Prosegue l’iniziativa di mettere in contatto lettori e consulenti legali. Questa settimana, diamo spazio a due quesiti che evidenziano alcune problematiche che l’uso di e-mail e Internet possono provocare a un’azienda. Tramite sentenze e pareri specifici facciamo luce su alcuni aspetti oscuri della
Un commerciale della mia azienda si è messo in malattia. Posso utilizzare le sue credenziali di autenticazione (user name e password) per accedere alla sua mail, al fine di procedere con il mio lavoro?
Sì, è possibile. In materia esiste un importante precedente giurisprudenziale, relativo proprio a un caso simile, in cui un datore di lavoro e il suo capo-reparto erano stati denunciati da una dipendente perché i primi avevano acceduto alla posta elettronica della seconda. Questo caso, portato davanti al Giudice per le Indagini Preliminari del Tribunale di Milano, è stato subito archiviato. Il Giudice, infatti, non ha visto nulla di illeggittimo nel comportamento del datore di lavoro, o del responsabile di settore il che è lo stesso, che accedono alla casella postale del lavoratore.
Secondo il Giudice di Milano, infatti, la password della casella di posta elettronica non ha la funzione di garantire la privacy del lavoratore nei confronti dell’azienda, ma solo ed esclusivamente quella di impedire che persone estranee possano entrare in contatto con la sua corrispondenza. Non si può sostenere che il datore di lavoro, entrando nella mail del dipendente, effettui un controllo non consentito, dal momento che, secondo l’ordinanza di Milano, “l’uso dell’e-mail costituisce un semplice strumento aziendale a disposizione dell’utente-lavoratore al solo fine di consentire al medesimo di svolgere la propria funzione aziendale … e che, come tutti gli altri strumenti di lavoro forniti dal datore di lavoro, rimane nella completa e totale disponibilità del medesimo [cioè del datore] senza alcuna limitazione“.
Esisterebbe addirittura, secondo il provvedimento in questione, una consuetudine universale in materia di rapporto di lavoro, per cui il dipendente è tenuto a comunicare la propria password di posta elettronica, segnalando gli eventuali cambiamenti, per consentire all’azienda di utilizzare la mailbox tramite altri colleghi o sostituti. Questo aspetto, in effetti, era stato riconosciuto e puntualizzato anche dal Garante della privacy, con un suo parere del 25.2.2001, dove, ricordando che l’utilizzo di una password per ogni dipendente e il frequente cambio della stessa sono imposti come misura di sicurezza obbligatoria per legge, precisa che il dipendente è tenuto a comunicarne gli estremi al responsabile, al datore o all’amministratore di sistema.
Sulla possibilità per il datore di lavoro di controllare la posta elettronica contenuta nelle caselle dei dipendenti è comunque intervenuto anche il Garante, secondo cui è in ogni caso da preferire la predisposizione di un regolamento aziendale sul punto; sarà pertanto preferibile inserire nel codice aziendale, se presente, un paio di disposizioni e avvertimenti circa la titolarità aziendale delle caselle di posta. Se il codice non esiste, sarà preferibile fare una lettera circolare a tutti i dipendenti già presenti in azienda ovvero inserire tali avvertimenti nella lettera di assunzione di quelli che verranno inseriti in azienda in futuro.
• Ordinanza del GIP presso il Tribunale di Milano del 10 maggio 2002 http://solignani.it/portgiuri/casi_materiali/dir_internet/postaelettr/ordgipmiarc.sxw
• Parere del Garante circa l’obbligo dei dipendenti di comunicare i cambiamenti delle credenziali di autenticazione http://solignani.it/portgiuri/casi_materiali/privacy/dps/newsgar/
Ho il sospetto che in azienda qualcuno usi la rete per scaricare file coperti da diritto d’autore come ad esempio cd, film e simili. Cosa succede se capita un controllo? Chi ci va concretamente di mezzo?
Nel caso venga condotta un’indagine, le forze di polizia sono solo in grado di risalire alla titolarità del computer o della linea relativamente dai quali partivano o arrivavano connessioni alla o dalla rete peer-to-peer. Tale computer, naturalmente, è collegato alla rete tramite un indirizzo IP, che nel caso delle aziende è quasi sempre fisso e collegato a un utente in particolare. Il titolare può essere individuato anche nel caso lo stesso IP sia variabile, analizzando i log di connessione del provider per vedere, nel momento in cui sono state commesse le violazioni, a quale utente era attribuito l’indirizzo in esame. In un primo momento, quindi, viene sempre “incolpato” il titolare della connessione Internet. Se il contratto per la banda larga è intestato a una società o ente, la situazione varia a seconda delle dimensioni. Se si tratta di una piccola impresa, intendendosi per tale le imprese individuali e le piccole società di persone, solitamente viene indagato direttamente il titolare o i soci, che nelle società di persone sono tutti amministratori, salvo quelle in accomandita per gli accomandanti. Se si tratta, invece, di una grande azienda o ente suddivisi in reparti specifici e ben determinati, tra cui uno dedicato alla gestione informatica dell’azienda, può anche essere indagato il responsabile di questo reparto.
Per lo scambio di materiale protetto sono previste, peraltro, non solo sanzioni civili, ma anche amministrative e penali, variabili a seconda della violazione commessa, del numero delle stesse e così via. Le sanzioni sono regolate dalla Legge 22 aprile 1941 n. 633. Per ogni tipo di sanzione, sarà l’organo chiamato ad applicarle a giudicare circa l’individuazione del vero responsabile, con risultati che a volte possono essere anche diversi tra loro. Può essere, tra l’altro, che le sanzioni civili e amministrative siano peggiori di quella penale.
Per questi motivi, è bene tutelarsi innanzitutto in via fattiva. Una misura concreta adottabile, che del resto è comunque imposta dalle vigenti disposizioni in materia di privacy, è quella di dotare ogni dipendente di credenziali di autenticazione univoche e di conservare i log di utilizzo dei computer (auditing) in modo da disporre, in caso di bisogno, di un principio di prova circa l’effettivo responsabile dell’uso improprio dello strumento informatico. Naturalmente, si tratta, in quest’ultimo caso, solo di un piccolo accorgimento che potrebbe benissimo non essere risolutivo, in considerazione del fatto che innanzitutto i log non sono documenti certificati, ma semplici files di testo quasi sempre senza nessuna garanzia circa la provenienza e la integrità. In secondo luogo, vale la considerazione per cui l’amministratore di sistema, e spesso tutti coloro che fanno parte del relativo gruppo di lavoro, dispone sempre delle credenziali di autenticazione dei dipendenti. Per non dire del fatto che spesso i dipendenti, per superare alcune restrizioni applicate senza criterio, si scambiano con leggerezza tra loro le credenziali, cosa che non dovrebbe mai essere fatta.
