Electronet. Audio e videosorveglianza, localizzazione GPS, sicurezza, prodotti per l'investigazione.

Tratto da "Punto Informatico" del 02/03/2005.
Tecnologie e controlli sui lavoratori
di L. Giacopuzzi
Se l'email personale è privata e riservata quella aziendale non lo è affatto. Ma la supervisione e il controllo dei dipendenti non si fermano alla posta elettronica

02/03/05 - Commenti - Roma
È indubbio che in un contesto aziendale un utilizzo dissennato degli strumenti informatici attribuirebbe al datore di lavoro un potere di controllo sui lavoratori talmente invasivo da compromettere la dignità e la riservatezza del dipendenti stessi. Il tema, sebbene di stretta attualità, non è ancora stato oggetto di una regolamentazione che lo disciplini compiutamente.
In attesa, dunque, che si disegnino i confini normativi per un corretto rapporto tra tecnologia, impresa e lavoro, al momento tocca all'interprete individuare il punto di equilibrio tra il diritto del lavoratore al rispetto della propria sfera privata e quello, opposto, del datore di monitorare l'attività del dipendente, per evitare la commissione di illeciti. E lo sforzo interpretativo non è di poco conto.
Un aspetto molto dibattuto riguarda, ad esempio, la definizione dei limiti oltre i quali l'attività di controllo sarebbe illecita, perché attuata in spregio alle garanzie che il nostro ordinamento accorda al lavoratore (segnatamente a quelle tracciate dallo Statuto dei Lavoratori).
È ammissibile, per esempio, controllare la posta elettronica del dipendente, in sua assenza? Il quesito, sul quale gli imprenditori si interrogano con sempre maggior frequenza, impone un breve approfondimento. La risposta non può che essere ricercata nelle norme di legge.
Partiamo, perciò, da un dato normativo: l'art. 5 L.547/93. Che recita testualmente: "Per corrispondenza si intende quella epistolare, telegrafica o telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza".
La giurisprudenza amministrativa (cfr. T.A.R. Lazio, Sez. I, 15.11.01 n. 9425), del resto, ribadisce che la posta elettronica deve essere tutelata alla stregua della corrispondenza epistolare ed è quindi caratterizzata dalla "segretezza". Sulla stessa lunghezza d'onda è il Garante per la privacy (si veda, sul punto, la Newsletter 12-18.07.99).
Ne consegue che è vietato leggere i messaggi se non si è i destinatari, pena l'applicazione dell'art.616 c.p., secondo il quale "chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta... è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno". Vi è di più. Si punisce anche chi, oltre che prendere cognizione, sottrae, distrae la corrispondenza, la sopprime o la distrugge.
Se quanto precede è un quadro - pur se sintetico - della tutela che il nostro ordinamento accorda alla corrispondenza (e dunque, come abbiamo visto, anche a quella inviata o ricevuta tramite posta elettronica), quando si parla di "e-mail aziendale" bisogna fare attenzione. E molta, perché in azienda lo scenario è parzialmente diverso. Prendiamo le mosse da un caso concreto, un caso che potrebbe definirsi "ordinario". Questi, in estrema sintesi, i fatti.
Ad un'impiegata viene assegnata, come a tutti gli altri dipendenti, una casella di posta elettronica aziendale (nome.cognome@azienda.it). Durante l'assenza per ferie dell'impiegata, la sua responsabile ne controlla la posta e si imbatte in comunicazioni inerenti progetti di lavoro "personali", estranei cioè a quelli gestiti dalla dipendente per conto dell'azienda. Ravvisando in tale condotta una violazione dei doveri relativi al rapporto di lavoro, il responsabile della società licenzia l'impiegata. Quest'ultima, ritenuto violato il proprio diritto costituzionale alla segretezza della corrispondenza, impugna il licenziamento e sporge contestuale querela nei confronti della propria responsabile, per il reato di cui all'art. 616 c.p. (violazione di corrispondenza).
