Vietato spiare sistematicamente i dipendenti online

Vietato spiare sistematicamente i dipendenti online

Il Garante tenta di mettere ordine in misure che dividono ancora oggi imprese e lavoratori. L'azienda stabilisca delle regole, ma un'analisi sistematica è una violazione. Le novità e un approfondimento giuridico
Il Garante tenta di mettere ordine in misure che dividono ancora oggi imprese e lavoratori. L'azienda stabilisca delle regole, ma un'analisi sistematica è una violazione. Le novità e un approfondimento giuridico

Lo chiedevano i lavoratori e molti imprenditori ed ora il Garante per la privacy ha deciso di mettere ordine sul delicatissimo fronte del monitoraggio delle attività Internet dei dipendenti pubblici e privati .

Con un provvedimento ad hoc, spiega lo stesso Garante, viene stabilito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali . Spetta al datore di lavoro definire le modalità d’uso di Internet ma sono modalità che dovranno sempre e in tutti i casi tener conto “dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali”.

Il provvedimento, che sarà pubblicato in Gazzetta Ufficiale, vuole essere una sorta di guida alle regole . “La questione – ha spiegato Mauro Paissan, relatore del provvedimento – è particolarmente delicata, perché dall’analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori”.

Non ci sono novità sostanziali rispetto a quanto già espresso in passato dal Garante ma c’è una nuova chiarezza . Alle imprese, ad esempio, viene fatto carico di “informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli”. Ma è fuori discussione la possibilità di leggere e registrare sistematicamente le email dei dipendenti o di monitorare sistematicamente la navigazione web . Sono casi nei quali si realizzerebbe, spiega il Garante, “un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori”.

Ciò che le aziende pubbliche e private devono fare è dunque dar vita ad un disciplinare interno , un documento realizzato anche assieme ai sindacati, “nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica”.

E, proprio per evitare usi impropri di Internet , al datore di lavoro viene ascritto il compito di minimizzare il rischio , ricorrendo a strategie e tecnologie dedicate.
Il Garante fa qualche esempio, per quanto riguarda la navigazione:
“- individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
– utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.”

Per quanto riguarda l’email, invece, l’azienda:
– renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
– valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
– preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
– metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

“Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro – sottolinea il Garante – devono essere effettuati con gradualità . In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale”.

Nel provvedimento sono anche dettagliate tutele specifiche per categorie particolari di lavoratori , come quelli che sono tenute al segreto professionale.

Di seguito l’approfondimento giuridico di ConsulenteLegaleInformatico.it sul nuovo provvedimento del Garante. Roma – Pubblicato sul Bollettino di marzo del Garante, il Provvedimento generale relativo alle linee guida sulle questioni attinenti lavoratori/ posta elettronica e internet. Il Garante così a distanza di pochi mesi dal provvedimento relativo alla privacy applicata al dipendente nell’ambiente lavorativo (gestione busta paga, dati sindacali, sanitari, ecc.) torna sul rapporto privacy-datore di lavoro-dipendente, andando a toccare un tasto quanto mai discusso , quello relativo all’utilizzo delle risorse informatiche da parte del dipendente e del relativo potenziale controllo applicabile dal lavoratore.

Il provvedimento si inserisce in un contesto ormai diffuso che vede contrapposti coloro che si schierano fermamente dalla parte del datore di lavoro il quale può e deve controllare ogni e qualsivoglia movimento posta o navigazione del proprio dipendente, e coloro che al contrario vedono in tali condotte solo controlli mirati a “esaminare” il dipendente ed invadere pesantemente la sua privacy. Sino a ieri compito dei legali (ma spesso più della logica) era contemperare i suddetti interessi; oggi interviene proprio il Garante e va a chiarire modalità di accesso, memorizzazione, conservazione, consultazione e disponibilità delle risorse informatiche che il datore di lavoro può mettere a disposizione del proprio dipendente .

Il provvedimento si apre ovviamente con richiami ai principali generali del decreto legislativo n. 196/2003, e non va che a ribadire quanto ormai evidente in materia di privacy: occorre rispettare il lavoratore anche sulla base dello statuto ormai datato 1970 ma di estrema attualità (statuto dei lavoratori che all’art. 4 vieta il controllo a distanza dei lavoratori stessi); occorre pubblicizzare le modalità di gestione delle risorse messe a disposizione dei dipendenti affinché i controlli non divengano mezzi subdoli di monitoraggio delle persone che lavorano; occorre informare correttamente sui mezzi di controllo e sulle eventuali conseguenze.

