Il valore legale del disclaimer nelle e-mail
di Valentina Brovedani
La posta elettronica ha rivoluzionato la comunicazione, sostituendosi alla normale lettera imbustata e incasellata. Il segreto di tanto successo va ravvisato nella rapidità e nell’economicità dello strumento, oltre che nella possibilità di allegare immagini e documenti: l’e-mail, come è noto, consente infatti di trasmettere informazioni e allegati in tempo reale mediante qualunque dispositivo, anche mobile. Chi non ha mai inviato un’e-mail mentre è sui mezzi pubblici, in vacanza o dall’altra parte del mondo?
L’ampio consenso di cui questo strumento di comunicazione ormai consolidato gode, non ha però evitato che questioni di varia natura fossero poste all’attenzione del legislatore. Una tra tutte riguarda il trattamento dei dati personali: consolidata giurisprudenza di legittimità ne definisce l’area semantica e l’ambito di applicazione e intima come necessaria la preventiva informativa, al fine di tutelarne la riservatezza (Cass., ord. n. 17665/2018; sent. n. 17143/2016; sent. n. 1593/2013)[1].Capita infatti spesso di leggere in calce alle e-mail un messaggio, più o meno articolato, che ha lo scopo di avvertire il destinatario della natura personale e riservata delle informazioni inviate. Tale dicitura è detta appunto disclaimer. Nonostante i disclaimer non siano imposti da alcun precetto normativo, sono in molti coloro che ne ricorrono all’uso, in special modo nel contesto della trasmissione di informazioni riservate.
Questa avvertenza costituisce infatti una misura di sicurezza per il mittente che informa il destinatario delle leggi vigenti in materia di privacy e di violazione della corrispondenza, avvertendolo dei rischi in cui incorre se adotta comportamenti vietati. Il destinatario dell’e-mail è così esortato ad evitare qualsiasi uso, riproduzione o divulgazione del contenuto del messaggio.
Come anticipato, nessun disposto normativo menziona esplicitamente il disclaimer, né tantomeno impone al mittente di un messaggio un obbligo di utilizzo. Sono state, tuttavia, formulate diverse teorie a supporto dell’informativa.
La prima, più discutibile a parere di chi scrive, individuerebbe la fonte dell’obbligo nell’art. 31 del D.Lgs. 196/2003[2], a mente del quale il Legislatore impone a carico del titolare del trattamento di adottare misure di sicurezza idonee e preventive per ridurre al minimo l’accesso non autorizzato ai dati personali. Fermo restando che il disclaimer è da considerarsi al piùuna misura di sicurezza priva di carattere preventivo – in quanto il destinatario leggerà termini e modalità relativi al trattamento dei dati personali solo dopo aver appreso i medesimi nel contenuto dell’e-mail-, la predetta tesi deve considerarsi superata in ragione dell’abrogazione dell’art. 31 del D.Lgs. 196/2003 e dal relativo allegato B, dal medesimo richiamato, contenente le misure di sicurezza in materia di protezione dei dati personali
A seguito dell’adozione e dell’entrata in vigore del GDPR, riferimento normativo in materia di sicurezza del trattamento diviene l’art. 32 del Regolamento[3], a mente del quale “[…] il titolare del trattamento ed il responsabile mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“. Il nuovo disposto normativo introduce un raggio d’azione differente rispetto al precedente art. 31, computando qualsiasi tipo di misura idonea a garantire un livello di sicurezza adeguato al rischio e non solo mere misure preventive in sé. In questo senso, il disclaimer potrebbe considerarsi una ragionevole misura volta a limitare il rischio di ulteriore diffusione non autorizzata dei dati.
Una seconda tesi individua invece il fondamento normativo del messaggio nelle linee guida del Garante per posta elettronica e internet[4], precisamente al punto 5.2, lett. b) delle medesime, in cui il Garante raccomanda al mittente di un messaggio di posta elettronica di far sì che “i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale dei messaggi stessi, precisando se le stesse risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale”. Tuttavia, anche la suddetta norma non può giustificare l’obbligatorietà del disclaimer: ciò in quanto il Garante Privacy prescrive solamente di precisare la natura del messaggio, se personale o professionale, in ragione della specifica e seguente situazione di fatto. L’indirizzo di posta elettronica aziendale, e quindi ad uso professionale, messo a disposizione dei lavoratori, può essere utilizzato dagli stessi anche a titolo personale. Pertanto, l’art. 5.2, lett. b), primo capoverso specifica che “può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell’organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa”. In altri termini, la norma, così prescrivendo, opera fuori dal raggio di azione del disclaimer, in quanto si riferisce alle e-mail aziendali inviate a mero titolo professionale e non quelle a titolo personale. Mentre invece, come già ampiamente ribadito, lo scopo del disclaimer è quello di avvertire il destinatario della natura personale e riservata dello stesso, inviato esclusivamente ad una o più persone.
