I messaggi di posta elettronica estratti dall’account personale del dipendente e quelli dell’account aziendale non sono utilizzabili in giudizio in difetto dei presupposti di legittimità.
Nota a App. Milano 8 settembre 2020, n. 36
Alfonso Tagliamonte
L’account personale del dipendente – ancorché installato pure sul computer aziendale – deve considerarsi inaccessibile e l’accesso non autorizzato configura il reato di cui all’art. 616 c.p. Diversamente, la posta elettronica aziendale è accessibile al datore di lavoro purché sia stata fornita l’informativa al dipendente sui controlli ai quali può essere sottoposta, se vi sia proporzionalità tra il controllo effettuato e la sua finalità, e si sia in presenza di ragioni di sicurezza o di fondato sospetto di lesione dell’interesse del datore di lavoro.
È quanto afferma la Corte di Appello di Milano, sez. lav., 8 settembre 2020, n. 36, la quale ripercorre gli orientamenti giurisprudenziale che qui di seguito riportiamo:
a) “mentre le e-mail personali sono inaccessibili, pena la commissione di un reato e la violazione delle regole costituzionali sul segreto della corrispondenza, non così per le e-mail aziendali. Dunque, distinguendo tra account personale ed account aziendale, non c’è dubbio che per il primo il datore di lavoro ha il divieto categorico di accesso, mentre per il secondo il controllo delle e-mail è legittimo. Va altresì precisato che, stante quanto sopra, se è possibile utilizzare per l’accertamento ex post di comportamenti illeciti e la eventuale conseguente contestazione disciplinare, e mail inviate da e all’indirizzo del dipendente, parallelamente ne è ammessa la loro produzione nel giudizio volto al sindacato della legittimità dell’atto espulsivo che ne è seguito, costituendo queste presupposto necessario del detto accertamento” (Trib. Roma 26 marzo 2019, decreto 30903);
b) “controllare la posta elettronica di un dipendente equivale ad una violazione del diritto ad avere una vita privata ed una propria corrispondenza; le e-mail di lavoro sono equiparate al domicilio e alla corrispondenza. L’accesso da parte del datore di lavoro alle mail dei dipendenti è legittimo solo a condizione che questi ultimi siano stati preventivamente informati dell’esistenza di un controllo sulla corrispondenza aziendale, delle modalità e motivazioni di tale controllo” (così Corte europea diritti dell’uomo, sez. Grande Chambre, 5 settembre 2017, n. 61496, che ha ravvisato la violazione dell’art. 8 CEDU ed una mancata garanzia da parte dell’autorità giudiziaria nel garantire il giusto equilibrio fra il diritto del lavoratore al rispetto della sua vita privata e l’esigenza del datore di lavoro di adottare misure adeguate ad assicurare il buon funzionamento dell’impresa);
c) “il controllo della posta elettronica aziendale da parte del datore di lavoro è un’ingerenza nel diritto alla vita privata, ma è compatibile con la tutela prevista dall’art. 8 della Convenzione europea dei diritti dell’uomo se di portata limitata e proporzionale” (così, CEDU 12 gennaio 2016, n. 61496, nel caso di un dipendente di una società privata licenziato per aver usato per fini personali una mail aziendale appositamente creata dalla società per rispondere ai quesiti dei clienti, affermando che le mail rientrano nel diritto alla corrispondenza e perciò sono tutelate dall’art. 8 della Convenzione che assicura il diritto al rispetto della vita privata, ma nel caso di specie, l’ingerenza deve essere ritenuta proporzionale, e dunque legittima, posto che si è trattato di un account di posta aziendale e non personale);
d) “l’art. 616 c.p., comma 1, punisce infatti la condotta di ‘chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime’. Sicché, quando non vi sia sottrazione o distrazione, la condotta di chi si limita a ‘prendere cognizione’ è punibile solo se riguarda ‘corrispondenza chiusa’. Chi ‘prende cognizione’ di ‘corrispondenza aperta’ è punito solo se l’abbia a tale scopo sottratta al destinatario ovvero distratta dalla sua destinazione.
In tale contesto, secondo la Corte, risulta “indiscussa l’estensione della tutela anche alla corrispondenza informatica e telematica” (art. 616 c. p., co. 4). Tale corrispondenza può essere, tuttavia, qualificata come ‘chiusa’ solo nei confronti dei soggetti che non sono “legittimati all’accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi”. Diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile solo al destinatario, è proprio “la legittimazione all’uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite. Sicché tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l’uso degli impianti. E quando in particolare il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongono della chiave informatica di accesso. Anche quando la legittimazione all’accesso sia condizionata, l’eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come ‘chiusa’ anche nei confronti di chi sin dall’origine abbia un ordinario titolo di accesso” (cosi, Cass. pen., Sez. V, n. 47096/2007 in un caso in cui le password poste a protezione di computer e della corrispondenza di ciascun dipendente dovevano essere a conoscenza anche dell’organizzazione aziendale, essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, legittimato a utilizzarla per accedere al computer anche per la mera assenza dell’utilizzatore abituale)”.
In questo quadro, la Corte ribadisce il “principio dell’assoluta inaccessibilità all’e-mail personale del dipendente, pena la commissione di un reato e la violazione delle regole costituzionali sul segreto della corrispondenza, mentre per l’e-mail aziendale l’accesso è subordinato a determinate condizioni quali la informativa del lavoratore tramite contratto di lavoro e/o policy aziendale; controlli sull’account di posta aziendale rispettosi e non eccedenti rispetto alle finalità perseguite e tracciabili; controlli consentiti solo per finalità di sicurezza nei limiti individuati dal Garante Privacy o qualora sussistano fondati sospetti nei confronti del dipendente infedele e sempre che il lavoratore sia al corrente della potenziale conservazione dei dati e della loro duplicazione.
La acquisizione della posta elettronica relativa a corrispondenza privata proveniente da account personali, intercorsa anche con soggetti estranei al rapporto di lavoro, è illegittima in ogni caso, anche a volerla equiparare a corrispondenza proveniente da account aziendale, difettando i presupposti individuati dalla giurisprudenza sopra richiamata per bilanciare i contrapposti interessi (in primis la mancanza di specifiche disposizioni finalizzate a regolamentare le modalità di controllo e/o duplicazione della stessa).