Sentenze

Se la Cassazione minaccia la sicurezza delle infrastrutture critiche

Due sentenze pericolose, la prima che ha stabilito che l’account di posta aziendale è “domicilio privato” del dipendente e la seconda secondo cui il datore di lavoro non può conservare i log dei sistemi URL Filtering per sole finalità di sicurezza. Vediamo i rischi

Pubblicato il 22 Set 2016

Andrea Monti

Avvocato specializzato IT

security-120621171518

Con la sentenza 38331/16 la Corte di cassazione ha stabilito che l’account di posta aziendale è “domicilio privato” del dipendente e che pertanto il datore di lavoro non ha titolo per accedervi. Mentre con la sentenza 18302/16 – confermando un provvedimento del Garante per la protezione dei dati personali – ha stabilito che il datore di lavoro non può conservare i log dei sistemi URL Filtering per sole finalità di sicurezza se non si accorda con i sindacati o se non chiede l’autorizzazione all’ispettorato del lavoro e che non si possono conservare i messaggi di posta elettronica sui server aziendali.

Il fondamento della prima sentenza è indivduato – secondo i giudici – nella circostanza che il possesso esclusivo della password in capo al dipendente trasforma la mailbox in un domicilio privato e – come tale – inviolabile.

E’ francamente difficile capire il ragionamento dei giudici dal momento che una mailbox aziendale, come le altre risorse fisiche e digitali messe a disposizione del dipendente, sono nella titolarità giuridica esclusiva del datore di lavoro. Come sono di proprietà esclusiva del datore di lavoro tutti i messaggi che – a rigor di norma – dovrebbero essere esclusivamente afferenti all’attività lavorativa.

Che poi nei fatti ci siano mille sfumature sulla base delle quali dipendenti poco fedeli utilizzano a scopo personale dei beni aziendali (email inclusa) non cambia il punto di diritto: il dipendente deve usare le risorse aziendali per la sola attività lavorativa e qualsiasi uso diverso integra una violazione del dovere contrattuale di fedeltà e buona fede.

Al di là di ogni altro ragionamento giuridico che si potrebbe sviluppare sul tema, rimane il fatto che questa sentenza è semplicemente sbagliata ma – come purtroppo accade – a meno di un’intervento normativo o di una decisione delle sezioni unite della Cassazione – costituisce un precedente che inserisce una forte incertezza nelle scelte organizzative in materia di tutela delle infrastrutture critiche e prevenzione degli illeciti.

Ancora più pericolosa per la gestione della sicurezza informatica è la seconda sentenza (che conferma la posizione espressa, sul punto, dal Garante dei dati personali) secondo la quale sentenza, in sintesi:

– va tutelata la riservatezza del dipendente, anche sul luogo di lavoro,

– le esigenze di sicurezza e prevenzione di illeciti e i cosiddetti “controlli difensivi” rientrano nell’ambito di applicazione degli articoli 4 e 8 della L.300/70 (Statuto dei lavoratori) e di conseguenza,

– i sistemi di URL filtering devono essere configurati in modo da non memorizzare log, ma limitarsi al blocco selettivo della navigazione,

– i log degli accessi e dei tentativi di accesso non possono essere classificati, associando natura dei siti (politici, religiosi ecc.) ai singoli dipendenti,

– le email non possono essere conservate su server aziendali ai quali possono accedere gli amministratori di sistema.

E’ evidente che, dal punto di vista tecnico, questa sentenza è fortemente penalizzante per una gestione efficace della sicurezza informatica: la possibilità di avere a disposizione, ex post, i log generati dal traffico di rete è il primo strumento per la ricostruzione di un incidente informatico o per l’individuazione di condotte illecite. Inoltre, il divieto di conservazione delle mail sui server implicherebbe, oltre a evidenti problemi nella gestione della business continuity e del disaster recovery, la sostanziale impraticabilità dell’uso di protocolli tipo IMAP, che consentono l’accesso alla mailbox da qualsiasi luogo: un salto indietro nel tempo di quindici anni almeno. Ed è appena il caso di rilevare – collegandosi all’altra sentenza – che i messaggi di posta elettronica sono del datore di lavoro e non dei dipendenti.

Infine, e qui emerge una palese contraddizione nelle posizioni espresse dal Garante dei dati personali e recepite dalla sentenza, garantire la recuperabilità e la disponibilità di dati e informazioni è un preciso obbligo previsto dal d.lgs. 196/03, mentre l’attività di prevenzione di determinati illeciti è addirittura obbligatoria ai sensi del d.lgs. 231/01 (responsabilità penale delle imprese).

Contrariamente a quanto ritengono (alcune sentenze di) Cassazione e Garante, i controlli difensivi sono al di fuori dello Statuto dei lavoratori, come anche gli sono estranei i controlli investigativi (quelli diretti ad raccogliere elementi a sostegno di una denuncia-querela, tramite investigazioni difensive a norma degli articoli 491bis e seguenti del codice di procedura penale).

Per convicersene, basta considerare che la legge tutela il lavoratore da controlli a distanza della loro attività (art. 4 comma I L. 300/70) e sottopone all’accordo con i sindacati – o all’autorizzazione dell’ispettorato – quei controlli a distanza richiesti da esigenze organizzative e produttive o dalla sicurezza sul luogo di lavoro, che però offrono anche la possibilità di sorvegliare i lavoratori (art. 4 comma II). E’ evidente che l’adempimento a obblighi di legge come l’adozione di misure di sicurezza “ulteriori” ai sensi del Codice dei dati personali o l’adozione di misure preventive per songiurare illeciti penali e, più in generale, la tutela dei beni aziendali costituiscono finalità differenti da quelle individuate dallo Statuto dei lavoratori come limite per il controllo dei dipendenti.

E’ chiaro che entrambe le sentenze sono frutto di una scarsa dimestichezza dei giudicanti con i problemi e le necessità di gestione della sicurezza informatica delle infrastrutture critiche, e con l’errata affermazione di prevalenza del diritto alla riservatezza (confuso dalla seconda sentenza con quello al trattamento dei dati personali) su altri beni giuridici di rango certamente non inferiore.

C’è solo da sperare che questi orientamenti vengano superati da altre sentenze più consapevoli del fatto che dal 1970 a oggi sono passati quasi cinquant’anni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati