Categorie approfondimento: Commerciale e industriale
28 Marzo 2007

Navigazione in Internet e posta elettronica: linee guida del Garante per controllo sull’utilizzo fatto dai dipendenti

Di cosa si tratta

Dopo aver affrontato il tema con singole decisioni indotte da specifici ricorsi, il Garante per la protezione dei dati personali ha adottato, in data 1/3/07, un provvedimento di carattere generale in materia di trattamento dei dati dei dipendenti effettuato dai datori di lavoro attraverso gli strumenti informatici utilizzati per l’esercizio dell’attività lavorativa.
L’indicazione di specifiche linee guida si è resa necessaria dopo che numerosi reclami, segnalazioni e quesiti avevano palesato come l’utilizzo dei nuovi media in ambito lavorativo potesse esporre i dati dei dipendenti ad un trattamento potenzialmente illegittimo da parte dei datori di lavoro. E’ ormai notorio, infatti, che dall’analisi dei dati relativi alla navigazione in Internet e dalla lettura dei messaggi di posta elettronica, strumenti capillarmente diffusi nei luoghi di lavoro, si possano trarre informazioni anche sensibili sull’utente.
A confermare tale esigenza e ad individuare le finalità dell’intervento è lo stesso Mauro Paissan, relatore del provvedimento, il quale sostiene che “occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori”.
Il Garante ha inteso effettuare un coordinamento tra la vigente disciplina sulla protezione dei dati personali e le previsioni di cui agli articoli 4 e 8 dello statuto dei lavoratori (richiamati dallo stesso Codice della Privacy) in materia di controllo a distanza dell’attività lavorativa. Risultato più evidente della suddetta operazione, nonché dell’adesione al dominante orientamento giurisprudenziale, è il divieto, disposto dal Garante, al trattamento dei dati effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire – a volte anche minuziosamente – l’attività dei lavoratori. Da ciò discende l’impossibilità di lettura e registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore.
Il controllo a distanza vietato dall’art. 4 dello Statuto non concerne la semplice attività lavorativa in senso stretto, bensì la più estesa “attività dei lavoratori”, sicché risulta vietato non solo il controllo del dipendente attraverso gli strumenti informatici utilizzati nell’esercizio dell’attività lavorativa, ma anche quello relativo all’utilizzo dei beni aziendali per finalità che esorbitano dall’attività propriamente lavorativa, quindi per uso privato.
Tuttavia, qualora vengano utilizzati sistemi informativi per esigenze produttive o organizzative o, comunque, quando gli stessi si rivelino necessari per la sicurezza sul lavoro, il datore di lavoro può avvalersi legittimamente, nel rispetto dello Statuto dei Lavoratori (art. 4, comma 2) di sistemi che consentono indirettamente un controllo a distanza e determinano un trattamento di dati personali riferiti o riferibili al lavoratore.
Il trattamento dei dati che ne conseguirà risulterà pertanto lecito solo a condizione che vengano rispettate le procedure “di informazione e di consultazione dei lavoratori e dei sindacati in relazione all’introduzione o alla modifica di sistemi automatizzati per la raccolta e l’utilizzazione dei dati”.
Oltre al suddetto divieto e al fine, poi, di garantire la trasparenza dell’eventuale trattamento dei dati, il Garante prescrive ai datori di lavoro di indicare, in modo dettagliato e particolareggiato, da un lato quali siano le corrette modalità di utilizzo degli strumenti messi a disposizione del lavoratore e, dall’altro, quali siano le modalità con cui vengono effettuati i controlli. A riguardo, il provvedimento raccomanda l’adozione da parte delle aziende di un disciplinare interno (c.d. policy) che, definito coinvolgendo anche le rappresentanze sindacali, porti a conoscenza dei lavoratori anche se sia ammesso, e in quale misura, l’uso privato di tali strumenti ed in special modo della casella di posta fornita dall’azienda.
L’assenza di un’apposita policy che indichi i limiti nell’uso degli strumenti informatici aziendali potrebbe infatti creare nel lavoratore l’aspettativa di un uso più ampio rispetto a quello propriamente finalizzato all’attività lavorativa, rendendo così problematico il trattamento dei dati, sopratutto in relazione all’utilizzo della posta elettronica.
A tale onere del datore di lavoro si affianca anche il dovere di informare gli interessati (lavoratori) ai sensi dell’art. 13 del Codice della Privacy tramite apposita informativa orale o scritta. Rispetto ad eventuali controlli gli interessati hanno infatti il diritto di essere informati preventivamente ed in modo chiaro sui trattamenti dei dati che possono riguardarli.
Il datore di lavoro dovrà inoltre indicare le principali caratteristiche dei trattamenti, nonché il soggetto o l’unità organizzativa ai quali i lavoratori potranno rivolgersi per esercitare i propri diritti.
Il datore di lavoro viene inoltre chiamato ad adottare ogni opportuna misura organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri dei beni informatici aziendali così da ridurre controlli successivi e quindi “minimizzare” l’uso di dati riferibili al lavoratore.
Quanto alla navigazione nel web, il provvedimento suggerisce alcune soluzioni adottabili dalle aziende, tra le quali risaltano:

  • l’individuazione di categorie di siti considerati correlati alla prestazione lavorativa, con l’inibizione della navigazione in quelli non correlati;
  • la configurazione di sistemi o l’utilizzo di filtri che prevengano determinate operazioni inconferenti con l’attività lavorativa, quali ad esempio l’upload e il download di file o software;
  • il trattamento di dati in forma anonima o tale da precludere l’immediata identificazione degli utenti.

L’intervento più rilevante, in quanto relativo allo strumento informatico di cui più spesso i lavoratori fanno un uso promiscuo, è quello che concerne l’impiego della posta elettronica nel contesto aziendale.
Incerta, infatti, è la qualificazione, in termini di liceità, del comportamento del datore di lavoro che intenda apprendere, anche solo per esigenze collegate allo svolgimento dell’attività d’impresa, il contenuto di messaggi inviati e ricevuti dal lavoratore attraverso l’indirizzo di posta elettronica aziendale. Tale incertezza discende dal fatto che può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell’organizzazione datoriale o ne faccia un uso privato pur operando in una struttura lavorativa. Per di più, in quest’ultimo caso, i messaggi di posta elettronica, così come i files ad essi allegati, sarebbero forme di corrispondenza assistite da garanzie di segretezza, tutelate anche costituzionalmente.
Al fine di permettere un bilanciamento delle esigenze di ordinato svolgimento dell’attività lavorativa con la prevenzione di intrusioni nella sfera personale dei lavoratori, il provvedimento suggerisce l’adozione di particolari accorgimenti quali:

  • la creazione di indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, info@ente.it) eventualmente da affiancare a quelli individuali (ad esempio, m.rossi@ente.it);
  • l’attribuzione al lavoratore di un indirizzo di posta elettronica destinato ad uso privato del lavoratore;
  • l’indicazione di un soggetto a cui delegare, in caso di assenza imprevista o prolungata, l’accesso alla casella di posta del dipendente qualora ciò risulti necessario per improrogabili esigenze legate all’attività aziendale;
  • la creazione all’interno dei messaggi di posta elettronica di un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale degli stessi e ciò al fine di evitare un illecito trattamento dei dati personali dei terzi mittenti o destinatari del messaggio.

In ultimo, viene espressamente evidenziato che l’uso di tali strumenti può comunque essere oggetto di controllo da parte del datore di lavoro.
Tali controlli dovranno essere necessariamente graduali e non potranno in alcun caso essere prolungati, costanti ed indiscriminati. Inoltre dovrà essere preferito un controllo preliminare su dati aggregati (riferiti o riferibili ad aree della struttura lavorativa) rispetto ad uno su dati univocamente riferibili ad un lavoratore. Il controllo anonimo potrà concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l’invito ad astenersi da un uso improprio degli stessi.
Solo in caso di successive anomalie sarà giustificato il controllo su base individuale e, qualora vi fosse un riscontro positivo, ciò potrebbe portare all’adozione di sanzioni disciplinari.

(Visited 12 times, 2 visits today)