Uso dei social network in azienda. cognizione e consapevolezza su come tali dati possano circolare

Transcript

1 Soluzioni operative Uso dei social network in azienda Graziano Garrisi - Studio legale Lisi Luca Christian Natali - Studio legale Natali-Angelini L utilizzo dei social network sul luogo di lavoro è diventata oramai una prassi piuttosto invalsa presso molte aziende, sia per quelle che ricercano, tramite l utilizzo di strumenti quali Facebook o Linkedin, i profili/utente relativi a candidati per la futura assunzione, sia per le aziende che consentono liberamente l utilizzo di social network ai loro dipendenti o collaboratori per finalità di svago e condivisione delle informazioni. Le finalità sono naturalmente differenti: il primo caso costituisce un tipico esempio di utilizzo e trattamento di dati personali nell ambito dei social network, che consente di verificare o completare le informazioni fornite dai candidati all assunzione o di ricercare ulteriori informazioni per selezionare nuovo personale; nel secondo caso, invece, è più evidente la finalità ludica e di svago che va al di la di una specifica finalità lavorativa. Utilizzo legittimo I servizi di social network, pur offrendo molte nuove opportunità comunicative, possono comportare notevoli rischi per la privacy sia degli utenti sia di terzi. I dati personali contenuti nei vari profili sono, infatti, disponibili pubblicamente e globalmente, anche attraverso enormi quantità di foto e di video e possono raggiungere una moltitudine di soggetti iscritti allo stesso social network. Tali dati possono essere copiati da altri membri della rete o da terzi esterni e venire utilizzati per costruire profili personali o essere ripubblicati altrove senza avere una piena cognizione e consapevolezza su come tali dati possano circolare nel web. Per prevenire tali rischi, occorre sviluppare all interno delle aziende una serie di regole comuni e di gestione che consentano un uso consapevole di strumenti così nuovi come Facebook e Linkedin. La pericolosità dei social network (Facebook, MySpace, Linkedin e altri), infatti, deriva dalla loro stessa natura: trattasi di piazze virtuali, ovvero di luoghi in cui ci si ritrova attraverso la Rete Internet, condividendo determinati contenuti che possono far gola a quanti sono alla ricerca di preziose informazioni da sfruttare anche per finalità di marketing. Pur essendo straordinari strumenti di condivisione e di comunicazione delle informazioni, l utilizzo dei social network comporta dei rischi anche per l azienda stessa, in quanto i dipendenti potrebbero porre in essere condotte consistenti in attività non correlate alla prestazione lavorativa, quali, ad esempio, la visione di siti non pertinenti, l upload o il download di file, l uso di servizi di rete con finalità ludiche o estranee all attività lavorativa. Con l utilizzo di tali strumenti, inoltre, l azienda è obbligata a prestare maggiori cautele dal punto di vista informatico (con adeguate misure di sicurezza) e tutelarsi da attacchi informatici esterni e/o interni. Al fine di ridurre i rischi generati dalla navigazione web in azienda, pertanto, è necessario: a) osservare le otto misure minime di sicurezza, che costituiscono il livello di sicurezza minimo di legge (per evitare conseguenze penali); b) approntare le misure di sicurezza ulteriori, che, in base al caso concreto, si possono predisporre (protezioni degli apparati e dei sistemi); c) predisporre una corretta gestione delle risorse umane e un informativa volta a responsabilizzare i dipendenti durante lo svolgimento dei compiti affidati; d) formare i vari dipendenti affinché possano avere la piena consapevolezza dei propri compiti e responsabilità prima di utilizzare qualsiasi strumento informatico o, come nel caso di specie, un servizio di social networking online. Regolamentazione dell attività del dipendente Un tema molto delicato e frequente in azienda attiene all attività del dipendente che, durante l orario di lavoro, sottrae del tempo alle proprie incombenze navigando in internet, realizzando così attività che esulano dal normale contesto lavorativo (nello specifico facendo uso dei siti web social networking). Al riguardo, ci sono due possibilità per evitare che il dipendente perda del tempo in attività extra-lavorative favorite dall utilizzo dello strumento telematico: a) non consentire già a livello tecnologico la navigazione su determinati siti web (compresi i social network quali facebook, linkedin, twitter etc.); b) controllare saltuariamente la navigazione sul web e l uti- 275