Apparecchiature preordinate al controllo a distanza
Entriamo dunque nello specifico, partendo da quanto il Garante dispone in merito alla apparecchiature preordinate al controllo a distanza. Anzitutto tali apparecchiature possono essere predisposte rispettando dignità e libertà dei lavoratori (nello specifico rispettando le previsioni dell’art. 4 legge n. 300/70, ovvero Statuto dei Lavoratori); sono ad esempio da considerarsi in esubero rispetto alla necessità di trattamento, i sistemi di riproduzione o memorizzazione delle pagine web visualizzate dal lavoratore durante la navigazione; parimenti non è consentita una analisi occulta di computer portatili affidati in uso al lavoratore.
Laddove invece si renda tecnicamente necessario registrare, ad esempio, dati di entrate ed uscita delle mail gestite da un utente, il controllo – in quanto tecnicamente imprescindibile – sarà attuabile.

Programmi per controlli indiretti
Passiamo ai programmi che consentono controlli indiretti, ovvero quella strumentazione che, dovendo monitorare magari procedure operative per motivi di sicurezza, consente contemporaneamente di poter applicare un controllo del lavoratore.
Anche in questo caso si potrà ricorrere a tali programmi previa comunicazione sia al singolo dipendente che alla RSU (rappresentanza sindacale interna); in caso di opposizione della RSU, il titolare potrà dare comunicazione all’Ispettorato del lavoro competente il quale potrà vagliare la conformità del programma alle esigenze del datore di lavoro.
Si pensi ad esempio all’utilizzo di internet da parte dei lavoratori per necessità connesse all’attività svolta; in tal caso sarà diritto del datore di lavoro monitorare le navigazioni limitatamente alla necessità, ad esempio, di controllare l’occupazione della banda, o applicare filtri al fine di evitare navigazioni su siti non attinenti (o addirittura illeciti) all’ambito lavorativo.

Controllo della posta elettronica
Ed ora eccoci alla posta elettronica ed alla famigerata domanda: se il datore di lavoro munisce il dipendente di una casella di posta elettronica, può andare a consultare la posta anche in assenza del lavoratore, può accedere, cancellare, memorizzare senza violare principi di privacy e di segretezza della corrispondenza? Il Garante adotta una scelta quanto mai appropriata e logica (da anni sostenuta dalla sottoscritta che ovviamente stra-condivide!) ovvero il datore di lavoro che munisca i propri dipendenti di caselle di posta elettronica, deve preventivamente esplicitare in apposita policy le modalità di utilizzo della casella ovvero se può essere utilizzata con finalità personali o solo prettamente aziendali.

Nel primo caso il datore di lavoro si auto-ridurrà la sfera di accesso alla posta elettronica data in uso, conferendo però un servizio a favore dei propri dipendenti; nel secondo caso, indicando un utilizzo tassativamente di tipo lavorativo, andrà ad escludere ogni e qualsivoglia carattere di confidenzialità che potrebbe assumere l’utilizzo della posta da parte del dipendente, andando così ad eliminare ogni possibile recriminazione su memorizzazioni, accessi o altro.

Una puntualizzazione del Garante sembra interessante e cioè che in tal caso è opportuno che i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale Come dire: a scanso di equivoci chiarisco subito il tenore del messaggio e la sua conoscibilità anche da parte di terzi oltre allo scrivente-destinatario!

Principio di non eccedenza dei controlli
I controlli non possono essere prolungati, costanti o indiscriminati. Una osservazione: è difficile dimostrare che il controllo abbia caratteristiche suddette, soprattutto perché il datore di lavoro potrebbe in qualsiasi momento giustificare la necessità di monitorare i propri “affari”, andando a recriminare una visualizzazione costante della posta; così come di costanza si dovrà parlare nel caso in cui il sistema tecnicamente registri dei log di connessione (come di prassi): in tale ipotesi è impossibile pensare che non sussista la “continuità” del potenziale controllo.
Sull’argomento il Garante stesso sottolinea nelle linee guida che il prolungamento dei tempi di conservazione dei dati relativi all’uso degli strumenti elettronici, può essere giustificato da esigenze tecniche o dalla difesa di un diritto in sede giudiziaria (quindi… sempre…???!!!).

Responsabile e Policy
Infine un buon suggerimento del provvedimento è quello di istituire una apposita figura che, all’interno della struttura, impartisca istruzioni sulle regole di utilizzo della strumentazione in dotazione, andando così a completare l’opera di trasparenza ed informazione, proprie di una policy interna.
Il Garante conclude prescrivendo ai datori di lavoro pubblici e privati di adottare le misure necessarie a garantire i diritti degli interessati (lavoratori) andando a specificare le modalità di utilizzo delle risorse quali posta elettronica ed internet, dando vita ad un vero e proprio regolamento disciplinare interno.

Finalmente un intervento articolato sull’argomento, magari opinabile in qualche punto che si presta a interpretazioni diverse, ma in linea generale logico.
Datori di lavoro quindi rimboccarsi le maniche e mettere mano ad un regolamento interno di utilizzo della strumentazione informatica, e che quanto scritto rispecchi la realtà!

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
6 mar 2007
Link copiato negli appunti