Una terza e ultima tesi a sostegno della necessità e imprescindibilità del disclaimer si ravviserebbe nell’art. 13 del Regolamento UE 2016/679[5], a mente del quale “[…] in caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni […]”.
In altri termini, il disposto normativo distingue l’ipotesi in cui il mittente invia l’e-mail all’indirizzo di posta elettronica corretto, da quella in cui, al contrario, si accorge dell’erroneo invio o viene informato dallo stesso destinatario dell’errore.
Nel primo caso, il richiamo al GDPR è senz’altro corretto, in quanto il mittente, mantenendo i dati del destinatario nel suo account di posta, sta effettuando un trattamento di dati personali.
Diversamente, l’informativa privacy risulterebbe superflua, alla luce del fatto che, nel caso in cui il mittente abbia spedito l’e-mail all’indirizzo errato, non avrà alcun interesse al trattamento dei dati personali e si limiterà alla semplice cancellazione dell’e-mail.
L’unico fondamento giuridico rilevante sul disclaimer è rinvenibile all’art. 616[6], comma 2[7] del codice penale, ai sensi del quale “se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni”.
In tal senso, scopo del disclaimer è quello di avvertire il destinatario in relazione alla violazione di legge in cui incorrerebbe nel caso in cui diffondesse illecitamente il contenuto della corrispondenza ricevuta erroneamente. Tuttavia, sulla scorta del noto principio di matrice penalistica secondo cui “ignorantia legis non excusat”, non è certamente compito del mittente dover istruire il destinatario circa le fattispecie che rappresenterebbero una violazione di legge.
Alla luce dell’excursus normativo ripercorso, è evidente dunque non esista un fondamento giuridico certo e condiviso dottrinalmente a sostegno dell’obbligatorietà del disclaimer.
In ogni caso, che cosa si può fare e non si può fare con un’e-mail è stabilito dalla legge e non da un disclaimer e, dunque, che ci sia o non ci sia è indifferente: resta aperta la questione sul perché abbia attecchito una tale prassi.
[1] Cass, Ord. n. 17665/2018: “[…] la definizione di “dato personale” è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz’altro il nome, il cognome e l’indirizzo di posta elettronica, a ben vedere il concetto di “dato identificativo” non va tenuto distinto da quello di “dato personale”, rappresentando una species all’interno del genus principale. Invero, mentre il “dato personale” è quel dato che consente di identificare, anche indirettamente una determinata persona fisica, i “dati identificativi” sono dati personali che permettono tale identificazione direttamente. […] ai sensi dell’art. 4 del d.lgs. 30 giugno 2003, n. 196, “dato personale”, oggetto di tutela, è “qualunque informazione” relativa a “persona fisica, giuridica, ente o associazione”, che siano “identificati o identificabili”, anche “indirettamente mediante riferimento a qualsiasi altra informazione” […]. Appare quindi confermata la riconduzione nel novero dei dati personali di cui all’art. 4 per i quali si impone la preventiva informativa di cui all’art. 13, anche del nome e del cognome dell’interessato nonché dell’indirizzo di posta elettronica […].
[2] Il Codice Privacy è disponibile al seguente link: https://www.garanteprivacy.it/codice
[3] Art. 32 GDPR disponibile al seguente link: https://eur-lex.europa.eu/eli/reg/2016/679/oj
[4] Linee guida del Garante per posta elettronica e internet – Gazzetta Ufficiale n. 58 del 10 marzo 2007 – https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1387522
[5] L’art. 13 del Regolamento UE 2016/679 è disponibile al seguente link: https://www.cyberlaws.it/2017/articolo-13-gdpr-regolamento-generale-sulla-protezione-dei-dati-ue2016679/
[6] In riferimento all’art. 616 c.p. visita il nostro sito, al seguente link: https://www.cyberlaws.it/2019/articolo-616-codice-penale/
[7] Art. 616, co. 2, c.p.: “Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni”.
Autore