Categorie approfondimento: Commerciale e industriale
25 Giugno 2011

Novità sulla policy aziendale per l’uso degli strumenti informatici da parte dei dipendenti

Di cosa si tratta

Un recente provvedimento del Garante per la protezione dei dati personali, segnatamente il n. 139 del 7 aprile 2011, ci permette di riaffrontare il tema dell’adozione, da parte delle imprese, di un disciplinare interno (c.d. policy) che indichi i limiti nell’uso degli strumenti informatici aziendali da parte dei dipendenti. Si tratta di un tema già trattato nel sito (Navigazione in Internet e posta elettronica: linee guida del Garante per controllo sull’utilizzo fatto dai dipendenti. ) ma che continua a essere ampiamente sottovalutato dalle imprese nonostante questo possa comportare spiacevoli effetti.
Il provvedimento in oggetto rappresenta l’atto conclusivo di un procedimento introdotto da una lavoratrice che aveva ricevuto una lettera di contestazione disciplinare con la quale le veniva ascritto, tra l’altro, un indebito utilizzo degli strumenti aziendali volti all’espletamento delle funzioni lavorative. In particolare si trattava dell’utilizzo di tali strumenti al fine di svolgere un’attività consulenziale a vantaggio di terzi con la conseguente redazione di documenti.
Dei menzionati documenti, oltre che di file personali contenuti in una cartella inequivocabilmente “riservata”, la società sarebbe venuta a conoscenza mediante un’operazione che, per la dipendente, sarebbe consistita in un controllo mirato sul computer in uso alla stessa mentre, per il datore di lavoro, sarebbe consistita un’ordinaria operazione di gestione del server. Vieppiù, la sociètà ha sostenuto che il personale era consapevole “che i dati venivano registrati sul server e che pertanto, per motivi di lavoro, potevano essere acceduti [sic!] anche da altri utenti”; ciò anche alla luce del fatto che a norma di regolamento gli stessi non potevano contenere per nessun motivo dati personali”. Ebbene, l’Autorità non ritenendo in alcun modo provata la ricostruzione operata dalla dipendente, ha propeso per ritenere verosimile che i dati personali fossero stati concretamente acquisiti mediante il “back up del server aziendale”.
Quanto riportato non ha significato che il Garante abbia ritenuto lecito il trattamento dei dati anche se, come ricordato, avvenuto in presenza di una policy aziendale relativa alle modalità di utilizzo degli strumenti aziendali.
Afferma infatti il Garante, “che pur avendo rammentato più volte che il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti”, nell’esercizio di tale prerogativa devono “essere salvaguardati la libertà e la dignità dei lavoratori, nonché i principi fissati dall’art. 11 del Codice sul trattamento dei dati personali, che impongono, tra l’altro, di rendere note ai lavoratori le caratteristiche essenziali dei trattamenti, soprattutto se effettuati per finalità di controllo”.
Ebbene, nel caso in esame è emerso che la società ha compiuto un trattamento dei dati acquisiti “in occasione di una verifica effettuata sui propri sistemi informativi; tale attività, però, risulta compiuta senza che fosse stata fornita ai dipendenti … un’idonea e preventiva informativa sul punto (art. 13 del Codice), non potendo a tal fine ritenersi sufficienti le scarne indicazioni contenute nel regolamento, unico documento avente contenuto informativo posto a conoscenza dell’interessata”. Difatti, benché il citato regolamento rechi un “riferimento all’obbligo di utilizzare gli strumenti elettronici affidati ai lavoratori per esclusive finalità professionali, esso non riporta alcuna indicazione circa la possibilità per la società di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup … né sull’eventualità di trattare tali dati in vista di possibili controlli (anche occasionali), le cui modalità di effettuazione, peraltro, non risultano neanche adombrate”.
In virtù di quanto riportato, il Garante ha ritenuto che il trattamento operato dalla società fosse illecito in quanto non conforme a legge.
La vicenda testé riportata consente ancora una volta di rilevare come la redazione di un disciplinare interno, relativo all’utilizzo di strumenti aziendali, sia un’operazione che una realtà societaria anche piccola non possa compiere con leggerezza. Come si è visto, infatti, il Garante non ha ritenuto conforme alle proprie linee guida la policy adottata in quanto in contrasto con i principi di correttezza e finalità posti da Codice sulla Privacy.
Nel contesto lavorativo italiano, in cui l’utilizzo sul posto di lavoro della posta elettronica e di Internet per scopi personali è divenuta una cattiva consuetudine, l’adozione da parte delle aziende di direttive chiare e precise rappresenta l’unico strumento per poter conciliare un lecito trattamento dei dati personali con l’attività di controllo del corretto utilizzo degli strumenti di lavoro. Attività che, seppur da non adottarsi per finalità repressive, è pur sempre necessaria per evitare che certi abusi si trasformino in costi per la società.

(Visited 15 times, 8 visits today)