Usare una password altrui non è violazione della privacy se serve all'impresa

News 30/03/2012

di avv.ti Graziano Garrisi e Francesca Giannuzzi - Digital & Law Department, Studio legale Lisi

La tutela della privacy viene limitata un'altra volta quando ad entrare in campo sono le esigenze del lavoratore e dell'azienda a cui lo stesso appartiene. È quanto in sostanza viene affermato dalla Corte di Cassazione nella sentenza n. 4258 del 16 marzo 2012, in cui la stessa dichiara illegittimo il licenziamento di una dirigente accusata di aver utilizzato la password altrui per accedere al sistema aziendale. La Suprema Corte, infatti, ha accolto le giustificazioni addotte dalla lavoratrice secondo cui la ripetuta utilizzazione di una password altrui era giustificata da esigenze connesse con lo svolgimento del proprio lavoro e di quello degli altri suoi colleghi (in particolare il recupero dei dati necessari per selezionare i clienti morosi e procedere, dunque, al recupero dei crediti dell'azienda di appartenenza). Non vi è stata, pertanto, alcuna intromissione indebita nei dati di un altro lavoratore protetti da password né alcuna violazione della privacy del titolare dell'account utilizzato dalla lavoratrice sanzionata. I Giudici hanno inoltre considerato decisivo per il rigetto del ricorso presentato dalla società ricorrente il fatto che tale comportamento attuato dalla dipendente fosse conforme a una prassi aziendale e non fosse vietato da alcun codice di comportamento.
Da tale sentenza, pertanto, si evince ancora una volta l'importanza delle policy e dei regolamenti privacy aziendali quali documenti utili al datore di lavoro per disciplinare il corretto utilizzo degli strumenti informatici aziendali e contestare in giudizio ai lavoratori eventuali comportamenti illegittimi, contrari alle buone norme che regolamentano questa delicata materia.
Si ricorda, infatti, che il corretto utilizzo e gestione delle password aziendali rientra tra le misure minime di sicurezza previste dall'art. 34 e dall'allegato B del Codice Privacy; le credenziali, infatti, devono ritenersi strettamente personali e riservate al legittimo utilizzatore/incaricato al trattamento (espressamente autorizzato all'accesso di banche dati o sistemi dal titolare o dal responsabile) e la mancanza di policy al riguardo può essere fonte di pesanti responsabilità in capo al titolare del trattamento (datore di lavoro).
Nel caso di specie, il datore di lavoro avrebbe dovuto quanto meno conformarsi a uno dei principi organizzativi che le Linee Guida del Garante Privacy (del 1° marzo 2007) concedono ai titolari del trattamento in situazioni simili: d'altronde, in previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all'attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, l'interessato deve poter essere messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa. Di tale attività, inoltre, dovrebbe essere redatto apposito verbale a cura del titolare del trattamento e informato il lavoratore assente alla prima occasione utile.
Inoltre, già l'Autorità Garante aveva segnalato come, con specifico riferimento all'impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita all'indirizzo di posta elettronica nei singoli casi, alle volte può addirittura risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell'organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa. La mancata esplicitazione di una policy in tal senso, infatti, può determinare anche una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.
Alla luce di queste considerazioni, possiamo ribadire e condividere l'interpretazione dell'Autorità Garante che compete ai datori di lavoro assicurare la funzionalità e il corretto impiego della posta elettronica (e di internet) da parte dei lavoratori, definendone le modalità d'uso nell'organizzazione dell'attività lavorativa secondo specifiche policy aziendali, tenendo eventualmente in debito conto anche la disciplina in tema di diritti e relazioni sindacali.

 

Tag: privacy, corte di cassazione, sentenza, password, posta elettronica, dipendenti