A pochi mesi di distanza dal provvedimento generale del Garante sul trattamento dei dati nei luoghi di lavoro, lo stesso Garante decide di intervenire nuovamente sull’argomento per disciplinare, questa volta, i controlli del datore di lavoro sull’uso di Internet e posta elettronica da parte dei dipendenti.
Tema sicuramente di grande attualità visto il progressivo aumento dell’utilizzo di queste tecnologie per lo svolgimento di mansioni lavorative, ma anche estremamente delicato visto il “potenziale” trattamento di dati personali del lavoratore, forse anche sensibili, che l’attività di controllo può comportare.
Tema anche estremamente delicato poiché comporta la necessità di bilanciare due differenti interessi meritevoli di tutela.
Da una parte il diritto del datore di lavoro di controllare l’effettivo adempimento della prestazione e, se necessario, il corretto utilizzo degli strumenti di lavoro (articoli 2086, 2087 e 2104 codice civile), dall’altra parte il diritto del lavoratore a pretendere che tale attività di controllo si conformati al rispetto dei diritti e delle libertà fondamentali del lavoratore stesso, tra cui il diritto alla riservatezza.
La coesistenza di tali due importanti diritti non è sempre di facile attuazione.
Da tali premesse partono le Linee Guida del Garante, di cui si segnalano i principali aspetti.
1) DISCIPLINARE INTERNO
Questo è sicuramente l’adempimento principale a carico del datore di lavoro previsto dalle Linee Guida.
Si tratta di un documento (che potrà essere inserito nel Manuale per la sicurezza dei trattamenti o nel Regolamento interno aziendale o in una circolare ad hoc) che specifichi come usare internet ed e-mail in azienda. Per il Garante il disciplinare interno deve essere chiaro, non generico e deve essere pubblicizzato agli interessati.
Il datore di lavoro, quindi, deve indicare chiaramente e in modo particolareggiato quali siano le modalità di utilizzo degli strumenti elettronici messi a disposizione e in che misura e con quali modalità vengono effettuati i controlli. L’obbligatorietà di tale adempimento risiede soprattutto nel D.lgs. 626/1994 che, relativamente all’uso delle attrezzature munite di videoterminali, esclude la possibilità di effettuare un controllo informatico all’insaputa dei lavoratori.
Il contenuto del disciplinare dipenderà ovviamente dalle caratteristiche delle singole realtà aziendali. Il Garante, a titolo esemplificativo, indica come argomenti da trattare nel disciplinare:
– quali comportamenti non sono tollerati rispetto alla “navigazione” in Internet;
– se, in quale misura e con quali modalità è consentito utilizzare per ragioni personali servizi di posta elettronica o di rete;
– quali informazioni vengono memorizzate temporaneamente dal sistema informatico;
– se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
– se e come vengono svolti eventuali controlli da parte del datore di lavoro, indicando le ragioni legittime –specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
– le conseguenze previste in caso di constatazione di utilizzo indebito di posta elettronica e della rete Internet;
– per lo specifico uso della posta elettronica, quali soluzioni tecniche o organizzative si sono ideate per garantire la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (ad esempio riguardo l’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti);
– l’utilizzabilità per scopi personali di modalità di mezzi con pagamento on line;
– quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali (si pensi ad esempio all’attività di giornalista).
Nello stesso Codice potranno poi essere indicate le prescrizioni interne sulla sicurezza dei dati e dei sistemi previste dall’Allegato B del Codice Privacy, ovvero le istruzioni per :
1. assicurare la segretezza della password, la diligente custodia degli strumenti in possesso e l’uso esclusivo dello stesso (Regola 4 Allegato B),
2. assicurare che lo strumento elettronico non sia lasciato incustodito e accessibile (Regola 9 Allegato B),
3. attivare la “procedura di emergenza” ovvero la procedura che consente al titolare del trattamento di assicurare la disponibilità dei dati o strumenti elettronici in dotazione all’incaricato in caso di prolungata assenza dello stesso (Regola 10 Allegato B).
2)MISURE TECNOLOGICHE IDONEE A MINIMIZZARE L’USO DI DATI RIFERIBILI AI LAVORATORI
Il datore di lavoro dovrà adottare delle misure tecnologiche volte a minimizzare l’uso dei dati diversi a seconda della tecnologia utilizzata.
a. Internet
Il datore di lavoro “può adottare uno o più delle seguenti misure opportune tenendo conto delle peculiarità proprie di ciascuna organizzazione produttiva”:
– individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;
– configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni reputate estranee all’attività lavorativa;
– trattamento di dati in forma anonima o tale da precludere l’immediata identificazione di utenti;
– eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza.
