Lezione 8
Abuso di internet e di posta elettronica in azienda
I vincoli al controllo
La problematica….
• L’introduzione dell’informatica in azienda, in particolare
nei processi produttivi modifica i rapporti interni tra
componenti dell’impresa.
• Gli strumenti informatici forniscono modalità ulteriori di
esercizio del potere di controllo che, insieme al potere
direttivo e a quello disciplinare, è riconosciuto al datore di
lavoro.
• Il diritto dell’impresa al controllo del corretto utilizzo delle
strutture aziendali deve trovare nuove forme di
coordinamento con i limiti all’esercizio di tale potere,
stabiliti nel nostro ordinamento.
Cosa cambia nei processi produttivi?
• Riduzione dei tempi di esecuzione (da cui deriva
l’aumento del numero degli atti soggetti al controllo)
• Aumento delle procedure automatizzate (che si
sottraggono ad un controllo puntuale)
• Maggiore autonomia dei dipendenti
• Maggiore visibilità dei dipendenti (sia verso l’esterno
che all’interno dell’azienda)
• …….
Uso di internet e posta elettronica:
i rischi per l’azienda
L’abuso o l’uso non consapevole degli
strumenti di comunicazione telematica
determinano una serie di rischi:
•
•
•
•
Rischi commerciali
Rischi legali
Rischi di sicurezza
Rischi di perdita di immagine
Rischi
Entro quale limite l’imprenditore è responsabile
del comportamento del dipendente?
• Responsabilità indiretta
Art. 2049 cc
I padroni e i committenti sono responsabili per i danni
arrecati dal fatto illecito dei loro domestici e commessi
nell’esercizio delle incombenze a cui sono adibiti
• Responsabilità in eligendo e in vigilando
Art. 43 cp
Il delitto (...) è colposo o contro l’intenzione quando
l’evento , anche se preveduto non è voluto dall’agente e si
verifica a causa di negligenza, imprudenza o imperizia,
ovvero per inosservanza di leggi, regolamenti, ordini o
discipline
Rischi commerciali
• compromissione di aree di business
• responsabilità contrattuali nei confronti dei terzi
Rischi
Rischi legali
Violazione di norme di legge:
• download abusivo di software
• accesso a siti dai contenuti illeciti
• diffamazione in rete
• spamming
• upload dei dati
Rischi
Rischi di sicurezza
Rischi di sicurezza
consegu enze su lla
sicurezza azienda le e
sul business
violazioni di legge
abu so di password
problemi de rivanti
dall’attribuzione di
determinat i atti a
persone dive rse da
quelle che l i hanno
commessi
problemi al le
funzionalità dei sistemi
reato informatico
violazione delle no rme
in materia di sicurezza
nel trattamen to dei dati
personali
problemi al la
riservatezza del le
informazioni
reato informatico
diffusione di vi rus
accesso abu sivo ad un
sistema informatico o
telematico
Rischi
reato informatico
violazione delle no rme
in materia di sicurezza
nel trattamen to dei dati
personali
Rischi di perdita di immagine
l’uso dell’indirizzo aziendale comporta la
spendita del nome dell’azienda con
conseguenti danni di immagine:
• nel caso di illeciti e/o reati
• nel caso di errori
Rischi
Le soluzioni
• Adozione di tecnologie di controllo
• Misure organizzative (protocollo elettronico,
archivi organizzati e accessibili)
• Strumenti contrattuali
• Policy interne
• Formazione
• Etc.
Introduzione
Gli strumenti che consentono il controllo
Internet
• Registrazione dei log di
accesso/connessione
• Registrazione dei log di
navigazione
• Strumenti che
impediscono l’accesso a
determinati siti
• Strumenti che
impediscono l’accesso a
determinati siti e al
contempo registrano i
tentativi di accesso
Posta elettronica
• Registrazione dei dati
dell’e.mail (data, ora,
mittente destinatario)
• Registrazione del
contenuto dell’e.mail
• Strumenti che
impediscono il download
di certi file
• Strumenti che
impediscono la ricezione o
l’invio di e.mail che
contengono determinate
parole
Il diritto dell’impresa al controllo del corretto utilizzo
delle strutture e degli strumenti aziendali
*Art. 2086 cc
L’imprenditore è il capo dell’impresa e da lui dipendono
gerarchicamente i suoi collaboratori
*Art. 2087 cc
L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le
misure, che secondo la particolarità del lavoro, l’esperienza e la
tecnica, sono necessarie a tutelare l’integrità fisica e la personalità
morale dei prestatori di lavoro
*Art. 2104 cc
Il prestatore di lavoro (…) deve osservare le disposizioni per
l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore e
dai collaboratori di questo dai quali gerarchicamente dipende.
*Art. 2049 cc
I padroni e i committenti sono responsabili per i danni arrecati dal fatto
illecito dei loro domestici e commessi nell’esercizio delle incombenze
a cui sono adibiti.
*Norme che impongono l’adozione di misure di sicurezza dei sistemi (ad
esempio la normativa in materia di computer crimes o quella a tutela
della sicurezza dei dati personali)
Sentenza
• Cassazione 18 febbraio 1997 n. 1455
Lo statuto dei lavoratori non esclude il potere
dell’imprenditore, ex art. 2086 e 2104 c.c., di controllare
direttamente e mediante la propria organizzazione interna
il corretto adempimento delle prestazioni lavorative e,
quindi, di accertare mancanze specifiche dei dipendenti
commesse o in corso di esecuzione, e ciò
indipendentemente dalle modalità di controllo, che può
avvenire anche in maniera occulta senza che vi ostino nè il
principio di buona fede nell’esecuzione dei rapporti, nè il
divieto di cui all’articolo 4 riferito esclusivamente all’uso
di apparecchiature per il controllo a distanza.
I limiti al potere di controllo
• Statuto dei lavoratori
articolo 4
articolo 8
• Per i lavoratori pubblici
articolo 55 del decreto legislativo 29/93 che
richiama lo Statuto dei lavoratori
• Normativa a tutela dei dati personali
• Normativa a tutela della corrispondenza
Statuto dei lavoratori: articolo 4
E’ vietato l’uso di impianti audiovisivi e di altre
apparecchiature per finalità di controllo a distanza
dei lavoratori. Gli impianti e le apparecchiature di
controllo che siano richiesti da esigenze
organizzative e produttive, ovvero dalla sicurezza
del lavoro, ma dai quali derivi anche la possibilità
di controllo a distanza dell’attività dei lavoratori,
possono essere installati soltanto previo accordo
con le rappresentanze sindacali aziendali, oppure,
in mancanza di queste, con la commissione
interna. In difetto di accordo, su istanza del datore
di lavoro, provvede l’ispettorato del lavoro
dettando, ove occorra, le modalità per l’uso di tali
impianti.
Cosa stabilisce l’articolo 4?
• Divieto assoluto di installazione ed uso di
apparecchiature esclusivamente destinate al
controllo dell’attività dei lavoratori
• Divieto derogabile di installazione di
apparecchiature che rispondono ad esigenze
produttive, organizzative o di sicurezza e
che rendono possibile il controllo
dell’attività dei lavoratori
Interpretazioni giurisprudenziali
relative all’articolo 4
Il divieto sussiste anche:
• quando il controllo è discontinuo, a meno che non
si esaurisca nel momento in cui in cui il
lavoratore consapevole si presti ad essere
controllato (Trib. Milano 29.9.90)
• quando i lavoratori sono stati preavvertiti (Cass.
9211 del 16.9.97)
Il divieto non sussiste:
• (!) quando comporta il controllo della condotta
illecita del dipendente e non l’attività lavorativa
svolta dal lavoratore (Cass. 4746 del 3.4.02)
Condizioni alla deroga del divieto
1) Il sistema deve essere necessario per ragioni
organizzative, produttive o di sicurezza del
lavoro
Per i lavoratori del settore privato:
2) Accordo con le rappresentanze sindacali o in
mancanza con la commissione interna. Se non si
raggiunge l’accordo, il datore di lavoro può
chiedere l’intervento dell’Ispettorato del lavoro
Per i lavoratori del settore pubblico:
2) Delibera di Giunta, sentiti gli organismi
rappresentativi dei dipendenti
Statuto dei lavoratori: articolo 8
E’ fatto divieto al datore di lavoro, ai fini
dell’assunzione, come nel corso dello
svolgimento del rapporto di lavoro, di
effettuare indagini, anche a mezzo di terzi,
sulle opinioni politiche, religiose o sindacali
del lavoratore, nonché su fatti non rilevanti
ai fini della valutazione dell’attitudine
professionale del lavoratore.
Normativa a tutela dei dati personali
• Obbligo di informativa
• Consenso (quando richiesto o per il trattamento di
dati sensibili)
• Autorizzazione del Garante per il trattamento di
dati sensibili
• Rispetto dei principi di cui all’articolo 3 di
necessità del trattamento e all’articolo 11di
pertinenza e non eccessività dei dati
• Artt. 113 e 114 TU Privacy
Articoli 113 e 114 TU Privacy
• art. 113 (Raccolta di dati e pertinenza)
Resta fermo quanto disposto dall’art. 8 della
legge 300/70
• art. 114 (Controllo a distanza)
Resta fermo quanto disposto dall’art. 4 della
legge 300/70
Normativa a tutela della corrispondenza
• Articolo 15 della Costituzione
La libertà e la segretezza della corrispondenza e di
ogni altra forma di comunicazione sono inviolabili
(…)
• Articoli 616 e 618 c.p.(estratto)
E’ reato prendere cognizione del contenuto di una
corrispondenza chiusa diretta ad altri, sottrarre una
corrispondenza chiusa o aperta, distruggerla,
rivelarne il contenuto.
Per corrispondenza si intende anche quella
informatica o telematica ovvero effettuata con
ogni altra forma di comunicazione a distanza
Legittimità degli strumenti che
consentono il controllo
Sulla base delle considerazioni fatte, si
verificano uno per uno gli strumenti che
consentono il controllo del lavoratore e se
ne individuano le condizioni perché il loro
ricorso sia legittimo
Internet
Strumenti
Riferimento
normativo rilevante
Condizioni di
legittimità
Registrazione dei log
di connessione
Art. 4 SL
Legge 675/96
Accordo con i sindacati
Informativa e consenso
Registrazione dei log
di navigazione
Art. 4 SL
+ 675/96
Accordo con i
sindacati,Informativa e
Consenso
Divieto
Art. 8 SL
Strumenti che
impediscono l’accesso
a determinati siti
Strumenti che
registrano i tentativi di
accedere ai siti vietati
Si tratta di strumenti
legittimi se si limitano
ad impedire l’accesso
Art. 4 SL
+ 675/96
Art. 8 SL
Accordo con i
sindacati,Informativa e
Consenso
Divieto
Sentenza
• Tribunale Milano 14 giugno 2001
“Integra gli estremi della giusta causa di licenziamento
il comportamento di una dipendente che, al posto di
svolgere la prestazione lavorativa, effettua per più
giorni collegamenti Internet di circa due ore ciascuno
come dimostrato dai dati del provider nonché dal fatto
che le connessioni internet scompaiono quasi del tutto
nei giorni di assenza della dipendente stessa.”
Aspetti di rilievo della fattispecie
1.
il servizio internet veniva fornito da un provider
2.
in un primo periodo non vi era possibilità di rilevare quale
computer fosse collegato alla rete. La prova viene desunta
dalla coincidenza del venir meno dei collegamenti
all’assenza della lavoratrice dall’ufficio
3.
in un secondo periodo, il datore di lavoro chiede al
provider di rilevare i collegamenti delle singole macchine. I
log evidenziano che i collegamenti avvenivano dal
computer della lavoratrice.
Questioni aperte
• la sentenza non pone il problema della legittimità della
rilevazione dei log, anche perchè marginale rispetto alla
vicenda (solo in un secondo tempo i dati di connessione
sono associati a computer determinati e quindi a persone
identificate)
• la fattispecie solleva però la questione della legittimità
della rilevazione dei log da parte di un soggetto terzo,
l’internet provider.
Sentenza
• Cassazione 30751 del 13 settembre 2002
“Può rinvenirsi la fattispecie del peculato d’uso
nel caso del dipendente pubblico che usi
illegittimamente il telefono d’ufficio,
ricorrendone per fini privati oltre i margini della
normale tolleranza”
Aspetti di rilievo della fattispecie
• Rapporto tra PA e dipendente pubblico
• Il decreto del Ministro della funzione pubblica del 31
marzo 1994 stabilisce che "salvo casi eccezionali dei quali
informa il dirigente dell’ufficio, il dipendente non utilizza
le linee telefoniche dell’ufficio per effettuare chiamate
personali".
• Le chiamate effettuate erano 64 in due mesi
Questioni aperte
• La sentenza nulla dice a proposito della
legittimità della registrazione del numero e della
durata delle telefonate.
Sulla legittimità di tali registrazioni si è
pronunciata la giurisprudenza meno recente che
condiziona a quanto stabilito dall’articolo 4 dello
statuto dei lavoratori ..............
.....la legittimità delle registrazioni
dei centralini telefonici
• l’uso di un elaboratore con funzioni di centralino telefonico, quando in tal modo è
possibile rilevare analiticamente i dati relativi a ogni singola telefonata effettuata
dai dipendenti e quando è possibile per alcuni utenti inserirsi nelle telefonate di
altri mediante la cosiddetta «intrusione» (Pretura Milano, 9 novembre 1984);
• l’impiego di un centralino telefonico automatico atto a rilevare e a registrare,
tramite una stampante, tutta una serie di dati, quali il numero dell’apparecchio
interno chiamante, il numero dell’utente esterno, la data, l’ora e il minuto d’inizio,
la durata e il numero degli scatti di ogni singola conversazione, e con possibilità di
inclusione diretta in linea (Pretura Milano, 4 ottobre 1988);
accordo con le rappresentanze sindacali
Sentenza
Cassazione 4746 del 3 aprile 2002
Ai fini della operatività del divieto di utilizzo di
apparecchiature per il controllo a distanza dell’attività dei
lavoratori ex art. 4 legge 300/70, è necessario che il controllo
riguardi l’attività lavorativa, mentre devono ritenersi
certamente fuori dall’ambito di applicazione della norma i
controlli diretti ad accertare condotte illecite del lavoratore
(cd controlli difensivi) quali, ad esempio, i sistemi di
controllo dell’accesso ad aree riservate o, appunto, gli
apparecchi di rilevazione di telefonate ingiustificate.
Questioni aperte
La sentenza esclude l’applicazione dell’articolo 4 ai cosiddetti
controlli difensivi, quelli volti a rilevare i comportamenti
illeciti.
Così facendo, però, pare consentire anche i controlli sui
comportamenti leciti.
Il che è in evidente contrasto con l’articolo 4 che dice “ è vietato
l’uso di impianti audiovisivi e di altre apparecchiature per
finalità di controllo a distanza dei lavoratori (...)”
Se il ragionamento della Cassazione fosse coerente, quando
troverebbe applicazione l’articolo in questione?
Posta elettronica
Strumenti
Riferimento
normativo rilevante
Registrazione dei dati Art. 4 SL
di e.mail (data,mittente Legge 675/96
destinatario)
Registrazione del
contenuto dell’e.mail
Condizioni di
legittimità
Accordo con i sindacati
Informativa e consenso
Attenzione: tutela dei
terzi
Artt. 616 e 618 cp
Divieto (?)
