Il Garante, dunque, a distanza di pochi mesi dal provvedimento relativo alla privacy applicata al dipendente nell’ambiente lavorativo (gestione busta paga, dati sindacali, sanitari, ecc.), torna sul rapporto privacy/datore di lavoro/dipendente, andando a toccare un tasto quanto mai discusso, quello relativo all’utilizzo delle risorse informatiche da parte del dipendente e del relativo potenziale controllo applicabile al lavoratore.
Il provvedimento si inserisce in un contesto ormai diffuso che vede contrapposti coloro che si schierano fermamente dalla parte del datore di lavoro il quale può e deve controllare ogni e qualsivoglia movimento posta o navigazione del proprio dipendente, e coloro che al contrario vedono in tali condotte solo controlli mirati a “esaminare” il dipendente ed invadere pesantemente la sua privacy. Sino ad ieri compito dei legali (ma spesso più della logica) era contemperare i suddetti interessi; oggi interviene proprio il Garante che va a chiarire modalità di accesso, memorizzazione, conservazione, consultazione e disponibilità delle risorse informatiche che il datore di lavoro può mettere a disposizione del proprio dipendente.
Il provvedimento si apre ovviamente con richiami ai principali generali del decreto legislativo n. 196/2003, e non va che a ribadire quanto ormai evidente in materia di privacy: occorre rispettare il lavoratore anche sulla base dello statuto ormai datato 1970 ma di estrema attualità (statuto dei lavoratori che all’art. 4 vieta il controllo a distanza dei lavoratori stessi); occorre pubblicizzare le modalità di gestione delle risorse messe a disposizione dei dipendenti affinché i controlli non divengano mezzi subdoli di monitoraggio delle persone che lavorano; occorre informare correttamente sui mezzi di controllo e sulle eventuali conseguenze.
Apparecchiature preordinate al controllo a distanza
Entriamo dunque nello specifico, partendo da quanto il Garante dispone in merito alla apparecchiature preordinate al controllo a distanza. Anzitutto tali apparecchiature possono essere predisposte rispettando dignità e libertà dei lavoratori (nello specifico rispettando le previsioni dell’art. 4 legge n. 300/70, ovvero Statuto dei Lavoratori); sono ad esempio da considerarsi in esubero rispetto alla necessità di trattamento, i sistemi di riproduzione o memorizzazione delle pagine web visualizzate dal lavoratore durante la navigazione; parimenti non è consentita una analisi occulta di computer portatili affidati in uso al lavoratore. Laddove invece si renda tecnicamente necessario registrare ad esempio, dati di entrate ed uscita delle mail gestite da un utente, il controllo – in quanto tecnicamente imprescindibile – sarà attuabile.
Programmi per controlli indiretti
Passiamo ai programmi che consentono controlli indiretti, ovvero quella strumentazione che, dovendo monitorare magari procedure operative per motivi di sicurezza, consente contemporaneamente di poter applicare un controllo del lavoratore.
Anche in questo caso tali programmi saranno attuabili previa comunicazione sia al singolo dipendente che alla RSU (rappresentanza sindacale interna); in caso di opposizione della RSU, il titolare potrà dare comunicazione all’Ispettorato del lavoro competente il quale potrà vagliare la conformità del programma alle esigenze del datore di lavoro. Si pensi ad esempio all’utilizzo di internet da parte dei lavoratori per necessità connesse all’attività svolta; in tal caso sarà diritto del datore di lavoro monitorare le navigazioni limitatamente alla necessità, ad esempio, di controllare l’occupazione della banda, o applicare filtri al fine di evitare navigazioni su siti non attinenti (o addirittura illeciti) all’ambito lavorativo.
Controllo della posta elettronica
Ed ora eccoci alla posta elettronica ed alla famigerata domanda: se il datore di lavoro munisce il dipendente di una casella di posta elettronica, può andare a consultare la posta anche in assenza del lavoratore, può accedere, cancellare, memorizzare senza violare principi di privacy e di segretezza della corrispondenza?
Il Garante adotta una scelta quanto mai appropriata e logica (da anni sostenuta dalla sottoscritta che ovviamente stra-condivide!!!) ovvero il datore di lavoro che munisca i propri dipendenti di caselle di posta elettronica, deve preventivamente esplicitare in apposita policy le modalità di utilizzo della casella, ovvero se essa possa essere utilizzata con finalità personali o solo prettamente aziendali.
Nel primo caso il datore di lavoro si auto-ridurrà la sfera di accesso alla posta elettronica data in uso, conferendo però un servizio a favore dei propri dipendenti; nel secondo caso, indicando un utilizzo tassativamente di tipo lavorativo, andrà ad escludere ogni e qualsivoglia carattere di confidenzialità che potrebbe assumere l’utilizzo della posta da parte del dipendente, andando così ad eliminare ogni possibile recriminazione su memorizzazioni, accessi o altro.
Una puntualizzazione del Garante sembra interessante e cioè che in tal caso è opportuno che “i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale”. Come dire: a scanso di equivoci chiarisco subito il tenore del messaggio e la sua conoscibilità anche da parte di terzi oltre allo scrivente-destinatario !!!
Principio di non eccedenza dei controlli
Altro punto focale: non eccedenza dei controlli. I controlli non possono essere prolungati, costanti o indiscriminati. Un'osservazione: è difficile dimostrare che il controllo abbia le caratteristiche suddette, soprattutto perché il datore di lavoro potrebbe in qualsiasi momento giustificare la necessità di monitorare i propri “affari”, andando a recriminare una visualizzazione costante della posta; così come di costanza si dovrà parlare nel caso in cui il sistema tecnicamente registri dei log di connessione (come di prassi): in tale ipotesi è impossibile pensare che non sussista la “continuità” del potenziale controllo.
Sull’argomento il Garante stesso sottolinea nelle linee guida che il prolungamento dei tempi di conservazione dei dati relativi all’uso degli strumenti elettronici, può essere giustificato da esigenze tecniche o dalla difesa di un diritto in sede giudiziaria (quindi… sempre…???!!!).
Responsabile e Policy
Infine un buon suggerimento del provvedimento è quello di istituire una apposita figura che all’interno della struttura impartisca istruzioni sulle regole di utilizzo della strumentazione in dotazione, andando così a completare l’opera di trasparenza ed informazione, proprie di una policy interna.
Il Garante conclude prescrivendo ai datori di lavoro pubblici e privati di adottare le misure necessarie a garantire i diritti degli interessati (lavoratori) andando a specificare le modalità di utilizzo delle risorse quali posta elettronica ed internet, dando vita ad un vero e proprio regolamento disciplinare interno.
Finalmente un intervento articolato sull’argomento, magari opinabile in qualche punto che si presta a interpretazioni diverse, ma in linea generale logico.
Datori di lavoro quindi rimboccarsi le maniche e mettere mano ad un regolamento interno di utilizzo della strumentazione informatica, e che quanto scritto rispecchi la realtà!!!
Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it
Stampa 
