pubblica funzione, integrando la circostanza aggravante di cui all’art. 615 ter c. 2 n. 1 c.p. Contro la sentenza di secondo grado, veniva proposto ricorso per Cassazione. Il ricorrente negava che la sua condotta si fosse concretizzata in un accesso ad un sistema informatico, in considerazione del fatto che la casella di posta elettronica non rappresentasse un “sistema” ma al contrario, una mera entità. La Suprema Corte respingeva tale ricostruzione, poiché la casella di posta elettronica rappresentava un sistema informatico a tutti gli effetti, rilevante ai sensi dell’art. 615 ter c.p.. Lo scopo della norma consiste nell’offrire tutela contro le nuove forme di aggressione personale realizzate mediante l’impiego della tecnologia. A tal proposito, la Corte precisa che il sistema informatico è costituito da un complesso organico di hardware (di elementi fisici) e software (di elementi astratti). La casella di posta è uno spazio di memoria di un sistema informatico destinato a contenere messaggi o altri file (immagini, video, documenti…) di un soggetto identificato tramite un account registrato presso un provider. Pertanto, l’accesso a tale spazio di memoria si concreta in un accesso ad un sistema informatico 1. Inoltre, la protezione tramite password del citato spazio di memoria rappresenta una palese dimostrazione della volontà del titolare di escludere chiunque e di renderlo uno spazio riservato; ne consegue che l’accesso abusivo alla PEC integra l’elemento materiale del reato di cui all’art. 615 ter c.p. Si ricorda che la figura di reato di cui trattasi rientra nei cosiddetti “computer crimes”, i quali hanno ad oggetto tutte le condotte illecite riguardanti i sistemi di archiviazione-elaborazione di dati e/o informazioni nonché la trasmissione automatica degli stessi. Per accesso al un sistema informatico 2 , una parte della dottrina, intende il mero accesso “virtuale” realizzato mediante apparecchi elettronici che consentono lo scambio dei dati; mentre alcuni considerano che il reato possa sussistere anche nel caso del mero ingresso nei locali che ospitano l’elaboratore. Per integrare il reato è sufficiente superare la “barriera” rappresentata dalle misure di sicurezza del sistema senza che sia necessario porre in essere attività ulteriori, non essendo necessaria l’ulteriore comunicazione a terzi delle informazioni indebitamente ottenute. Il dolo è generico e consiste nella rappresentazione e volontà di accedere ad un sistema protetto, con la consapevolezza dell’abusività della propria condotta. Nel caso in esame, il reo era perfettamente consapevole di violare uno spazio altrui e di ledere uno spazio riservato. La Corte prosegue il suo iter argomentativo ricordando che i sistemi informatici 3 rappresentano «un’espansione ideale dell’area di rispetto pertinente al soggetto interessato garantita dall’art. 14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 c.p.» . Tutto ciò premesso, risulta scorretta l’equiparazione, operata dal ricorrente, tra la tradizionale cassetta delle lettere e la casella PEC 4, in quanto la prima non è un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, ma un mero contenitore fisico di elementi. In particolare, allorché siano attivate delle caselle di posta protette con password, esse rappresentano il domicilio informatico di ciascun dipendente. Pertanto l’accesso abusivo ad una di esse da parte di chiunque, compreso il superiore gerarchico, integra il reato di cui all’art. 615 ter c.p., atteso che la presenza della password è espressione macroscopica dello ius excludendi. La PEC è uno spazio esclusivo dedicato alla persona, la cui invasione si traduce in una lesione al diritto alla riservatezza. Inoltre, il reato di cui all’art. 615 ter c. 2 n. 1 c.p. è configurabile anche allorché il pubblico ufficiale abbia agito al di fuori delle sue funzioni, essendo sufficiente che la sua qualifica gli abbia consentito la commissione del reato. Nella fattispecie in oggetto, il reo aveva sfruttato la propria posizione di sovraordinazione per accedere alla casella di posta del sottoposto. In conclusione, la Corte di Cassazione, nel respingere il ricorso, chiariva quanto segue: le caselle rappresentano il domicilio informatico proprio del dipendente, sicché l’accesso abusivo alle stesse, da parte di chiunque (quindi, anche da parte del superiore gerarchico), integra il reato di cui all’articolo 615 ter c.p., giacché l’apposizione dello sbarramento – avvenuto col consenso del titolare del sistema – dimostra che a quella casella è collegato uno ius excludendi, di cui anche i superiori devono tenere conto, evitando di ledere la riservatezza dello stesso dipendente.