2 lizzo che il dipendente fa di questi strumenti. Scegliendo la prima soluzione, il problema viene eliminato all origine; circa la seconda possibilità, invece, il tema dei controlli a distanza in azienda è stato da sempre al centro di ampi dibattiti in merito alla legittimità o meno di attività ritenute piuttosto invasive nei confronti del dipendente (controllo e accessi internet, videosorveglianza ecc.). Infatti, non tutto ciò che è tecnologicamente possibile è lecito anche dal punto di vista normativo: occorre raggiungere, infatti, un giusto bilanciamento di interessi tra il potere del datore di lavoro di controllare l attività dei suoi dipendenti e la tutela della riservatezza del singolo dipendente. Il Garante, al proposito, entro certi limiti consente una sorta di attività di controllo e monitoraggio saltuario da parte del datore di lavoro sull attività lavorativa dei suoi dipendenti. La normativa che interviene a regolamentare questa delicata materia, infatti, è rappresentata dal Decreto legislativo 30 giugno 2003 n. 196 (Codice Privacy), dallo Statuto dei lavoratori (legge 20 maggio 1970 n. 300), dai provvedimenti giudiziali (giurisprudenza di merito e legittimità) e dai Provvedimenti dell Autorità Garante per la Privacy. Ad oggi, si può affermare che vige il divieto del controllo a distanza del lavoratore, fatte salve le garanzie previste in materia di lavoro quando gli strumenti di controllo sono impiegati per esigenze organizzative e di tutela dei processi produttivi; in particolare, l attività di controllo viene richiesta per esigenze di sicurezza del lavoro (art. 114 Codice e art. 4 Statuto lavoratori) e alla base deve esserci, in ogni caso, un preventivo accordo sindacale o l autorizzazione della direzione provinciale del lavoro. La giurisprudenza, tra l altro, considera legittimi i cd. «controlli difensivi» del lavoratore e, cioè, quelli che si rendono necessari, e pertanto giustificati e legittimi, per garantire la tutela del patrimonio aziendale. Attraverso tali controlli, infatti, è possibile prevenire gli illeciti o, nel caso in cui questi siano stati già compiuti, individuarne gli autori. Questo vuol dire che esulano dall ambito di applicazione dell art. 4 Statuto dei lavoratori i soli controlli difensivi diretti ad accertare condotte illecite del lavoratore e non quelli che riguardano, invece, direttamente o indirettamente l attività lavorativa (1). Pertanto, l installazione di apparecchiature con il precipuo fine di controllare i lavoratori è sempre vietato, mentre un controllo quale effetto della installazione di apparecchiature giustificate da ragioni di organizzazione, produzione o sicurezza (c.d. controllo preterintenzionale) è consentito previo il rispetto di una procedura tassativa, obbligatoria e preventiva: l accordo con le Rsa (ciò, naturalmente, se sono presenti i sindacati in azienda) o l istanza all Ispettorato del lavoro; in ogni caso, è necessaria l adozione di un Disciplinare Interno così come previsto dal Garante Privacy. In questa delicata materia si è espresso il Garante Privacy che, con un Provvedimento datato 1º marzo 2007 «Linee guida del Garante per posta elettronica e internet», ha fornito una concreta ed esaustiva risposta ad una tematica che a lungo ha affannato teorici e pratici, ovvero la possibilità, da parte del datore di lavoro, di trattare i dati personali del proprio dipendente al fine di verificare che la posta elettronica e la rete Internet (e, quindi, anche la navigazione sui siti di social network) siano utilizzate, nel rapporto di lavoro, in modo corretto. La pronuncia del Garante, lungi dall essere un provvedimento di mera applicazione delle regole enunciate dal D.Lgs. n. 196/2003 e di quelle contenute nello Statuto dei lavoratori, rappresenta un esemplare contemperamento degli interessi alla cui tutela i due testi legislativi citati sono preposti: da un lato, la tutela della riservatezza e della dignità del lavoratore, dall altro, le esigenze del datore di lavoro relative all organizzazione, alla produzione ed alla sicurezza (2). Ecco, dunque, che, accanto al richiamo ai principi generali del Codice sulla privacy, figura anche quello alle norme contenute nelle discipline di settore (legge 20 maggio 1970, n. 300): è necessario che il lavoratore venga rispettato anche secondo i dettami dello Statuto dei lavoratori, norma sempre di grande attualità che, all art. 4, vieta il controllo a distanza degli stessi lavoratori, ammettendolo solo nei casi in cui le apparecchiature a ciò utilizzate siano finalizzate a soddisfare esigenze organizzative, produttive e di sicurezza dell azienda oppure siano installate previo accordo con le rappresentanze sindacali aziendali, con la commissione interna, ovvero, in mancanza, previa autorizzazione dell Ispettorato provinciale del lavoro. Da tale divieto, che facilmente si allinea con i principi di necessità del trattamento, di correttezza e, quindi, di tra- Note: (1) Al contrario, in una recente sentenza, è stato addirittura affermato che «Il datore di lavoro può controllare, direttamente