GLI STRUMENTI INFORMATICI IN AMBITO LAVORATIVO, LA ... · “posta elettronica”in occasione...
Transcript of GLI STRUMENTI INFORMATICI IN AMBITO LAVORATIVO, LA ... · “posta elettronica”in occasione...
GLI STRUMENTI INFORMATICI IN AMBITO LAVORATIVO,
LA PROTEZIONE DEI DATI DEI LAVORATORI E
I CONTROLLI DEL DATORE DI LAVORO
Ravenna, 12 maggio 2015
1) Criticità nell’utilizzo degli strumenti informatici nel
contesto lavorativo
2) Utilizzo degli strumenti informatici nel luogo di lavoro:
Internet e posta elettronica. Comportamento del
dipendente, obblighi e controlli del datore di lavoro.
3) Linee guida del Garante: Disciplinare e Informativa
4) Segretezza della corrispondenza (elettronica)
Argomenti
UTILIZZO DEGLI STRUMENTI INFORMATICI
IN AMBITO LAVORATIVO
Sistema informativo aziendale
• Hardware: Postazioni di lavoro, server, stampanti,
dispositivi di rete, tablet, smartphone, ecc.
• Software: Sistemi operativi, software applicativo, servizi
web, email, chat,
• Dati: Dati aziendali, dati personali, dati sensibili, ecc.
• Persone: Know how
Il PRINCIPALE PROTAGONISTA di un sistema informativo
sono i dati
NUOVE TECNOLOGIE E LAVORO
1) Nuove potenzialità comunicative (email, pec, social
forum, ect), nuovi metodi e strumenti lavorativi, nuova
organizzazione del lavoro (telelavoro, cloud computing,
ect)
2) Rischio legato ad un utilizzo improprio delle risorse
informatiche da parte del dipendente (utilizzo della rete
internet o della posta elettronica per motivi personali e
non lavorativi, ecc)
3) Rischio legato ad un utilizzo improprio delle risorse
informatiche da parte del datore di lavoro (controllo,
utilizzo scorretto dei dati personali dei lavoratori)
RISCHI PER LA PROTEZIONE DEI DATI PERSONALI
•Nuovi metodi di raccolta delle informazioni personali, sofisticati ed
invasivi
•Maggior possibilità di controllo sull'attività lavorativa svolta dai
lavoratori, ad esempio:
• monitorando gli accessi a Internet
• controllando i siti visitati
• visionando la posta elettronica
Il controllo deve essere esercitato in modo legittimo e senza
pregiudicare interessi specifici tutelati, come appunto il diritto alla
privacy, alla dignità e alla riservatezza del lavoratore
La maggior parte delle attività compiute in ambito lavorativo
implicano il trattamento di dati personali:
- esigenze fiscali
- motivi relativi allo svolgimento del rapporto di lavoro
- ragioni di valutazione della prestazione lavorativa
A titolo di esempio
•domande di assunzione e referenze;
•dati salariali e fiscali;
•cartelle mediche;
•registri dei permessi, delle ferie o registri presenze;
•schede di valutazione e di giudizio;
•documenti relativi a promozioni, trasferimenti, formazione professionale o questioni
disciplinari;
•documenti relativi a incidenti sul lavoro;
•rimborsi spese;
•composizione del nucleo familiare (cioè dati trattati per facilitare l'accesso a
determinati servizi come la scuola materna, gli studi, il trasporto/viaggio, ecc)
•dati generati dal sistema informatico.
LAVORATORE
Strumenti tecnologici come motivo di “distrazione” dei
lavoratori e utilizzo delle dotazioni informatiche per finalità
non prettamente lavorative.
Si pensi all’uso dell’email per scopi personali, alla lettura dei
quotidiani online, alle chat, al continuo utilizzo dei social
network.
Il lavoratore non adempie alla prestazione
lavorativa
Espone l’azienda a rischi sulla sicurezza e di
responsabilità.
DATORE DI LAVORO
La tecnologia digitale permette al datore di lavoro nuove forme
di controllo col rischio di un monitoraggio costante ed invisibile
-CONTROLLO
Dalle telecamere a circuito chiuso a software in grado di leggere
e registrare i caratteri inseriti attraverso la tastiera a programmi
in grado di registrare gli accessi a tutti i siti web visitati.
-USO IMPROPRIO DEI DATI PERSONALI
La realizzazione di dettagliate banche dati contenenti
informazioni relative all’attività svolta e alla persona del
dipendente, divengono strumenti potenzialmente discriminatori
nelle mani dei datori di lavoro.