Il P.M. però avanza richiesta di archiviazione. La dipendente propone allora opposizione, che viene tuttavia respinta dal GIP, con un'ordinanza particolarmente significativa, divenuta presto "celebre". Sostiene il GIP (cfr. ordinanza GIP Tribunale di Milano del 10 maggio 2002) che quanto affermato nell'art. 616 c.p. non può trovare applicazione con riferimento all'ipotesi di e-mail aziendale. La casella di posta elettronica, in altre parole, è sì tutelata, ma quando a metterla a disposizione è il datore di lavoro perde tutta la sua "riservatezza", in quanto strumento che l'azienda mette a disposizione del lavoratore al solo fine di consentirgli di svolgere la propria attività: come tale rimane nella completa e totale disponibilità del datore di lavoro, senza alcuna limitazione.
La mailbox aziendale - pur se "personale" (perché assegnata al singolo dipendente che ha un proprio "username" ed una propria "password" per accedervi) - deve quindi essere intesa come semplice "strumento di lavoro", e nulla più. "Personalità" non significa necessariamente "privatezza", dal momento che l'e-mail aziendale, proprio perché tale, rimane bene aziendale, accessibile a tutti gli altri dipendenti autorizzati, ed al datore di lavoro in primis. La titolarità degli spazi di posta elettronica, pertanto, deve essere ricondotta esclusivamente all'azienda.
È stato così precisato nella pronuncia che "il lavoratore che utilizza la casella di posta elettronica aziendale si espone al "rischio" che anche altri lavoratori della medesima azienda - che, unica, deve considerarsi titolare dell'indirizzo - possano lecitamente entrare nella sua casella e leggere i messaggi (in entrata e in uscita) ivi contenuti".
In conclusione, come è stato ben affermato (Aterno, in "No al controllo a distanza", Guida "La mia privacy", pag. 64 ss., Il Sole 24 Ore - 2004), il dipendente che utilizza l'indirizzo e-mail anche a fini privati ed extralavorativi non potrà invocare la segretezza della corrispondenza, o impedire un controllo, eccependo l'art. 4 dello Statuto dei Lavoratori, perché l'indirizzo non è privato, ma aziendale, e costituisce un semplice strumento messo a disposizione dell'utente-lavoratore dall'impresa per consentirgli di svolgere al meglio l'attività.
L'ordinanza del Tribunale di Milano prende posizione sui limiti di utilizzo "per scopi privati" degli strumenti aziendali (segnatamente, di quelli informatici) messi dal datore a disposizione del dipendente. In uno scenario aziendale, però, la questione si allarga, per investire il più generale problema della determinazione dei limiti oltre i quali l'attività di controllo non è consentita.
In questa prospettiva assume particolare rilievo l'art. 4 L.300/70 (c.d. "Statuto dei Lavoratori"), che stabilisce in modo inequivoco il divieto di controllo a distanza (attuabile, ad esempio, tramite sistemi di videosorveglianza - 1). La norma poc'anzi citata, al primo comma, così dispone: "È vietato l'uso di apparecchi audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori".