o attraverso agenti investigatori incaricati, l adempimento delle prestazioni lavorative dei propri dipendenti, se ha motivo di temere che questi ultimi svolgano attività in violazione degli obblighi contrattuali» (Tribunale Modena, sez. lavoro, sentenza 16 gennaio 2008). Le norme previste dallo Statuto dei lavoratori, infatti, non escludono il potere dell imprenditore, ai sensi degli art e 2104 c.c., di controllare direttamente o mediante la propria organizzazione gerarchica non già l uso, da parte dei dipendenti, della diligenza richiesta nell adempimento delle prestazioni contrattuali, bensì il corretto adempimento delle prestazioni lavorative, al fine di accertare mancanze specifiche dei dipendenti già commesse o in corso di esecuzione eciòindipendentemente dalle modalità del controllo, che può legittimamente avvenire anche occultamente, senza che vi sia violazione del principio di correttezza e buona fede nell esecuzione dei rapporti, né del divieto, penalmente sanzionato, di cui all art. 4 della legge n. 300/1970, che riguarda esclusivamente l uso di apparecchiature per il controllo a distanza. (2) Internet e posta elettronica: controlli possibili ma a determinate condizioni, pubblicato sulla rivista iged.it on line n

3 sparenza, deriva l onere in capo al datore di lavoro di indicare «chiaramente ed in modo particolareggiato quali siano le modalità di utilizzo degli strumenti messi a disposizione dei dipendenti ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli» (compreso, quindi, l utilizzo per finalità lavorative o meno dei social network in azienda). In sostanza, occorre avere una policy aziendale condivisa in cui precisare, ad esempio, che i pc, l e gli strumenti informatici (tra cui si può far rientrare l utilizzo anche dei recenti siti web di social networking) sono strumenti di lavoro, che vige il divieto di utilizzarli per partecipare a forum o dibattiti, che l azienda verificherà il rispetto delle regole e l integrità del proprio sistema informatico e che eventualmente potranno essere applicate sanzioni disciplinari nel caso di mancato rispetto. I datori di lavoro pubblici e privati, infatti, se non in casi eccezionali, non possono direttamente controllare l attività lavorativa, compresa la navigazione in Internet, dei dipendenti. Come è stato ribadito più volte dal Garante Privacy, spetta al datore di lavoro definire le modalità d uso di tali strumenti, tenendo conto sempre dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali. Alla luce dei doveri di trasparenza e correttezza, il Garante prescrive a carico del datore di lavoro: l adozione e l adeguata pubblicizzazione di un disciplinare interno (redatto in modo chiaro e senza formule generiche, da diffondere adeguatamente e da aggiornare periodicamente); l adozione di misure di tipo organizzativo; l adozione di misure di tipo tecnologico per la navigazione in internet e per l utilizzo delle ; il divieto di controlli a distanza sistematici (la registrazione sistematica e il controllo diretto dell attività dei lavoratori, infatti, non sono mai consentiti, neppure quando i lavoratori ne siano consapevoli). In particolare, in merito alla possibile esigenza di limitare o impedire l uso di siti web di social networking, il Garante, nel già citato provvedimento del 1º marzo 2007, ha precisato che il datore di lavoro, per ridurre il rischio di usi impropri della navigazione in Internet (consistenti in attività non correlate alla prestazione lavorativa quali la visione di siti non pertinenti, l upload o il download di file, l uso di servizi di rete con finalità ludiche o estranee all attività che possano far perdere del tempo durante l orario lavorativo), deve adottare opportune misure che possano prevenire controlli successivi sul lavoratore. L importanza di tali accorgimenti risiede nel fatto che tali controlli, leciti o meno a seconda dei casi, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonei a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale; nonché nella circostanza per cui la navigazione su siti web non consentiti potrebbe mettere addirittura a rischio l intera sicurezza interna aziendale. In tal caso, il datore di lavoro deve procedere con: l individuazione di categorie di siti considerati correlati o non correlati con la prestazione lavorativa; la configurazione di sistemi o l utilizzo di filtri che prevengano determinate operazioni; e, in caso di controllo; il trattamento di dati in forma anonima o tale da precludere l immediata identificazione degli utenti mediante opportune aggregazioni; l eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza; la graduazione dei controlli. Al fine di prevenire abusi o utilizzi illeciti delle apparecchiature informatiche e degli strumenti elettronici ad uso lavorativo, è sempre utile e, comunque, consigliabile