POSTA ELETTRONICA, INTERNET E TUTELA DEI DATI
L'utilizzo di INTERNET da parte dei lavoratori può formare oggetto di analisi,
profilazione (elaborazione dei dati di un utente) e integrale ricostruzione
mediante elaborazione di log file della navigazione web ottenuti, ad
esempio, da un proxy server o da un altro strumento di registrazione delle
informazioni.
I servizi di POSTA ELETTRONICA sono ugualmente suscettibili (anche
attraverso la tenuta di log file di traffico e-mail e l'archiviazione di messaggi)
di controlli che possono portare alla conoscenza da parte del datore di lavoro
(titolare del trattamento) del contenuto della corrispondenza. Perché il
datore può leggere i messaggi del dipendente, in quali occasioni?
Le informazioni così trattate contengono DATI PERSONALI anche sensibili
riguardanti lavoratori o terzi, identificati o identificabili.
Il monitoraggio delle e-mail o degli accessi a Internet implica
infatti il trattamento dei dati personali.
Il diritto alla riservatezza del lavoratore nel contesto
aziendale/lavorativo trova un limite nei diritti propri del
datore di lavoro
Il DATORE DI LAVORO
ha interesse ad organizzare il
lavoro e ad esigere una
prestazione secondo le sue
istruzioni
Il LAVORATORE ha
interesse a vedere correttamente
e legittimamente impiegate le
sue energie psico-fisiche
deve assicurare la funzionalità e il corretto
impiego di Internet e della posta elettronica
da parte dei lavoratori, e, come regola
generale imposta dal Codice della Privacy,
deve adottare idonee misure di sicurezza per
assicurare la disponibilità e l’integrità dei
sistemi informativi e dei dati (artt. 15, 31 ss.,
167 e 169 del Codice Privacy)
deve utilizzare in modo corretto e
secondo le finalità impartite dal
datore di lavoro, gli strumenti
informatici messi a sua disposizione
BILANCIAMENTO/RISCHI
Alla diffusione dell’uso degli strumenti tecnologici in ambito lavorativo
consegue, pertanto, la necessità di un corretto bilanciamento tra contrapposte
e legittime esigenze:
- quella dell’imprenditore di controllare l’attività dei propri dipendenti e
- il diritto del dipendente a non subire ingerenze nella propria vita privata
C’è bisogno di fornire sia ai datori di lavoro e ai lavoratori chiare
indicazioni sull'utilizzo di questi nuovi strumenti, sulle
misure da adottare per rendere legittimo il trattamento di dati personali e
sulle modalità per verificare il corretto utilizzo della posta elettronica e
della rete Internet.
LE LINEE GUIDA DEL GARANTE
LE LINEE GUIDA DEL GARANTE
Coordinamento tra la disciplina sulla protezione dei dati personali e le
previsioni dello statuto dei lavoratori in materia di controllo a distanza
dell’attività lavorativa
Afferma alcuni principi fondamentali, che sono quelli che in generali devono
essere rispettati in ogni trattamento che riguardi dati personali: i principi di
necessità, di correttezza, di trasparenza, pertinenza e non eccedenza, e quello
secondo cui le finalità devono essere determinate, esplicite e legittime (artt. 3
e 11 del Codice Privacy)
Suggerisce delle misure tecnologiche, organizzative, e comunicative in grado
di rendere minimi i rischi connessi con l’utilizzo delle tecnologie informatiche
nel rispetto dei diritti di tutti gli interessati
Linee guida del Garante per posta elettronica e internet“ deliberazione n. 13
del 1 marzo 2007 DOCWEB n. 1387522; Consultabili in:www.garanteprivacy
1)
Il datore di lavoro innanzitutto deve agire con TRASPARENZA e
CORRETTEZZA: il datore di lavoro ha l’onere di informare comunque gli
interessati ai sensi dell’articolo 13 del Codice privacy, e in modo
particolare di informare sulle modalità e finalità dei controlli e sui
trattamenti dati che possono riguardarli e circa le modalità di utilizzo degli
strumenti informatici messi a disposizione. (INFORMATIVA)
2)
Il Garante suggerisce l’adozione quindi di un DISCIPLINARE interno da
pubblicizzare adeguatamente e periodicamente da aggiornare.