Linee guida del Garante della Privacy sull’uso della posta elettronica e di internet sul posto di lavoro

Si aggiunge che, nel 2001, il Garante era intervenuto con un provvedimento generale con il quale, traendo spunto dalle indicazioni che gli erano pervenute da segnalazioni, ricorsi, reclami ed in esito all’esame delle pronunce giurisprudenziali più significative e delle indicazioni provenienti anche da decisioni della Corte Europea dei diritti dell’uomo e da documenti adottati in sede europea dal gruppo art. 29 composto da rappresentanti dei garanti dei singoli stati dell’Unione 5 aveva tracciato linee guida sull’uso della posta elettronica e di internet sul posto di lavoro. Premessa generale è che compete al datore di lavoro assicurare la funzionalità ed il corretto impiego dei mezzi a disposizione dei lavoratori definendone le modalità d’uso nell’organizzazione dell’attività lavorativa. Allo stesso modo il datore di lavoro si deve preoccupare di apprestare idonee misure di sicurezza per assicurare l’integrità dei sistemi informativi e di dati anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità (ex artt. 15, 31 e ss. 167 e 169 del Codice). Deve poi essere apprestata una tutela per i lavoratori tenuto conto anche del fatto che è sempre più frequente l’uso di detti strumenti anche in attività da svolgersi anche al di fuori della sede lavorativa. L’utilizzo di Internet può formare oggetto di analisi , profilazione e integrale ricostruzione mediante elaborazione di file cronologici (log file) della navigazione web ottenuti da un server aziendale (proxy server) o da altri strumenti di registrazione delle informazioni. Allo stesso modo i servizi di posta elettronica sono suscettibili (mediante la conservazione di log file di traffico e­mail ed archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto stesso della corrispondenza. Le informazioni che vengono così trattate contengono dati personali anche sensibili che riguardano sia i lavoratori che terzi identificati o identificabili. A ciò si aggiunga che in base a principi dettati sia a livello costituzionale (artt. 2 e 41 comma 2 cost.) che normativo (art. 2087 c.c. ed anche art. 2, comma 5 del Codice dell’Amministrazione digitale, d.lg. 7.3.2005 n. 82, che espressamente individua il diritto ad ottenere che il trattamento dei dati effettuato mediante l’uso di tecnologie informatiche sia conformato al rispetto dei diritti e delle libertà fondamentali, nonché alla dignità dell’interessato) «“il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata la riservatezza nelle relazioni personali e professionali». Occorre poi prendere atto del fatto che sempre più di frequente i datori di lavoro, nell’organizzare l’attività lavorativa e gli strumenti utilizzati, hanno prefigurato modalità d’uso che tengono conto del crescente lavoro in rete, dell’esistenza di nuove e più favorevoli tariffe forfetarie di traffico ed assegnano così aree di lavoro riservate per appunti strettamente personali, ovvero consentono usi moderati per finalità private. In tale prospettiva il trattamento deve avvenire avendo riferimento ai principi generali dettati dal Codice di necessità (per cui i sistemi informativi ed i programmi informatici devono essere configurati in modo da ridurre al minimo l’utilizzazione di dati personali ed identificativi in relazione alle finalità perseguite), correttezza ( le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori tenuto conto del fatto che le tecnologie dell’informazione consentono di svolgere trattamenti ulteriori rispetto a quelli ordinariamente connessi all’attività lavorativa svolta e ciò anche all’insaputa ovvero senza che i lavoratori ne abbiano una piena consapevolezza tenuto conto delle potenzialità delle tecnologie stesse spesso ignote agli utenti) e legittimità delle finalità perseguite (determinate esplicite, pertinenti e non eccedenti). Inoltre le attività di monitoraggio possono essere svolte solo da soggetti a tal fine espressamente preposti (quali incaricati del trattamento) e devono essere mirate sull’area di rischio tenendo conto della normativa sulla protezione dei dati e, se pertinente, sul principio di segretezza della corrispondenza. Da tali principi generali deriva l’obbligo per il datore di lavoro di esercitare controlli trasparenti vale a dire previo accordo con le r.s.a. ( rappresentanze sindacali aziendali) per la videosorveglianza, in particolare, e secondo modalità che devono essere portate preventivamente a conoscenza dei lavoratori. Il Garante suggerisce allora l’adozione di linee sull’uso degli strumenti in dotazione; una guida 6 sorta di disciplinare redatto in modo chiaro, senza formule generiche e da pubblicizzare adeguatamente e sottoporre ad adeguamento periodico. Questo potrebbe contenere:
› la specificazione dei comportamenti non tollerati rispetto alla navigazione in internet ( ad es. il download di software o di file musicali) ovvero la legittimità o meno di conservazione di determinati file nella intranet;
› i limiti di utilizzo della posta elettronica aziendale o anche dell’accesso ad internet per fini personali indicando ad es. tempi e modalità di uso (durante le pause, fuori dall’orario di lavoro ovvero non oltre certi limiti);
› se e chi può accedere a file di cronologia temporaneamente conservati;
› quali informazioni sono conservate e per quanto tempo a livello centrale;
› se il datore di lavoro si riserva, ed in che misura, controlli periodici o occasionali indicando anche le ragioni che ne legittimino l’esercizio (verifiche su funzionalità e sicurezza dei sistemi) e le modalità di segnalazione di eventuali abusi riscontrati (avvisi collettivi preventivi e/o comunicazioni individuali in relazione a controlli su singole postazioni);
› le conseguenze di tipo disciplinare eventualmente collegabili ad un accertato uso indebito;
› gli strumenti da adottare per garantire la continuità del servizio in caso di assenza prolungata del dipendente (accesso alla posta e a documenti intranet riservati);
› le misure da adottare per garantire ove richiesto il segreto professionale;
› le misure di sicurezza dei dati e dei sistemi.

Oltre a quanto sopra indicato, resta fermo in ogni caso, l’obbligo di informativa ai sensi dell’art. 13 del codice. I lavoratori hanno infatti diritto ad essere specificatamente e preventivamente informati dei trattamenti dei dati che li possono riguardare con specificazione delle finalità organizzative produttive e di sicurezza (che possono ovviamente riguardare anche la tutela di un diritto in sede giudiziaria) che li giustificano ed in tale contesto vanno anche enunciate le modalità del trattamento ed i soggetti a cui è demandato. Proprio in applicazione dei principi enunciati dall’art. 4 dello Statuto in tema di divieto di controlli a distanza sull’attività lavorativa viene richiamata l’attenzione sull’ illiceità del controllo effettuato per mezzo di software o hardware e ciò anche a prescindere dalla conoscenza da parte del lavoratore ( es. sistemi di video sorveglianza senza accordo sindacale) dell’esistenza del controllo stesso. Era dunque vietato l’utilizzo di sistemi informatici che consentano di ricostruire l’attività dei lavoratori (ad es. lettura e registrazione sistematica di e-mail ; riproduzione ed eventuale memorizzazione di pagine web visualizzate dal lavoratore; lettura e registrazione dei caratteri inseriti tramite tastiera o dispositivo analogo, analisi occulta del p.c. portatili affidati in uso). Quanto ai controlli c.d. preterintenzionali vale a dire esercitati legittimamente nel rispetto dell’art. 4 dello Statuto ma che determinano comunque trattamenti di dati personali riferiti o riferibili ai lavoratori e che possono involgere verifiche di produttività o controlli sui movimenti dei lavoratori, questo può essere lecito a condizione che vengano rispettati gli obblighi di informativa, consenso, consultazione. Nel rispetto del principio di necessità viene sollecitata la minimizzazione dell’uso di dati riferibili a lavoratori e l’utilizzazione di tecnologie idonee a prevenire usi impropri. In tal senso è opportuno valutare preventivamente l’impatto derivante dall’installazione di alcuni programmi o sistemi suscettibili di determinare controlli. Individuare preventivamente anche per tipologie i lavoratori ai quali consentire l’utilizzo della posta elettronica e di internet. Ubicare le postazioni in modo tale da evitare usi illeciti o abusi. Adottare le tecnologie che minimizzano l’uso di dati identificativi ( c.d. Privacy enhancing tecnologies, PET).

