Privacy nei luoghi di lavoro: l’uso di email e internet

Il 1° marzo 2007, il Garante Privacy interviene con la prescrizione di un nuovo adempimento  obbligatorio (ex Art. 154, comma 1, lettera c Dlgs 196/2003) rivolto a tutti i datori di lavoro i cui  dipendenti hanno accesso a internet e posta elettronica: il Disciplinare sull’uso di internet e  posta elettronica.

 

QUAL E’ IL PROBLEMA?

Da una parte il Datore di lavoro che deve:

  • assicurare la funzionalità e il corretto impiego di Internet e Email da parte dei lavoratori, definendone le modalità d’uso nell’organizzazione dell’attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali;
  • adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 ss., 167 e 169 del Codice Privacy);

Dall’altra il Lavoratore:

  • L’utilizzo di Internet da parte dei lavoratori può infatti formare oggetto di analisi, profilazione e integrale ricostruzione mediante elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle informazioni
  • I servizi di posta elettronica sono parimenti suscettibili (anche attraverso la tenuta di log file di traffico e-mail e l’archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza.
Le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi, identificati o identificabili.

In mezzo: l’Art. 4 Statuto dei Lavoratori:

Nell’esercizio dei controlli diretti legittimi (per l’adempimento della prestazione lavorativa e del corretto utilizzo degli strumenti di lavoro) il Datore di lavoro deve rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (art. 4, primo comma, L.300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica.

 

I CONTROLLI A DISTANZA INDIRETTI

Il Datore di lavoro, per esigenze produttive o organizzative (ad es., per rilevare anomalie o per manutenzioni) o, comunque, quando gli stessi si rivelano necessari per la sicurezza sul lavoro, può avvalersi legittimamente, nel rispetto dello Statuto dei lavoratori (art. 4, comma 2), di sistemi che consentono indirettamente un controllo a distanza (c.d. controllo preterintenzionale) e determinano un trattamento di dati personali riferiti o riferibili ai lavoratori.

Tali controlli preterintenzionali devono, comunque, rispettare rigorose procedure di:

  • informazione e
  • consultazione di lavoratori e sindacati…

… in relazione all’introduzione o alla modifica di sistemi automatizzati per la raccolta e l’utilizzazione dei dati nonché in caso di introduzione o di modificazione di procedimenti tecnici destinati a controllare i movimenti o la produttività dei lavoratori.

 

OBBLIGHI DI INFORMAZIONE

I datori di lavoro, pertanto, devono informare con chiarezza e in modo dettagliato i lavoratori:

  • sulle modalità di utilizzo di Internet e della posta elettronica e
  • sulla possibilità che vengano effettuati controlli.

 

DIVIETI

E’ fatto divieto,  in quanto realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori:

  • di leggere e registrare sistematicamente le e-mail
  • di monitorare sistematicamente le pagine web visualizzate dal lavoratore.

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.

 

IL DISCIPLINARE INTERNO

Il Provvedimento del Garante, inoltre, raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.

Contenuto minimo del Disciplinare è il seguente:

Per quanto riguarda Internet:

  • individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
  • utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta  di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l’azienda:

  • renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
  • valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
  • preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
  • metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare  il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

 

PRINCIPIO DI GRADUALITA’ NEI CONTROLLI

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità.

  • In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole.
  • Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Il Disciplinare adottato va reso pubblico tra i lavoratori  inserendolo, ad esempio, nella rete intranet aziendale e, comunque, consegnato e firmato per presa visione.

 

SANZIONI IN CASO DI MANCATA ADOZIONE DEL DISCLIPINARE

L’Art 162 Dlgs 196/2003, al riguardo non lascia scampo:

in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.