La durezza del divieto è però mitigata al comma successivo, che - contemperando l'interesse del datore di lavoro alla produzione con quello del dipendente alla propria riservatezza - ammette la presenza in azienda di impianti e apparecchiature di controllo (ove - beninteso - l'installazione avvenga per esigenze produttive o di sicurezza del lavoro), dai quali derivi anche la possibilità di controllo a distanza dei lavoratori.
In tal caso, comunque, l'installazione di detti impianti è il momento conclusivo di un iter obbligato, che prevede l'accordo con le rappresentanze sindacali aziendali o, in mancanza, con la commissione interna. A questo punto, giova dar conto di un'importante pronuncia giurisprudenziale che rileva ai fini dell'operatività del divieto di utilizzo di apparecchiature per il controllo a distanza, tracciando una linea di demarcazione tra "controlli consentiti" e "controlli vietati".
Invertendo il precedente orientamento - il quale ricomprendeva all'interno del divieto ogni tipo di controllo sulle attività del lavoratore, comprensiva cioè della prestazione lavorativa e di tutti i comportamenti connessi (le c.d. "licenze comportamentali") - la pronuncia in precedenza citata (Cass., Sez. Lavoro, 3 aprile 2002 n. 4746) ha considerato leciti i c.d. "controlli difensivi", ossia quelli che non attengono all'attività lavorativa, ma che sono diretti ad accertare eventuali condotte illecite del lavoratore.
Ai fini dell'operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell'attività dei lavoratori previsto dall'art. 4 della L.300/70 - si afferma nella ricordata sentenza - è necessario che il controllo riguardi (direttamente o indirettamente) l'attività lavorativa, mentre devono ritenersi certamente fuori dall'ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi, quali - ad esempio - gli apparecchi di rilevazione di telefonate ingiustificate).
Benchè, dunque, i controlli difensivi siano leciti, vi è da sottolineare la difficoltà operativa di predisporre un sistema di controllo che escluda in radice la possibilità di effettuare controlli diversi da quelli difensivi (il problema, all'evidenza, si pone in relazione agli impianti di videosorveglianza; è invece, ad esempio, agevolmente superabile laddove si faccia uso di tecnologie RFID per rilevare l'accesso ad aree riservate).
La disamina deve essere condotta con attenzione, poiché ove il controllo potesse aver ad oggetto la prestazione lavorativa, bisognerebbe necessariamente percorrere la strada indicata dal 2 comma dell'art.4 St.Lav.
Sebbene a parere di chi scrive - che, sul punto, trova conforto anche nella pronuncia della Suprema Corte poc'anzi esaminata - i controlli difensivi siano consentiti al datore di lavoro a prescindere da ogni trattativa a monte con le RSU, per completezza va ricordata la diversa opinione di chi (Aterno, Secco, tra gli altri) sostiene che anche detti controlli richiederebbero il vaglio della procedura contrattuale o autorizzativa prevista dall'art. 4, 2 co, St.Lav.
In ogni caso, appare evidente che - specie nell'attuale contesto storico-normativo, caratterizzato da una legislazione che non riesce a mettersi al passo con il progresso tecnologico - l'azienda dovrà adottare una politica aziendale trasparente, che espliciti con chiarezza al dipendente i limiti di utilizzo delle risorse informatiche assegnategli per lo svolgimento delle mansioni lavorative.
In attesa di un intervento chiarificatore a livello legislativo, questa sembra essere la via per contemperare equamente gli interessi in gioco: quello del dipendente a non subire arbitrarie intrusioni nella propria sfera privata e quello dell'imprenditore ad evitare la commissione di illeciti durante l'attività lavorativa.