per il datore di lavoro redigere un regolamento interno (c.d. Disciplinare Interno o Privacy Policy) seguendo le prescrizioni del Garante Privacy emanate in questa materia. La sua finalità, così come ribadito più volte dalla stessa Autorità Garante, è quella di: spiegare ai lavoratori che gli strumenti informatici, internet e la casella sono strumenti di lavoro e non sono consentiti altri usi; rendere edotti i lavoratori sui rischi connessi all uso improprio di internet e delle , in modo che siano chiare le finalità del controllo; elencare le misure tecniche adottate per prevenire abusi o minacce alla sicurezza del sistema, tra cui le eventuali modalità di controllo del traffico telematico; indicare le modalità e la durata delle registrazioni del traffico telematico, le misure di sicurezza per la custodia dei dati e la procedura da seguire per accedervi; contenere tutte le prescrizioni utili per il corretto uso degli strumenti informatici a disposizione dei lavoratori. Naturalmente ci sarà ampia libertà di scelta nelle misure di sicurezza da adottare e ciò in base sia alla natura dei dati trattati, sia all importanza che viene conferita alle proprie banche dati. Giova ricordare in proposito, tuttavia, che il datore di lavoro dovrebbe in ogni caso agire con una trasparente privacy policy fondata sulla proporzionalità dei controlli effettuati, sulla corretta informazione ai lavoratori (mediante idonee informative e regolamenti aziendali interni) e su un adeguata organizzazione interna (mediante il conferimento di lettere di incarico formalizzate per iscritto e redazione di un aggiornato documento programmatico sulla sicurezza). Essenziale è soprattutto che il disciplinare interno sia redatto in modo chiaro, senza formule generiche, aggiornato e pub- 277

4 blicizzato adeguatamente mediante idonei strumenti di comunicazione aziendale interna. La mancanza di una policy al riguardo, infatti, potrebbe determinare una legittima aspettativa del lavoratore circa la confidenzialità o il carattere privato di alcune forme di comunicazione messe a sua disposizione. Divieto di utilizzo dei social network I social network, come precisato dal Garante, sono strumenti che forniscono l impressione di avere una piccola area riservata e personale o di una piccola comunità su internet. Ciò, tuttavia, non è sempre vero perché i rischi connessi all utilizzo di tale strumento (anche in azienda) può portare a rivelare informazioni strettamente riservate e personali, provocando una diffusione protratta nel tempo che può sfociare in gravi violazioni della privacy di se stessi e dei terzi coinvolti nelle discussioni o nelle comunicazioni. Il rischio che si corre utilizzando un sito web di social networking, infatti, è che quando vengono inseriti su internet i dati personali ne viene perso il controllo: i dati possono essere registrati da tutti i contatti e dai componenti dei gruppi cui si aderisce, possono essere rielaborati, diffusi, anche a distanza di anni. Ad esempio, l utilizzo di Linkedin da parte dei dipendenti all interno del contesto lavorativo, per finalità di ricerca e selezione del personale, è un attività che di per sé non comporta particolari problemi dal punto di vista della riservatezza, perché è un servizio di social networking on line impiegato principalmente per «networking professionale», il cui scopo è quello di mantenere una lista di persone (o contatti) conosciute e ritenute affidabili in ambito lavorativo (trovare offerte di lavoro, persone, opportunità di business, ricercare potenziali candidati ecc.); naturalmente è bene sapere che di questo strumento bisogna farne sempre un uso consapevole e professionale per non incorrere in possibili violazioni della privacy. Diversamente, per quanto riguarda Facebook, tale famoso social networking non nasce con un preciso scopo professionale e, quindi, un eventuale trattamento di dati per finalità di ricerca e selezione del personale sarebbe ultroneo e non legittimo se non si è prima acquisito il consenso delle persone interessate. In ogni caso, a prescindere dall utilizzo che viene fatto di tali strumenti e per non incorrere in eventuali pericoli o violazione di norme a tutela della privacy, il Titolare del trattamento dovrà impedire il collegamento ai siti web di social networking (quali Facebook e/o Linkedin) se li riterrà non pertinenti con l attività lavorativa; tale scelta, infatti, risulta giustificata dal fatto che l utilizzo di siti web di social networking e della rete internet (in assenza di una specifica regolamentazione interna) potrebbe penalizzare l azienda, sia perché il dipendente potrebbe essere portato a sottrarre del tempo al normale svolgimento della propria attività lavorativa, sia perché un utilizzo improprio e non controllato potrebbe far sorgere delle responsabilità