Le modifiche del Jobs Act sui controlli a distanza dei lavoratori

Recentemente con l’art. 23 del decreto legislativo n. 151 del 2015, pubblicato in G.U. il 23 settembre 2015, viene modificato lo statuto dei lavoratori, rimodulando i controlli a distanza e aggiungendo ai vecchi impianti audiovisivi anche altri strumenti «dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” e di quelli “utilizzati dal lavoratore per rendere la prestazione lavorativa» (es. pc, smartphone, tablet ma anche la rete aziendale e così via). Ad oggi l’accordo sindacale e l’autorizzazione per l’installazione di questo genere di impianti «non sono richiesti per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e per gli strumenti di registrazione degli accessi e delle uscite». Inoltre, tutte le informazioni così raccolte possono essere utilizzate «a tutti i fini connessi al rapporto di lavoro» nel rispetto però della disciplina della privacy. Un’autentica assurdità logica. Il lavoratore deve averne cioè informazione ma non si capisce bene, se fra quei fini rientrino anche obiettivi tipicamente disciplinari. Cioè se oltre a scopi cosiddetti difensivi il datore possa avvalersi delle informazioni anche per avviare procedure disciplinari e magari licenziare. Da una parte il Jobs Act consente maggiori controlli del datore di lavoro anche senza l’autorizzazione delle rappresentanze sindacali, dall’altra conserva, la necessità del rispetto della privacy. Il problema è che si mescolano disciplina giuslavoristica, riservatezza e codice penale, comportando una serie di incombenze che pochi datori di lavori, in mancanza di nuove linee guida, rischiano di rispettare. Con l’innovazione del Jobs Act, tutte i datori (pubblici e privati) dovranno, prima possibile, innanzitutto capire quali strumenti di controllo richiedano ancora autorizzazioni e/o accordi sindacali, aggiornare i disciplinari sull’uso degli strumenti e sui controlli, rivedere le policy privacy.

La recente giurisprudenza della Corte Europea sul tema del controllo da parte del datore di lavoro dell’e­mail del dipendente

Dopo il Jobs act, con la sentenza del 12 gennaio 2016 la quarta sezione della Corte Europea dei diritti umani ha statuito che, di fatto, il datore di lavoro è legittimato a controllare le e-mail inviate e ricevute dai dipendenti tramite l’account di posta aziendale e finanche legittimato a licenziare il dipendente in caso di utilizzo dell’account aziendale per fini privati in spregio alla policy aziendale che, invece, ne impone l’uso per soli fini professionali (European Court of Human Rights >> BARBULESCU v. ROMANIA – 61496/08 [2016] ECHR 61 12 January 2016). A proposito, si ritiene opportuno fare chiarezza sui motivi che hanno condotto i Giudici della Corte di Strasburgo ad adottare siffatta decisione che, nonostante non sia vincolante per i Tribunali nazionali, assume rilevanza divenendo un valido precedente giurisprudenziale volto a bilanciare il diritto alla privacy ed i doveri contrattuali incombenti sui dipendenti con le esigenze dei datori di lavoro. La pronuncia in esame muove dal caso 61496/08 presentato da un ingegnere romeno per ottenere l’annullamento del suo licenziamento per violazione della privacy dato che, a suo dire, il datore di lavoro lo avrebbe licenziato soltanto dopo essere venuto a conoscenza dell’utilizzo del servizio di messaggeria (intestato all’azienda e creato appositamente per motivi di lavoro) per fini privati e non esclusivamente per motivi di lavoro in violazione delle regole aziendali interne. I giudici di Strasburgo hanno, quindi, stabilito che il controllo da parte del datore di lavoro dell’account di posta aziendale del dipendente non rappresentava invero una violazione della sua privacy e che il frequente utilizzo per fini privati e personali dell’account aziendale ne giustificava dunque il licenziamento. Tuttavia, un approccio sommario alla sentenza in esame potrebbe (erroneamente) indurre a considerare