Disclaimer nell’e-mail: leggenda metropolitana o efficace misura di sicurezza?

Sarà capitato sicuramente a moltissimi di Voi di aver notato un messaggio, posto in calce alle e-mail, in cui si avverte il destinatario della natura personale e riservata delle informazioni inviate. Tale messaggio coincide con il più noto termine disclaimer, tratto dal dizionario anglosassone.

Cos’è il disclaimer?

Esistono disclaimer più o meno articolati, a titolo esemplificativo si riporta il seguente: “In ottemperanza al D.lgs. 196/03 e al Regolamento UE 2016/679 in materia di protezione dei dati personali, le informazioni ivi contenute hanno natura strettamente personale e sono indirizzate esclusivamente al destinatario indicato. Qualora abbia ricevuto questa e-mail per errore, La invito cortesemente ad avvertire immediatamente il mittente e a distruggere il presente messaggio. Tenga presente che qualsiasi uso, riproduzione o divulgazione di questo messaggio è vietata. Quale destinatario della presente e-mail alcuni Suoi dati personali (nome, cognome, e-mail) possono essere trattati dalla società Alfa, in qualità di titolare del trattamento dei dati personali. Per ulteriori informazioni in merito al trattamento dei Suoi dati personali, può cliccare qui (link alla Privacy Policy del sito internet aziendale)”.

Risalta subito all’occhio che nel testo vengono richiamati 3 codici legislativi importantissimi: il D.lgs 196/03 (più noto come Codice Privacy), il Regolamento Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (più noto come GDPR) e il Codice Penale italiano, indirettamente richiamato quando si avverte il destinatario che qualsiasi uso del messaggio è vietato.

Più specificamente, il richiamo avviene nei confronti dell’art. 616 del codice penale, rubricato “violazione, sottrazione e soppressione di corrispondenza”.

Che finalità persegue il disclaimer?

Il ricorso alla posta elettronica, in virtù dei suoi indubbi vantaggi quali, ad esempio, la rapidità, l’economicità e la possibilità di allegare immagini e documenti – quale unico strumento di scambio della corrispondenza, è ormai un fatto consolidato e ce ne avvaliamo anche per comunicare notizie ed informazioni riservate: proprio per questo motivo, un numero sempre maggiore di persone ricorre all’utilizzo del disclaimer.

Il disclaimer persegue principalmente due finalità: avvertire il destinatario dell’illiceità nel compiere qualsiasi uso, riproduzione o divulgazione di un messaggio, erroneamente ricevuto, esortandolo a non commetterla e informare lo stesso destinatario delle modalità, finalità e quant’altro richiesto dalla normativa di settore in merito al trattamento dei dati personali. 

Il disclaimer rappresenta, quindi, una misura di sicurezza per il mittente che, in questo modo, può rammentare al destinatario di una e-mail le leggi vigenti in materia di privacy e di violazione della corrispondenza, avvertendolo dei rischi in cui incorre se adotta comportamenti vietati.

Da dove nasce il disclaimer?

Ci si è interrogati molto a lungo sul fondamento normativo a sostegno del disclaimer, soprattutto nell’individuazione della norma specifica che “obblighi” il mittente a inserire un testo del genere nei messaggi di posta elettronica.

Ci sono varie tesi possibili da addurre, ma nessuna di questa menziona direttamente il disclaimer né tantomeno impone un obbligo di tal genere a carico del mittente.

Il primo, ma forse meno probabile, riferimento normativo evocabile è l’articolo 31 del D.lgs 196/03 in cui il Legislatore dispone, a carico del titolare del trattamento, di adottare misure di sicurezza idonee e preventive per ridurre al minimo l’accesso non autorizzato ai dati personali[1]. Come detto nel paragrafo precedente, il disclaimer costituisce sicuramente una misura di sicurezza idonea ma non preventiva! Infatti il destinatario leggerà il disclaimer subito dopo aver già letto il contenuto del messaggio erroneamente ricevuto.

Allora c’è chi trova il fondamento normativo nelle linee guida del Garante per posta elettronica e internet[2].

Infatti, al punto 5.2, lettera b), ultimo capoverso delle stesse, il Garante raccomanda al mittente di un messaggio di posta elettronica di far si che “i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale”.

In un primissimo istante, tale disposizione sembra porsi come fondamento normativo a sostegno del disclaimer: ma così non è.