E' guerra sullo spionaggio via e-mail

Si moltiplicano le inchieste sul controllo della posta elettronica da parte di polizia e Fbi
di
Laura Turini

Siamo tutti spiati, questo lo sapevamo. Quello che invece ignoravamo è che l'intercettazione delle comunicazioni fosse così estesa e soprattutto legalizzata.

Echelon, il noto sistema di spionaggio statunitense, non ha solo insegnato che è possibile e facile acquisire dati relativi ai colloqui tra comuni cittadini, ma ha anche dimostrato che non sempre questo ti viene per supreme ragioni di difesa nazionale. Sapere tutto di tutti è indubbiamente molto comodo e agevola non poco anche la gestione degli affari. I governi, in un modo o in un altro, stanno mettendo a punto sistemi di intercettazione in grado di fornire loro il maggiore numero di dati possibili da utilizzare all'occorrenza, e Internet sembra essere un terreno molto fertile per questo tipo di attività, data la semplicità con cui le informazioni possono essere intercettate, registrate e archiviate.

IL SISTEMA "CARNIVORE" DELL'FBI.

Negli Stati Uniti l'attenzione di tutti è stata recentemente attratta da un ennesimo scandalo in fatto di privacy, che si chiama "Carnivore", e che già dal nome dice molto della sua sostanza. Si tratta di un programma che permette all'Fbi di controllare qualsiasi messaggio di posta elettronica che passi attraverso il server di un provider. Per farlo, il software controlla tutta quanta la posta e invia direttamente all'Fbi quella che contiene alcune parole chiave o che viene inviata o spedita da un certo indirizzo facente capo a un indagato. È lo stesso ente di polizia che provvede a installare il programma presso i provider medio piccoli, mentre quelli più importanti iniziano a organizzarsi con propri software, in grado di scansionare il contenuto dei messaggi degli utenti e riferire di quelli illeciti alle forze dell'ordine. Secondo l'Fbi non ci sarebbe nulla di scandaloso, in quanto si tratterebbe di un normale controllo sulle attività illecite, tendente a reprimere la commissione di reati anche tramite Internet, in modo analogo a quanto avviene nella realtà di tutti i giorni.

Non sembrano dello stesso avviso le associazioni per le libertà civili che hanno chiesto e ottenuto l'apertura di un'inchiesta, proprio per accertare se il sistema spia solo i soggetti per i quali la magistratura ha autorizzato l'indagine o se, piuttosto, controlla indistintamente tutto il traffico e-mail passante per un server, incluse le comunicazioni lecite o riservate. In una dimostrazione effettuata dinanzi ai giornalisti, la polizia federale americana ha cercato di provare che i filtri vengono utilizzati per consentire l'esclusiva intercettazione dei messaggi interessati, ma non è risultata affatto convincente. Appellandosi ai diritti di copyright della società che ha prodotto il software, l'Fbi si è rifiutata fermamente di rendere pubblico il codice sorgente, che avrebbe potuto fare chiarezza sul punto in contestazione. Il procuratore generale Janet Reno, sebbene abbia aperto un'inchiesta formale, non ha comunque sospeso l'uso del programma, rinviando questo possibile provvedimento alla fine dell'indagine.

I CONTROLLI TELEMATICI

Il fronte dei controlli telematici è particolarmente agguerrito, e Internet pare rappresentare un territorio che incute particolarmente paura.

In Gran Bretagna, una legge conosciuta come Rip, Regulation of Investigatory Powers, obbliga i provider a fornirsi di appositi strumenti che consentano alla polizia di controllare la posta elettronica e i dati dei cittadini inglesi. Per evitare che i provider possano trasferirsi all'estero ed eludere la legge, il Governo britannico ha addirittura stanziato un finanziamento che li agevoli nell'aggiornarsi con le apparecchiature necessarie. Non è da meno l'amministrazione Clinton, che sta discutendo una nuova proposta di legge grazie alla quale gli investigatori potranno intercettare le comunicazioni elettroniche, ma in modo analogo a quanto già accade per quelle telefoniche, ovvero previa autorizzazione di un giudice e in situazioni di necessità assoluta. Quest'ultima proposta non è eccessivamente malvista dai sostenitori della privacy in quanto, almeno teoricamente, dovrebbe offrire garanzie precise per le intercettazioni.

La repressione del crimine attraverso il controllo continuato delle comunicazioni degli utenti è un fatto già noto a molti, anche se fino a oggi si credeva limitata alle conversazioni, più o meno pubbliche, nei gruppi di discussione o nelle chat room, senza che si potesse supporre un controllo diffuso sulle e-mail, documenti riservati e protetti al pari della corrispondenza tradizionale. Del resto, già l'infiltrazione di agenti della polizia nelle chat aveva suscitato molte perplessità e proteste, in quanto ritenuta lesiva della privacy dei cittadini.