tale pronuncia devastante per la privacy dei lavoratori laddove si ritenesse che il datore di lavoro sia incondizionatamente autorizzato a controllare le e­mail dei dipendenti e, in caso di uso per fini personali dell’account aziendale, esso sia altresì legittimato a licenziare, per giusta causa, il lavoratore. A fronte di quanto sopra esposto, si precisa quanto segue. Ai sensi dell’art. 4, primo comma, Legge n. 300/1970 (Statuto dei Lavoratori) è vietato «l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori», mentre il controllo dell’attività lavorativa è consentito soltanto in via incidentale e, precisamente, esclusivamente laddove l’installazione di strumenti di controllo sia necessario per «esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori» previa definizione di un apposito accordo con le rappresentanze sindacali aziendali (art. 4, secondo comma, dello Statuto dei Lavoratori). Trattandosi di uno strumento il cui utilizzo è richiesto da esigenze produttive e organizzative aziendali, il controllo dell’attività del lavoratore tramite l’accesso e la lettura dell’account aziendale utilizzato dal dipendente potrebbe rientrare tra le ipotesi di cui al secondo comma dell’art. 4 dello Statuto dei Lavoratori e, pertanto, il datore di lavoro non incorrerebbe nel divieto ex art. 4 dello Stat. Lav.. Difatti, pur rappresentando una forma di controllo a distanza lesivo dei diritti dei dipendenti, l’accesso da parte del datore di lavoro all’account aziendale utilizzato dal dipendente potrebbe ritenersi ammissibile se inquadrabile come modalità di “controllo difensivo”, ovvero laddove fosse finalizzato a prevenire o reprimere gli illeciti commessi dal lavoratore in danno dell’impresa. Tale argomentazione e’ altresi’ confermata sia dalla recente sentenza della Corte di Cassazione, sez. lav., 23 febbraio 2012 n. 1822 che ha statuito la liceità dell’attività di controllo del datore di lavoro «[…] diretta ad accertare la perpetuazione di eventuali comportamenti illeciti (poi effettivamente riscontrati) […] posti in essere» dai propri dipendenti, e sia dalla stessa Corte europea dei diritti umani che, nel caso in esame, ha infatti ritenuto lecito il controllo da parte del datore di lavoro in quanto l’account aziendale, pur essendo utilizzato dal lavoratore, risulta comunque uno strumento aziendale di proprietà del datore di lavoro il quale, pertanto, ne ha piena disponibilità di accesso e lettura laddove fosse necessario per appurare il corretto adempimento del dipendente ai compiti professionali durante l’orario lavorativo (cd. controllo difensivo). Assodato dunque che il controllo a distanza da parte del datore di lavoro è vietato ad eccezione dei casi di cui al secondo comma dell’art. 4 dello Statuto dei Lavoratori, occorre altresì stabilire se la lettura delle e­mail presenti nell’account aziendale del dipendente da parte del datore di lavoro rappresenti o meno una violazione della privacy. La Corte europea dei diritti umani ha stabilito che le comunicazione a mezzo posta elettronica rientrato, a tutti gli effetti, nel diritto alla corrispondenza tutelato dall’art. 8 della Convenzione che assicura la tutela alla privacy. Ne consegue pertanto che, al fine di non incorrere in illeciti trattamenti dei dati personali, il datore di lavoro deve osservare le disposizioni previste dalla normativa in materia di privacy. A tal riguardo, le “Linee Guida per posta elettronica e internet” del Garante della privacy italiano, pubblicate in Gazzetta Ufficiale n. 58 del 10 marzo 2007, sanciscono che sia onere del datore lavoro trattare i dati personali derivanti dall’uso di internet e dell’account aziendale secondo liceità e correttezza informando preventivamente i propri dipendenti, tramite la redazione e diffusione di una policy interna, sulle modalità e le condizioni di utilizzo degli strumenti aziendali, sulle forme ed i casi di controllo, sulle sanzioni disciplinari applicabili in caso di indebito utilizzo