3)
Predisporre idonee misure organizzative per la sicurezza
DISCIPLINARE
Secondo il Garante nel DISCIPLINARE andrebbe ad esempio
specificato:
1. In quale misura è consentito utilizzare anche per ragioni personali
servizi di posta elettronica o di rete, anche solo da determinate
postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail,
indicandone le modalità e l'arco temporale di utilizzo;
2. Quali informazioni sono memorizzate temporaneamente (ad es., le
componenti di file di log eventualmente registrati), chi vi può accedere
legittimamente, e se e quali informazioni sono eventualmente
conservate per un periodo più lungo, in forma centralizzata o meno
(anche per effetto di copie di back up, della gestione tecnica della rete o
di file di log );
3. Se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in
conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –
specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche
sulla funzionalità e sicurezza del sistema) e le relative modalità;
4. Quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di
trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate
indebitamente (precisando se, in caso di abusi singoli o reiterati, vengono
inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o
su singoli dispositivi e postazioni);
5. Le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la
continuità dell'attività lavorativa in caso di assenza del lavoratore stesso (specie
se programmata), con particolare riferimento all'attivazione di sistemi di risposta
automatica ai messaggi di posta elettronica ricevuti, alla delega ad altro
incaricato, alla comunicazione della password della posta elettronica;
6. Le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice,
nonché Allegato B), in particolare regole 4, 9, 10 ).
POSTA ELETTRONICA
-indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio,
[email protected], ecc)
-possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso
privato
-implementazione di funzionalità di sistema per l’invio automatico, in caso
di assenze, di messaggi di risposta contenenti le "coordinate" (anche
elettroniche o telefoniche) di un altro soggetto o altre utili modalità di
contatto della struttura.
- Scelta di un fiduciario, ovvero di un altro lavoratore che possa verificare il
contenuto di messaggi in caso di assenze improvvise e non programmate.
INTERNETPer ridurre il rischio di usi impropri di Internet (attività personali non correlate
alla prestazione lavorativa come la visione di siti non pertinenti, l'upload o il
download di file, l'uso di servizi di rete con finalità estranee all'attività), deve
adottare opportune misure che possono prevenire controlli successivi sul
lavoratore, come:
- lista di siti considerati correlati o meno con la prestazione lavorativa;
- configurazione di sistemi o utilizzo di filtri che prevengano determinate
operazioni ritenute no attinenti con l'attività lavorativa – quali l'upload o
l'accesso a determinati siti (inseriti in una sorta di black list) e/o il download di
file o software aventi particolari caratteristiche (dimensionali o di tipologia di
dato);
- trattamento di dati in forma anonima o tale da precludere l'immediata
identificazione di utenti mediante loro opportune aggregazioni (ad es., con
riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi
sufficientemente ampi di lavoratori);
- eventuale conservazione nel tempo dei dati strettamente limitata al
perseguimento di finalità organizzative, produttive e di sicurezza.
MISURE ORGANIZZATIVE E TECNOLOGICHE
Il datore di lavoro deve adottare idonee:
MISURE ORGANIZZATIVE
Valutare l’impatto dei controlli sui diritti dei lavoratori
Individuare i lavoratori che possono utilizzare la posta
elettronica e Internet
Individuare chiaramente le postazioni di lavoro
MISURE TECNOLOGICHE rispetto a
Navigazione in Internet
Utilizzo della posta elettronica
POSTA ELETTRONICA, CONTROLLI E
SEGRETEZZA DELLA CORRISPONDENZA
I problemi legati all'utilizzo del servizio di posta elettronica, sono stati
affrontati per lo più dalle autorità preposte alla protezione dei dati (sia
europee che italiane), e con la principale finalità di evitare i rischi «di
acquisizione da parte del datore di lavoro di informazioni, anche
sensibili, di lavoratori o terzi non necessariamente legate all'attività
lavorativa»
La soluzione ai problemi posti dall’utilizzo della posta elettronica,
non hanno trovato risposte giuridiche pronte e adeguate alla nuova
situazione. In alcune situazioni si è cercato di predisporre regole
nuove, ma nella maggior parte dei casi si sono adattati istituti
esistenti ai nuovi, e questo è senza dubbio il caso della tutela dei
messaggi di posta elettronica.
Le questioni legate all'utilizzo di questo sistema di comunicazione si
sono dovute confrontare con un impianto normativo ormai
superato, nato per tutelare la corrispondenza “epistolare”, per cui la
ricostruzione di un quadro giuridico è passata attraverso
interpretazioni dottrinali e pronunce giurisprudenziali.
LA SEGRETEZZA DELLA CORRISPONDENZA
ART. 15 DELLA COSTITUZIONE
«la libertà e la segretezza della corrispondenza e di ogni altra forma di
comunicazione sono inviolabili. La loro limitazione può avvenire
soltanto per atto motivato dell’autorità giudiziaria con le garanzie
stabilite dalla legge».
La Corte costituzionale fa rientrare questo diritto «tra i valori supremi
costituzionali» e,
«per la stretta attinenza della libertà e della segretezza della comunicazione al
nucleo essenziale dei valori della personalità».
Così:
Corte cost. sentenza del 26 febbraio 1993 n. 81
Corte cost. sentenza del 11 luglio 1991 n. 366
Corte cost. sentenza del 4 aprile 1973 n. 34
CORRISPONDENZA EPISTOLARE VS CORRISPONDENZA
ELETTRONICA
Il legislatore che ha equiparato le forme tradizionali di corrispondenza alla
“posta elettronica” in occasione dell'introduzione nel codice penale di
diverse figure di reato informatico ad opera della legge 547/93
Accanto alla corrispondenza epistolare, telegrafica o telefonica, viene inserita
quella «informatica o telematica ovvero ogni altra forma di comunicazione a
distanza».
Per la giurisprudenza amministrativa «la corrispondenza trasmessa per via
informatica e telematica, c.d. posta elettronica, deve essere tutelata alla
stregua della corrispondenza epistolare o telefonica ed è, quindi, caratterizzata
dalla segretezza».
Tar Lazio, sez. I, 15.11.2001, n. 9425
Quando al dipendente viene attribuita una casella di
posta elettronica, identificata con il suo nome
(sebbene sotto il dominio del datore di lavoro) e
accessibile tramite una password da lui stesso
stabilita, la corrispondenza effettuata con tale mezzo
deve considerarsi riservata e per ciò tutelata dall'art.
15 della Costituzione e penalmente dall'art. 616 del
Codice Penale.
LA TUTELA PENALE DELLA CORRISPONDENZA
A tutela del principio di segretezza della corrispondenza, il codice
penale punisce
«chiunque prende cognizione del contenuto di una
corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae,
al fine di prenderne o di farne da altri prendere cognizione, una
corrispondenza chiusa o aperta, a lui non diretta»
art. 616 cod. Pen.
La corrispondenza di cui tratta questo articolo si riferisce anche
alla corrispondenza elettronica grazie all’intervento del legislatore
che ha equiparato queste due forme.
ARTICOLO 616.
Violazione, sottrazione e soppressione di corrispondenza.
1. Chiunque prende cognizione del contenuto di una corrispondenza
chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prendere o di
farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a
lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, è
punito, se il fatto non è preveduto come reato da altra disposizione di
legge, con la reclusione fino a un anno o con la multa da lire sessantamila
a un milione.
2. Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il
contenuto della corrispondenza, è punito, se dal fatto deriva nocumento
ed il fatto medesimo non costituisce un più grave reato, con la reclusione
fino a tre anni.
3. Il delitto è punibile a querela della persona offesa.
4. Agli effetti delle disposizioni di questa sezione, per “corrispondenza” si
intende quella epistolare, telegrafica, telefonica, informatica o telematica
ovvero effettuata con ogni altra forma di comunicazione a distanza
Secondo l'articolato del codice penale, quando non vi
sia sottrazione o distrazione, la condotta di chi si limita
a “prendere cognizione” è punibile solo se riguarda
“corrispondenza chiusa”.
Chi prende cognizione di corrispondenza aperta è
invece punito solo se l’abbia a tale scopo sottratta al
destinatario ovvero distratta dalla sua destinazione.
Ma come configurare l'e-mail come
CHIUSA o APERTA dal punto di vista giuridico?
La Corte di Cassazione in una pronuncia sul tema ci spiega che: «[…]
tale corrispondenza [corrispondenza informatica] possa essere qualificata
come “chiusa” solo nei confronti dei soggetti che non siano legittimati
all’accesso ai sistemi informatici di invio o di ricezione dei singoli
messaggi. Infatti, diversamente da quanto avviene per la corrispondenza
cartacea, di regola accessibile solo al destinatario, è appunto la
legittimazione all’uso del sistema informatico o telematico che abilita
alla conoscenza delle informazioni in esso custodite. Sicché tale
legittimazione può dipendere non solo dalla proprietà, ma soprattutto
dalle norme che regolano l’uso degli impianti. E quando in particolare il
sistema telematico sia protetto da una password, deve ritenersi che la
corrispondenza in esso custodita sia lecitamente conoscibile da parte di
tutti coloro che legittimamente dispongano della chiave informatica di
accesso. […]»
CORTE CASS., V SEZIONE PENALESENTENZA N. 47096 DELL’11 DICEMBRE 2007
Quindi si ritiene che un’e-mail sia “chiusa” solo quando l’accesso al
sistema informatico di invio e ricezione dei singoli messaggi è
consentito tramite l’uso di una password.
I messaggi di posta elettronica non sono "chiusi", e quindi segreti,
rispetto a chi abbia la legittimazione all'uso del sistema informatico, in
ragione della proprietà del mezzo stesso o delle regole interne che ne
regolano l'utilizzo (per esigenze di servizio, di gestione delle malattie e
delle assenze improvvise, ecc), in quanto tale legittimazione «abilita
alla conoscenza delle informazioni in esso custodite»
«l'e-mail aziendale appartiene al datore di lavoro»
«l'uso dell'e-mail costituisce un semplice strumento aziendale a
disposizione dell'utente-lavoratore al solo fine di consentire al medesimo di
svolgere la propria funzione aziendale, e che, come tutti gli altri strumenti di
lavoro forniti dal datore di lavoro, rimane nella completa e totale
disponibilità del medesimo senza alcuna limitazione»
Ordinanza del GIP di Milano del 10 maggio 2002
BILANCIAMENTO
Il datore di lavoro che deve essere a conoscenza per esigenze lavorative della password dei dipendenti, deve adottare idonee misure di trasparenza e correttezza per evitare un utilizzo improprio delle sue prerogative:
� informare il dipendente adeguatamente, anche su questo aspetto (DISCIPLINARE E INFORMATIVA)
� Ottenerne il consenso scritto
� Predisporre adeguate misure organizzative, gestionali e informative per i proprio dipendenti su questi aspetti
CONTROLLI
CONTROLLI� I controlli effettuati dal datore di lavoro sull’utilizzo dell’account
aziendale sono in contrasto con il divieto del controllo a distanza dell’attività lavorativa , posto dall’art. 4 dello Statuto dei Lavoratori
� DIVIETO GENERALE di installazione e di utilizzo di impianti audiovisivi e di altre apparecchiature che abbiano lo scopo di controllare a distanza l’attività dei lavoratori
� « i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare adistanza e in via continuativa durante la prestazione l’attivitàlavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento»
Corte di Cassazione, Sezione Lavoro, sentenza del 2 3 febbraio 2010, n. 4375
CORTE DI CASSAZIONE CIVILE SEZ. LAVOROSENTENZA N.2722/2012 DEL 23/2/2012
� La Corte di Cassazione ha ribadito il divieto di controlli sistematici dell’attività dei lavoratori, ma ha riconosciuto però al datore di lavoro la
� facoltà di «controlli eccezionali dettati da esigenze defensionali a tutela del datore di lavoro stesso». CONTROLLI DIFENSIVI
1 RISERVATEZZA2 CONTROLLO
CONTROLLI DIFENSIVI
Se la sorveglianza non è continua, Se la sorveglianza è eccezionale
Se la sorveglianza avviene in seconda battuta, nel momento in cui l’azienda,
a seguito dell’emersione di elementi di fatto «tali da raccomandare l’avvio di
una indagine retrospettiva», accede alla corrispondenza telematica del
dipendente e da tale ispezione ravvede delle violazioni gravi che ne
giustifichino il licenziamento.
ORGANIZZAZIONE DEI CONTROLLI
E’ fondamentale organizzare le attività di controllo in modo conforme alle prescrizioni di legge, per cui:
� non si possono installare apparecchiature, di nessun tipo, preordinate ad un controllo a distanza dei lavoratori: in questoambito si possono far rientrare i software che, in relazione al modo in cui sono progettati e/o configurati, permettano la memorizzazione o la riproduzione delle pagine web accedute o l'esplicazione di controlli protratti nel tempo
� sono ammessi per esigenze produttive, organizzative o di sicurezza sul lavoro sistemi di controllo indiretto, ma sempre nel rispetto delle procedure di informazione e consultazione dei lavoratori e dei sindacati
GRADUALITÀ NEI CONTROLLI� Nell’effettuare i controlli deve essere evitata un’interferenza
ingiustificata sui diritti e sulle libertà fondamentali dei lavoratori e di eventuali terzi
� Il controllo è lecito se sono rispettati i principi di pertinenza e non eccedenza
� In linea generale i controlli dovrebbero avere per oggetto dati in forma aggregata, riferiti alla struttura organizzativa o a sue aree
� Se dall'analisi di questi ultimi emergono elementi che fanno presumere utilizzi impropri o non consentiti degli strumenti aziendali, vanno emessi avvisi generalizzati, anche circoscritti a particolari aree di lavoro, con l'invito ad attenersi alle direttive aziendali
� Soltanto nel caso in cui, a seguito degli avvisi, le attività anomale non cessino sarà possibile procedere a controlli su base individuale