Con la sentenza 38331/16 la Corte di cassazione ha stabilito che l’account di posta aziendale è “domicilio privato” del dipendente e che pertanto il datore di lavoro non ha titolo per accedervi. Mentre con la sentenza 18302/16 – confermando un provvedimento del Garante per la protezione dei dati personali – ha stabilito che il datore di lavoro non può conservare i log dei sistemi URL Filtering per sole finalità di sicurezza se non si accorda con i sindacati o se non chiede l’autorizzazione all’ispettorato del lavoro e che non si possono conservare i messaggi di posta elettronica sui server aziendali.
Il fondamento della prima sentenza è indivduato – secondo i giudici – nella circostanza che il possesso esclusivo della password in capo al dipendente trasforma la mailbox in un domicilio privato e – come tale – inviolabile.
E’ francamente difficile capire il ragionamento dei giudici dal momento che una mailbox aziendale, come le altre risorse fisiche e digitali messe a disposizione del dipendente, sono nella titolarità giuridica esclusiva del datore di lavoro. Come sono di proprietà esclusiva del datore di lavoro tutti i messaggi che – a rigor di norma – dovrebbero essere esclusivamente afferenti all’attività lavorativa.
Che poi nei fatti ci siano mille sfumature sulla base delle quali dipendenti poco fedeli utilizzano a scopo personale dei beni aziendali (email inclusa) non cambia il punto di diritto: il dipendente deve usare le risorse aziendali per la sola attività lavorativa e qualsiasi uso diverso integra una violazione del dovere contrattuale di fedeltà e buona fede.
Al di là di ogni altro ragionamento giuridico che si potrebbe sviluppare sul tema, rimane il fatto che questa sentenza è semplicemente sbagliata ma – come purtroppo accade – a meno di un’intervento normativo o di una decisione delle sezioni unite della Cassazione – costituisce un precedente che inserisce una forte incertezza nelle scelte organizzative in materia di tutela delle infrastrutture critiche e prevenzione degli illeciti.
Ancora più pericolosa per la gestione della sicurezza informatica è la seconda sentenza (che conferma la posizione espressa, sul punto, dal Garante dei dati personali) secondo la quale sentenza, in sintesi:
– va tutelata la riservatezza del dipendente, anche sul luogo di lavoro,
– le esigenze di sicurezza e prevenzione di illeciti e i cosiddetti “controlli difensivi” rientrano nell’ambito di applicazione degli articoli 4 e 8 della L.300/70 (Statuto dei lavoratori) e di conseguenza,
– i sistemi di URL filtering devono essere configurati in modo da non memorizzare log, ma limitarsi al blocco selettivo della navigazione,
– i log degli accessi e dei tentativi di accesso non possono essere classificati, associando natura dei siti (politici, religiosi ecc.) ai singoli dipendenti,
– le email non possono essere conservate su server aziendali ai quali possono accedere gli amministratori di sistema.
E’ evidente che, dal punto di vista tecnico, questa sentenza è fortemente penalizzante per una gestione efficace della sicurezza informatica: la possibilità di avere a disposizione, ex post, i log generati dal traffico di rete è il primo strumento per la ricostruzione di un incidente informatico o per l’individuazione di condotte illecite. Inoltre, il divieto di conservazione delle mail sui server implicherebbe, oltre a evidenti problemi nella gestione della business continuity e del disaster recovery, la sostanziale impraticabilità dell’uso di protocolli tipo IMAP, che consentono l’accesso alla mailbox da qualsiasi luogo: un salto indietro nel tempo di quindici anni almeno. Ed è appena il caso di rilevare – collegandosi all’altra sentenza – che i messaggi di posta elettronica sono del datore di lavoro e non dei dipendenti.
Infine, e qui emerge una palese contraddizione nelle posizioni espresse dal Garante dei dati personali e recepite dalla sentenza, garantire la recuperabilità e la disponibilità di dati e informazioni è un preciso obbligo previsto dal d.lgs. 196/03, mentre l’attività di prevenzione di determinati illeciti è addirittura obbligatoria ai sensi del d.lgs. 231/01 (responsabilità penale delle imprese).
Contrariamente a quanto ritengono (alcune sentenze di) Cassazione e Garante, i controlli difensivi sono al di fuori dello Statuto dei lavoratori, come anche gli sono estranei i controlli investigativi (quelli diretti ad raccogliere elementi a sostegno di una denuncia-querela, tramite investigazioni difensive a norma degli articoli 491bis e seguenti del codice di procedura penale).
Per convicersene, basta considerare che la legge tutela il lavoratore da controlli a distanza della loro attività (art. 4 comma I L. 300/70) e sottopone all’accordo con i sindacati – o all’autorizzazione dell’ispettorato – quei controlli a distanza richiesti da esigenze organizzative e produttive o dalla sicurezza sul luogo di lavoro, che però offrono anche la possibilità di sorvegliare i lavoratori (art. 4 comma II). E’ evidente che l’adempimento a obblighi di legge come l’adozione di misure di sicurezza “ulteriori” ai sensi del Codice dei dati personali o l’adozione di misure preventive per songiurare illeciti penali e, più in generale, la tutela dei beni aziendali costituiscono finalità differenti da quelle individuate dallo Statuto dei lavoratori come limite per il controllo dei dipendenti.
E’ chiaro che entrambe le sentenze sono frutto di una scarsa dimestichezza dei giudicanti con i problemi e le necessità di gestione della sicurezza informatica delle infrastrutture critiche, e con l’errata affermazione di prevalenza del diritto alla riservatezza (confuso dalla seconda sentenza con quello al trattamento dei dati personali) su altri beni giuridici di rango certamente non inferiore.
C’è solo da sperare che questi orientamenti vengano superati da altre sentenze più consapevoli del fatto che dal 1970 a oggi sono passati quasi cinquant’anni.