dei predetti strumenti messi a disposizione dei dipendenti. Tuttavia, fermo restando l’obbligo di informativa preventiva da parte del datore di lavoro in merito alle condizioni di utilizzo dell’account aziendale, accedendo all’account aziendale del dipendente il datore di lavoro (Titolare del trattamento) viene comunque a conoscenza di dati personali, anche sensibili, del dipendente o di terzi, identificati o identificabili. Come precisato dal Garante privacy nelle succitate Linee Guida, l’eventuale controllo sull’uso degli strumenti elettronici forniti ai dipendenti è lecito solo se sono rispettati i principi di pertinenza e non eccedenza e, pertanto, l’eventuale utilizzo del contenuto delle email (rectius, dei dati personali delle e­mail) da parte del datore di lavoro configurerebbe un illecito trattamento dei dati personali. Il datore di lavoro può dunque accedere – in determinate circostanze – alle email presenti nell’account aziendale del dipendente, ma non può utilizzarne il contenuto per sanzionare il lavoratore. A tal proposito, nella sentenza in esame la Corte europea dei diritti umani ha statuito che non vi è stata una violazione della privacy del dipendente rumeno dato che il contenuto delle e­mail private non era stato utilizzato dal datore di lavoro per giustificarne il licenziamento – in tal caso sì che vi sarebbe stata una violazione della privacy del lavoratore – ma il controllo alle comunicazioni di posta elettronica era servito unicamente per dimostrare l’uso improprio degli strumenti aziendali che aveva determinato la scarsa produttività del dipendente nell’orario di lavoro danneggiando l’azienda. Alla luce di quanto sopra, dunque, si evince che nonostante la rilevanza della pronuncia in esame ed il risalto mediatico avuto, il mero abuso da parte del dipendente dell’utilizzo del personal computer in dotazione, della linea internet e/o della casella di posta elettronica aziendale per fini privati e personali non potrebbe giustificare il licenziamento del dipendente dato che, come peraltro precisato dalla recente sentenza della Corte di Cassazione, sez. Lavoro, sentenza 11 giugno – 2 novembre 2015, n. 22353, non vi sarebbe proporzione tra sanzione (licenziamento) ed illecito disciplinare (uso per scopi personali degli strumenti informatici aziendali). Pertanto, come previsto dalla suddetta pronuncia della Cassazione e come implicitamente può desumersi dalla sentenza in commento, per scongiurare il possibile licenziamento è necessario che l’eventuale utilizzo dell’account aziendale da parte del dipendente anche per fini privati non abbia determinato una significativa sottrazione in termini di tempo all’attività di lavoro con conseguente grave danno per l’attività produttiva.

Considerazioni conclusive

Insomma, si è di fatto aperto un fronte che non esisteva all’epoca della sentenza in commento. Oggi, in caso di controllo da parte di un superiore gerarchico dell’e-mail aziendale o pc con password del dipendente, ci potrebbero essere diverse conseguenze, in caso di mancato rispetto delle norme sulla privacy. La prima che il superiore gerarchico o collega del dipendente o altro soggetto potrà essere responsabile personalmente sotto il profilo penale di aver violato la riservatezza del lavoratore, se non autorizzato preventivamente a svolgere tale verifica (tramite informativa già fornita al lavoratore). In secondo luogo, l’eventuale sanzione disciplinare irrogata (compreso il licenziamento), a seguito di fatti emersi dal controllo dei dispositivi del lavoratore, potrebbe essere dichiarata illegittima, in sede giudiziale, in mancanza oltre che della proporzionalità della stessa sanzione disciplinare, di un’adeguata informativa preventiva della privacy al lavoratore. In conclusione, come già più volte sopra esposto, i controlli a distanza sui dispositivi di lavoro in dotazione ai lavoratori potranno avvenire solo nel rispetto della normativa sulla privacy.

Giuseppe Colucci