Art. 8 SL
Strumenti che
impediscono la
ricezione di certi file
Si tratta di strumenti
legittimi se si limitano
a fare quanto indicato
Strumenti che
impediscono la
ricezione di e.mail che
contengono
determinate parole
Si tratta di strumenti
legittimi se si limitano
a fare quanto indicato
Le posizioni della dottrina
Ma la posta che giunge nella mailbox aziendale è da
considerarsi corrispondenza tutelata ai sensi dell’articolo 15
Cost. anche nei confronti del datore di lavoro?
Due posizioni in dottrina:
1.
Si, sempre.
2.
Si, ma solo con riferimento alla posta privata
Ordinanza
Tribunale Milano GUP 10 maggio 2002
L’accesso da parte di terzi alla casella di posta
elettronica aziendale in uso al lavoratore sebbene
protetta da codici identificativi, non costituisce
violazione della sfera privata del lavoratore, non
essendo in tal caso configurabile un diritto all’utilizzo
esclusivo e privato.
Aspetti di rilievo della
fattispecie
• Durante un periodo di assenza per ferie della
dipendente, la sua responsabile entra nella casella di
posta allo scopo dichiarato di accedere alle e. mail
relative alla clientela
• In quell’occasione, rileva come la dipendente
ricevesse e inviasse anche e.mail attinenti progetti
estranei all’attività lavorativa
• Per tale ragione, il datore di lavoro procede al
licenziamento della dipendente
Questioni aperte
Punti salienti della
ordinanza
la funzione svolta
dagli identificativi è
solo quella di
proteggere i predetti
strumenti dall’accesso
di persone estranee
alla società.
Infatti, si dice, è
consentito lo scambio
di password
Il riferimento alla
normativa a
tutela dei dati
personali è
inconferente con
la questione
La casella di posta
elettronica è da
considerarsi equiparata
ai normali strumenti di
lavoro dell’impresa e
quindi in uso ai
dipendenti per le sole
attività aziendali
Aspetti problematici
Lo scambio di
password non è
ammesso dal dpr
318/99
Affermazione
apodittica. La
questione non è
affrontata
dall’ordinanza
In quanto strumenti di
lavoro, si pone il
problema del controllo
a distanza del
lavoratore, che
l’ordinanza non
affronta
I rapporti con i fornitori dei
servizi di telecomunicazione
• Tutto quanto detto, presuppone che il server sia
gestito dal datore di lavoro.
• Nel caso in cui sia gestito da un terzo, agli
obblighi suddetti si aggiungono quelli che
legittimano l’attività in questione quando
effettuata da un estraneo al rapporto di lavoro.
Condizioni di legittimità del controllo da parte del
fornitore di servizi di telecomunicazione
decr.leg. 196/03 art. 123
dpr 445/00
I dati personali relativi al traffico sono
cancellati o resi anonimi se non sono più
necessari alla trasmissione della
comunicazione. E’ consentita la
conservazione per la fatturazione o per i
pagamenti dell’interconnessione.
Ai fini della commercializzazione di
servizi di telecomunicazione, propri o
altrui, il fornitore di un servizio di
telecomunicazioni accessibile al pubblico
può trattare i dati solo se l’abbonato o
l’utente ha dato il proprio consenso.
Gli addetti alle operazioni di
trasmissione per via telematica di atti,
dati e documenti formati con
strumenti informatici non possono
prendere cognizione della
corrispondenza telematica, duplicare
con qualsiasi mezzo o cedere a terzi a
qualsiasi titolo informazioni anche in
forma sintetica o per estratto
sull'esistenza o sul contenuto di
corrispondenza, comunicazioni o
messaggi trasmessi per via telematica,
salvo che si tratti di informazioni per
loro natura o per espressa indicazione
del mittente destinate ad essere rese
pubbliche.
Bibliografia
• Per un approfondimento della problematica si
veda
Andrea Stanchi “Privacy, rapporto di lavoro,
monitoraggio degli accessi ad Internet,
monitoraggio delle e.mail e normative di tutela
contro il controllo a distanza. Appunti per una
riflessione interpretativa”
in www.di-elle.it/approfondimenti_frameset.htm
• L’ordinanza 10 giugno 2002 del tribunale di
Milano può essere consultata in
www.infogiur.com