Il Garante Privacy, infatti, prescrive di specificare la natura del messaggio, se personale o professionale, in quanto, rientrando tra i diritti dei lavoratori utilizzare l’indirizzo di posta elettronica aziendale anche a titolo personale, “può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell’organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa”[3].

La suddetta norma suggerisce al mittente di porre in calce alle e-mail aziendali l’avviso che tale messaggio può essere letto anche da altri colleghi, non essendo stata inviata a titolo personale ma a titolo professionale. Mentre, invece, lo scopo del disclaimer, come già detto, è di avvertire il destinatario che il messaggio è stato inviato esclusivamente ad uno o più soggetti e ha, pertanto, carattere riservato e personale. Siamo, pertanto, fuori dal raggio di azione del disclaimer.

C’è però una terza tesi a sostegno dell’efficacia e necessità del disclaimer, che afferma che quest’ultimo è necessario e imprescindibile in quanto, ai sensi dell’art. 13 del Regolamento UE 2016/679[4], il titolare, ogniqualvolta ottenga dei dati personali, deve informare, tramite apposita informativa[5] redatta secondo le prescrizioni del medesimo articolo di legge, l’interessato del trattamento dei dati personali che effettuerà.

Giustissimo se non fosse che, molto probabilmente, il mittente, accortosi dell’erroneo invio o informato dallo stesso destinatario dell’errore, non tratterà mai quei dati ma si limiterà alla semplice cancellazione dell’e-mail. Se così fosse, l’informativa privacy risulterebbe superflua.

Se, invece, l’e-mail fosse stata inviata al destinatario corretto il richiamo all’art. 13 del Regolamento UE è senz’altro corretto, in quanto il mittente, mantenendo i dati del destinatario nel suo account di posta, sta effettuando un trattamento di dati personali.

L’unico fondamento giuridico, valido in ogni circostanza, a sostegno del disclaimer è rintracciabile nel secondo comma dell’articolo 616[6] del vigente codice penale italiano che recita: “se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni[7]”.

Il disclaimer ha lo scopo, quindi, di avvisare il destinatario che, nel caso in cui commettesse quanto descritto nel suddetto articolo, incorrerebbe in una violazione di legge. Si può obiettare che non è dovere o compito del mittente dover ricordare al destinatario i casi che rappresentano una infrazione di legge in quanto, citando la massima “ignorantia legis non excusat”, vige la presunzione di conoscenza della legge.

Conclusioni

Anche a dispetto di un’analisi normativa molto incerta sul fondamento giuridico, il disclaimer, come visto, costituisce un espediente molto semplice per perseguire simultaneamente due scopi, fornire l’informativa privacy sul trattamento dei dati personali e prevenire l’uso e la diffusione di messaggi aventi natura personale e riservata. E’ raccomandabile, pertanto, far apporre il disclaimer a ciascun dipendente della società.

[1] L’articolo 31 del D.lgs. 196/03 recitava così: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Il Codice Privacy è disponibile qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248

[2] Gazzetta Ufficiale n. 58 del 10 marzo 2007 o disponibile qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1387522.

[3] La frase completa, rintracciabile all’art. 5.2, lettera b), primo capoverso, recita così: “Tuttavia, con specifico riferimento all’impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita all’indirizzo di posta elettronica nei singoli casi, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell’organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa”.

[4] L’articolo 13 del Regolamento UE 2016/679, rubricato “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”, inizia così: “In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni: […]”, disponibile qui: https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Arricchito+con+riferimenti+ai+Considerando+Aggiornato+alle+rettifiche+pubblicate+sulla+Gazzetta+Ufficiale++dell%27Unione+europea+127+del+23+maggio+2018

[5] M. Raimondi, L’informativa privacy: cos’è e quali sono gli errori da evitare?, Agosto 2018, disponibile qui: https://www.iusinitinere.it/informativa-privacy-cos-e-quali-errori-da-evitare-12085

[6] L’intero articolo 616 c.p. è disponibile qui: https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-v/art616.html

[7] Per maggiori informazioni circa il reato statuito dall’art. 616 c.p., M. D’Esposito, Violazione, sottrazione e soppressione di corrispondenza del coniuge: è reato, Marzo 2018, disponibile qui: https://www.iusinitinere.it/violazione-sottrazione-e-soppressione-di-corrispondenza-del-coniuge-e-reato-8925