anche all azienda stessa. Ricordiamo, a tal proposito, che il D.Lgs. n. 231/2001, recentemente modificato dal recepimento della Convenzione di Budapest sui crimini informatici, punisce sia il dipendente infedele che commette crimini attraverso la rete internet, sia l azienda a titolo di responsabilità oggettiva e per non aver controllato l operato del proprio dipendente mediante un modello organizzativo idoneo a prevenire la commissione dell illecito commesso. In ogni caso, è quanto mai opportuno adottare un idoneo Regolamento Aziendale Interno (così come prescritto dal Garante) che possa fungere, da un lato, da guida per i lavoratori al fine di consentire un corretto utilizzo degli strumenti elettronici dati in uso per lo svolgimento della normale attività lavorativa e, dall altro, come un utile strumento per il datore di lavoro, idoneo a legittimare anche controlli a carico dei suoi dipendenti, ma sempre nel rispetto del principio dei cd. «controlli difensivi», che si rendono necessari, e pertanto giustificati e legittimi, per garantire la tutela del patrimonio aziendale. La scelta circa la possibilità di utilizzare i social network in azienda, quindi, è lasciata al datore di lavoro che potrà o regolamentare nel dettaglio l utilizzo legittimo di tali strumenti durante l attività lavorativa oppure potrà tranquillamente rinunciare alla possibilità di consentire il loro utilizzo sia quale strumento lavorativo da dare in uso al dipendente sia quale mezzo di svago. Soluzioni operative del Garante Privacy Come rilevato al riguardo dal Garante Privacy, al fine di prevenirne i rischi connessi serve un vero antivirus, che consiste nel diventare utilizzatori dei social network più attenti ai diritti, propri e altrui. È per questo che il Garante Privacy è intervenuto a segnalare alcune misure da adottare per un uso corretto dei social network quali: evitare di pubblicare i propri dati personali (soprattutto indirizzo, numero di telefono) in un profilo-utente; tenere a mente che certe immagini o certe informazioni possono riemergere, complici i motori di ricerca, in occasione di colloqui di lavoro; usare in certi casi pseudonimi, meglio se diversi in ciascuna rete cui si partecipa; informarsi su chi gestisce il servizio e quali garanzie dà il fornitore del servizio rispetto al trattamento dei dati personali, e - ciò che più rileva anche nella fattispecie in commento - utilizzare impostazioni orientate alla privacy, limitando al massimo la disponibilità di informazioni, so- 278

5 prattutto rispetto alla reperibilità dei dati da parte dei motori di ricerca. Il Garante Privacy è intervenuto anche recentemente, affermando l inconfigurabilità nel caso concreto dell istituto del controllo a distanza, così ponendosi sostanzialmente in linea con le predette Linee Guida in materia di posta elettronica e Internet e con l orientamento fin qui manifestato riguardo al social network Facebook, che tende, in armonia con il diritto positivo dello Statuto dei lavoratori del 1970 e con la giurisprudenza giuslavoristica, a negare la legittimità del controllo a distanza dei lavoratori, esclusi casi eccezionali (come per l accertamento di illeciti del lavoratore). Caso concreto Precisamente, nel caso concreto, il lavoratore, licenziato dalla sua azienda, ha adito il Garante lamentando l utilizzo da parte di quest ultima di alcune fotografie (scattate sul luogo di lavoro, con sullo sfondo disegni - a detta dell azienda - coperti da segreto industriale) tratte dal suo profilo Facebook e affermando la illiceità del trattamento dei relativi dati, considerato il carattere chiuso del profilo, riservato a una cerchia ristretta di utenti, tra i quali non rientrava il datore di lavoro, e l assenza del consenso dell interessato ex art. 23 del Codice Privacy. Il Garante della Privacy, accogliendo l impostazione del datore di lavoro, ha tuttavia sancito la liceità del trattamento, evidenziando che la possibilità di consultare le foto in questione era consentita non solo ai contatti scelti dal dipendente (i cosiddetti amici ), ma a una comunità più vasta, i c.d. amici degli amici, cioè ai contatti scelti dai contatti dell interessato, quindi a una cerchia di utenti sostanzialmente indeterminabile. Conclusioni Anche dalla fattispecie appena considerata, emerge, tuttavia, sempre più evidente, la necessità di regole che insieme mantengano la natura libertaria e aperta di Internet e garantiscano i diritti degli utenti, perché tali diritti meritano di essere tutelati proprio nell ambiente del web, sempre più ampio, utilizzato e quindi particolarmente insidioso. Ciò senza dimenticare che la tutela dei diritti on line passa anche per la necessaria presa di coscienza degli utenti stessi della rete riguardo ai suoi possibili vantaggi e potenzialità, ma anche svantaggi e pericoli. 279