DUE CASI GIUDIZIARI CLAMOROSI

Dopo il. clamoroso arresto del manager Disney, Patrick Naughton, reo di essersi lasciato incantare dalle lusinghe di un supposto tredicenne, rivelatosi poi un agente della polizia, i giudici americani hanno iniziato a guardare con non eccessivo favore questa particolare attività. Recentemente, la Corte di d'appello di Pasadena, California, in un caso analogo a quello precedente, ha assolto Mark Douglas Poehlman, accusato di pedofilia. L'uomo, divorziato e con seri problemi di feticismo, aveva iniziato a frequentare Internet alla ricerca di una compagna adulta in grado di comprendere la sua perversione, per una relazione duratura. Poehlman risponde, tra gli altri, a un annuncio di una donna di nome Sharon alla quale fa presente questa sua esigenza, e Sharon lo contatta più volte dicendosi disposta ad accontentarlo a condizione che si riprometta di educare sessualmente le proprie figlie. Il malcapitato si dichiara disposto a farlo, ma nel momento in cui i due si incontrano, al posto di Sharon, si presentano gli agenti di polizia che lo arrestano "per avere attraversato i confini federali al fine di indursi in atti sessuali con minori". La Corte d'appello, invece, lo ha assolto perché convinta che Poehlman non avrebbe mai tenuto comportamenti illegali se non fosse stato istigato dalla polizia. Inoltre, si sottolinea nella sentenza, ci sono già tanti delinquenti in giro che non si avverte certo a necessità che la polizia vada a stimolarne di nuovi.

OCCORRE EVITARE GLI ECCESSI DI CONTROLLO.

E' evidente che, sebbene la repressione dei reati sia un'esigenza fondamentale, certi eccessi non possono essere tollerati, anche perché spesso il modo di porsi degli utenti nel mondo virtuale non è affatto lo stesso che attuano nel vivere quotidiano. Proprio per il fatto della mancanza di un contatto diretto con le persone e con la realtà, le comunicazioni telematiche hanno talvolta un contenuto che può essere facilmente travisato da chi le intercetti indipendentemente dal contesto complessivo in cui sono state rilasciate. Spesso si tratta di giochi innocenti, che iniziano e si concludono con le sole parole, anche quando si leggono frasi od offensive. Il controllo sulle comunicazioni online dovrebbe tenere conto anche di questo ed essere sottoposto almeno agli stessi rigori delle intercettazioni telefoniche. Indagini indiscriminate, e, gestite in modo libertino, possono solo comportare perdite di tempo inutili alla caccia di fantomatici delinquenti che spesso altro non sono che innocui cittadini che, al di là delle parole, non concluderebbero mai nulla di illecito nei fatti.
--------------------------------------------------------------------------------
ITALIA, la legge vieta di aprire le cyberlettere dei dipendenti

IN AZIENDA

In Italia il Garante per la protezione dei dati personali ha equiparato le e-mail alla corrispondenza tradizionale, pertanto i messaggi che circolano nelle liste di posta elettronica e nelle newsgroup ad accesso limitato sono coperte dal diritto alla segretezza. Tuttavia, con accordo preventivo con i sindacati, le aziende possono leggere le e-mail dei dipendenti, naturalmente solo le lettere elettroniche inviate all'indirizzo Web del dipendente in azienda, non quindi quelle inviate agli indirizzi privati.

LA POLIZIA

Per mettere sotto controllo l'e-mail di una persona in Italia è necessario il mandato di un magistrato.

Documento pubblicato nel sito Electronet Modena Italy

Tutti i diritti riservati a Electronet Modena o alle fonti (autori e/o testate) riportate negli articoli pubblicati. Vietata copia, riproduzione e diffusione anche parziale dei testi redatti da Electronet senza esplicito consenso della proprietà. All Rights Reserved. Le pubblicazioni nell'area documenti di questo sito sono fornite gratuitamente "as is" senza garanzie di aggiornamento periodico, senza responsabilità in capo ad Electronet nel caso di impiego improprio, illegale o non conforme delle informazioni acquisite e senza responsabilità nel caso di informazioni errate. Ogni documento viene redatto a fini informativi generali di presumibile interesse comune ed è privo di approfondimenti tecnico/operativi, istruzioni dettagliate, ecc. Electronet offre anche servizi di consulenza, approfondimento e supporto tecnico individuale relativamente alla maggior parte degli argomenti trattati: per costi e modalità visitare la pagina servizi nell'area catalogo del sito.