Prosegue l’iniziativa di mettere in contatto lettori e consulenti legali. Questa settimana, diamo spazio a due quesiti che evidenziano alcune problematiche che l’uso di e-mail e Internet possono provocare in un’azienda
Un commerciale della mia azienda si è messo in malattia. Posso utilizzare le sue credenziali di autenticazione (user name e password) per accedere alla sua mail, al fine di procedere con il mio lavoro?
Sì, è possibile. In materia esiste un importante precedente giurisprudenziale, relativo proprio a un caso simile, in cui un datore di lavoro e il suo capo-reparto erano stati denunciati da una dipendente perché i primi avevano acceduto alla posta elettronica della seconda. Questo caso, portato davanti al Giudice per le Indagini Preliminari del Tribunale di Milano, è stato subito archiviato. Il Giudice, infatti, non ha visto nulla di illegittimo nel comportamento del datore di lavoro, o del responsabile di settore il che è lo stesso, che accedono alla casella postale del lavoratore.
Secondo il Giudice di Milano, infatti, la
password della casella di posta elettronica non ha la funzione di garantire la
privacy del lavoratore nei confronti dell’azienda, ma solo ed esclusivamente
quella di impedire che persone estranee possano entrare in contatto con la sua
corrispondenza.
Non si può sostenere che il datore di lavoro, entrando nella mail del dipendente, effettui un controllo non consentito, dal momento che, secondo l’ordinanza di Milano, “l’uso dell’e-mail costituisce un semplice strumento aziendale a disposizione dell’utente-lavoratore al solo fine di consentire al medesimo di svolgere la propria funzione aziendale … e che, come tutti gli altri strumenti di lavoro forniti dal datore di lavoro, rimane nella completa e totale disponibilità del medesimo [cioè del datore] senza alcuna limitazione”.
Esisterebbe addirittura, secondo il provvedimento in questione, una consuetudine universale in materia di rapporto di lavoro, per cui il dipendente è tenuto a comunicare la propria password di posta elettronica, segnalando gli eventuali cambiamenti, per consentire all’azienda di utilizzare la mailbox tramite altri colleghi o sostituti. Questo aspetto, in effetti, era stato riconosciuto e puntualizzato anche dal Garante della privacy, con un suo parere del 25.2.2001, dove, ricordando che l’utilizzo di una password per ogni dipendente e il frequente cambio della stessa sono imposti come misura di sicurezza obbligatoria per legge, precisa che il dipendente è tenuto a comunicarne gli estremi al responsabile, al datore o all’amministratore di sistema.
Sulla possibilità per il datore di lavoro di controllare la posta elettronica contenuta nelle caselle dei dipendenti è comunque intervenuto anche il Garante, secondo cui è in ogni caso da preferire la predisposizione di un regolamento aziendale sul punto; sarà pertanto preferibile inserire nel codice aziendale, se presente, un paio di disposizioni e avvertimenti circa la titolarità aziendale delle caselle di posta. Se il codice non esiste, sarà preferibile fare una lettera circolare a tutti i dipendenti già presenti in azienda ovvero inserire tali avvertimenti nella lettera di assunzione di quelli che verranno inseriti in azienda in futuro.
Ordinanza del Gip presso il Tribunale
di Milano del 10 maggio 2002 http://solignani.it/portgiuri/casi_materiali/dir_internet/postaelettr/ordgipmiarc.sxw
Parere del Garante circa l’obbligo dei dipendenti di comunicare i cambiamenti
delle credenziali di autenticazione http://solignani.it/portgiuri/casi_materiali/privacy/dps/newsgar/
Ho il sospetto che in azienda qualcuno usi la rete per scaricare file coperti da diritto d’autore come ad esempio cd, film e simili. Cosa succede se capita un controllo? Chi ci va concretamente di mezzo?
Nel caso venga condotta un’indagine, le forze di
polizia sono solo in grado di risalire alla titolarità del computer o della
linea relativamente dai quali partivano o arrivavano connessioni alla o dalla
rete peer-to-peer. Tale computer, naturalmente, è collegato alla rete tramite un
indirizzo Ip, che nel caso delle aziende è quasi sempre fisso e collegato a un
utente in particolare. Il titolare può essere individuato anche nel caso lo
stesso Ip sia variabile, analizzando i log di connessione del provider per
vedere, nel momento in cui sono state commesse le violazioni, a quale utente era
attribuito l’indirizzo in esame. In un primo momento, quindi, viene sempre
“incolpato” il titolare della connessione Internet. Se il contratto per la banda
larga è intestato a una società o ente, la situazione varia a seconda delle
dimensioni.
Se si tratta di una piccola impresa, intendendosi per tale le imprese individuali e le piccole società di persone, solitamente viene indagato direttamente il titolare o i soci, che nelle società di persone sono tutti amministratori, salvo quelle in accomandita per gli accomandanti.
Se si tratta, invece, di una grande azienda o ente suddivisi
in reparti specifici e ben determinati, tra cui uno dedicato alla gestione
informatica dell’azienda, può anche essere indagato il responsabile di questo
reparto. Per lo scambio di materiale protetto sono previste, peraltro, non solo
sanzioni civili, ma anche amministrative e penali, variabili a seconda della
violazione commessa, del numero delle stesse e così via. Le sanzioni sono
regolate dalla Legge 22 aprile 1941 n. 633. Per ogni tipo di sanzione, sarà
l’organo chiamato ad applicarle a giudicare circa l’individuazione del vero
responsabile, con risultati che a volte possono essere anche diversi tra loro.
Può essere, tra l’altro, che le sanzioni civili e amministrative siano peggiori
di quella penale.
Per questi motivi, è bene tutelarsi innanzitutto in
via fattiva. Una misura concreta adottabile, che del resto è comunque imposta
dalle vigenti disposizioni in materia di privacy, è quella di dotare ogni
dipendente di credenziali di autenticazione univoche e di conservare i log di
utilizzo dei computer (auditing) in modo da disporre, in caso di bisogno, di un
principio di prova circa l’effettivo responsabile dell’uso improprio dello
strumento informatico.
Naturalmente, si tratta, in quest’ultimo caso, solo di un piccolo accorgimento che potrebbe benissimo non essere risolutivo, in considerazione del fatto che innanzitutto i log non sono documenti certificati, ma semplici files di testo quasi sempre senza nessuna garanzia circa la provenienza e la integrità.br> In secondo luogo, vale la considerazione per cui l’amministratore di sistema, e spesso tutti coloro che fanno parte del relativo gruppo di lavoro, dispone sempre delle credenziali di autenticazione dei dipendenti. Per non dire del fatto che spesso i dipendenti, per superare alcune restrizioni applicate senza criterio, si scambiano con leggerezza tra loro le credenziali, cosa che non dovrebbe mai essere fatta.
L’ESPERTO
Tiziano Solignani esercita la professione forense a Modena, all’interno di un proprio studio multidisciplinare che si occupa, utilizzando per quanto più possibile le nuove tecnologie, di civile, penale, amministrativo e informatica giuridica. Su Internet ha fondato il gruppo di discussione giuridico della gerarchia It, it.diritto, e lo ha moderato per alcuni anni. Cura inoltre il sito www.solignani.it.
E’ membro del comitato
saggi del Crdd (www.crdd.it), per la riassegnazione dei nomi di dominio, e del
Professional law enforcement di GlobalTrust (www.globaltrust.it), un gruppo di
legali esperti in informatica giuridica e sicurezza.