b. Posta elettronica
Per quanto riguarda la posta elettronica, è opportuno che:
– si utilizzino indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio: [email protected], ), rendendo così chiara la natura non privata della corrispondenza;
– agli indirizzi condivisi potranno essere eventualmente affiancati quelli individuali;
– il datore di lavoro valuterà la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
– vanno attribuite apposite funzionalità di sistema che consentano, in caso di assenze, di inviare automaticamente messaggi di risposta contenenti le “coordinate” (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura. É anche opportuno prescrivere ai lavoratori di avvalersi di tali modalità (anche mediante indicazione nel disciplinare interno), prevenendo così l’apertura della posta elettronica. In caso poi di assenze non programmate, in cui non è possibile per il lavoratore attivare la procedura descritta, il titolare del trattamento, perdurando l’assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad es., l’amministratore di sistema) , l’attivazione di un analogo accorgimento, avvertendo gli interessati;
– qualora, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, l’interessato dovrà delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa; di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile;
– nei messaggi di posta elettronica andrà indicato un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale.
3) MISURE E ACCORGIMENTI ULTERIORI
I controlli sull’uso di Internet e posta elettronica dovranno rispettare i seguenti principi:
– Graduazione dei controlli: nell’effettuare i controlli deve essere evitata un’interferenza ingiustificata sui diritti dei lavoratori. Quindi i controlli dovranno essere pertinenti e non eccedere quanto necessario ad evitare o prevenire abusi. Vanno comunque ritenuti illeciti controlli prolungati, costanti o indiscriminati.
– Conservazione dei dati: i dati raccolti devono essere conservati per un tempo limitato allo svolgimento della finalità individuata. Una conservazione per un tempo prolungato va valutato come eccezionale.
– Designazione dei soggetti preposti: qualora lo ritenga necessario il datore di lavoro potrà designare uno o più responsabili del trattamento preposti alla realizzazione dei controlli.
4)INSTALLAZIONE DI APPARECCHIATURE PER IL CONTROLLO A DISTANZA
Naturalmente l’eventuale utilizzo di apparecchiature per il controllo dell’uso di e-mail e internet da parte dei lavoratori dovrà rispettare quanto previsto dall’articolo 4 dello Statuto dei Lavoratori.
In particolare:
– non potranno essere in alcun modo installate apparecchiature che mirino direttamente a controllare l’attività lavorativa dei dipendenti. Per il Garante rientrano in questa fattispecie:
a. la lettura e la registrazione sistematica dei messaggi di posta elettronica o dei relativi dati al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
b. la riproduzione e l’eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
c. la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
d. l’analisi occulta di computer portatili affidati in uso;
– potranno essere installate apparecchiature richieste “da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro” da cui possa derivare un controllo indiretto dell’attività dei lavoratori e un conseguente trattamento dei dati, previo raggiungimento di un accordo con le rappresentanze sindacali aziendali, o in mancanza di queste con l’autorizzazione dalla Direzione regionale del lavoro competente per territorio.
* * *
Esaminati i punti fondamentali della normativa, si consentano alcune considerazioni sul provvedimento del Garante.
Come sopra segnalato il provvedimento parte dalla necessità di bilanciare due interessi del tutto contrapposti: quello del datore di lavoro di controllare l’attività lavorativa e il corretto uso della strumentazione aziendale e il diritto del lavoratore alla propria riservatezza.
Indubbiamente una prima lettura del provvedimento sembrerebbe portare a considerare il provvedimento stesso sbilanciato a favore del dipendente a discapito del diritto del datore di lavoro di controllare che non si abusi degli strumenti di lavoro messi a disposizione.
A parere di chi scrive, tuttavia, le indicazioni del Garante vanno lette alla luce di un inevitabile lavoro di adattamento delle Linee Guida fornite alle singole realtà aziendali.
Impossibile, infatti, sarebbe stato per il Garante dare delle prescrizioni meno rigide perché in alcuni casi, avrebbe significato esporre il lavoratore ad un’eccessiva ingerenza nella sua sfera privata. Viceversa, il Garante, consapevole della diversità di realtà aziendali presenti in Italia, ha fornito delle Linee Guida generali, spesso esemplificative e precisando in varie occasioni che le misure indicate andranno adottate tenendo conto delle peculiarità delle singole realtà produttive.
Pertanto, di fatto il provvedimento del Garante richiede ora un importante attività dei datori di lavoro di adattamento delle Linee Guida al fine di predisporre delle procedure e un Disciplinare Interno non astratti e lontani dalla realtà, ma che viceversa rispecchiano la realtà e le esigenze dell’azienda in cui si dovranno applicare.
È evidente che tale necessità di adattamento alle singole realtà non può far venir meno il valore prescrittivo del provvedimento del Garante.
Sicuramente un lavoro alquanto ambizioso aspetta i datori di lavoro, c’è solo da sperare che non si diffonda la prassi di vietare l’uso di Internet e e-mail ai dipendenti al solo scopo di evitare complicazioni derivate da quanto indicato dal Garante.
Sembra questa, tuttavia, un’ipotesi puramente teorica. (Alessandra Delli Ponti per NL)
