Privacy - poteri di controllo del datore di lavoro e nuove tecnologie

Transcript

1 S.A.F. SCUOLA DI ALTA FORMAZIONE Privacy - poteri di controllo del datore di lavoro e nuove tecnologie GIUSEPPE MANTESE 14 gennaio 2009 Milano

2 Argomenti trattati nell intervento: Utilizzo degli strumenti informatici in azienda, poteri di controllo del datore di lavoro e quadro normativo a tutela dei lavoratori; Misure opportune per ridurre il rischio di usi impropri di internet e della posta elettronica nel rapporto di lavoro; Gestione e conservazione dei dati raccolti attraverso i controlli lecitamente effettuati 2

3 CONSIDERAZIONI PRELIMINARI Gli strumenti informatici (internet, posta elettronica, applicazioni software) messi a disposizione dall azienda ed utilizzati dai dipendenti e dei collaboratori per svolgere l attività lavorativa possono incrementare significativamente il potere di controllo del datore di lavoro sui suoi sottoposti attraverso la gestione della considerevole quantità e qualità di dati personali e non, che viene originata dall utilizzo di tali dispositivi tecnologici. L utilizzo degli strumenti informatici sul luogo di lavoro da parte dei lavoratori anche per fini privati, rappresenta una situazione di fatto generalizzata e pertanto non sembra ragionevole un divieto assoluto a tale uso da parte del datore di lavoro Va dato risalto al fatto che l evoluzione delle condizioni di lavoro rende oggi più difficile stabilire una netta separazione tra le ore di lavoro e la vita privata. Fonte: Documento di lavoro riguardante la vigilanza sulle comunicazioni Working Party maggio 2002 sul posto di lavoro Data Protection 3

4 I controlli del datore di lavoro e le principali fonti normative di riferimento Decreto Legislativo n. 196/2003 e provvedimenti vari del garante fra i quali: Linee guida del Garante per posta elettronica e internet Deliberazione n.13 del 1 marzo 2007 Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati Deliberazione n. 53 del 23 novembre 2006 Legge n. 300/1970 (Statuto dei Lavoratori) Art. 616 del codice penale (Violazione, sottrazione e soppressione di corrispondenza). Art. 2086, 2104, 2105 del Codice civile 4

5 Principali tipologie di controllo Sull attività lavorativa A A tutela dei beni aziendali Sulla persona 5

6 Controlli sull attività lavorativa ammesso controllo diretto del datore di lavoro non è ammesso controllo a distanza Art c.c. potere del datore di lavoro di organizzazione e direzione Art c.c. obbligo per il lavoratore di essere diligente e di osservare le disposizioni impartite dal datore di lavoro Art c.c. obbligo di fedeltà del lavoratore 6

7 Controlli a tutela dei beni aziendali ammissibili (anche a distanza) Il datore di lavoro può anche impiegare guardie giurate soltanto per scopi di tutela del patrimonio aziendale. (art. 2 della Legge n. 300/1970) Le guardie giurate non possono contestare ai lavoratori azioni o fatti diversi da quelli che attengono alla tutela del patrimonio aziendale. 7

8 Controlli sulla persona sempre vietati -divieto di indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoro. (art. 8. della Legge n. 300/1970) divieto di atti discriminatori (uso delle informazioni personali raccolte) (Art. 15. della Legge n. 300/1970) 8

9 Controllo a distanza e legge 300/1970 (Statuto dei Lavoratori) Le esigenze e i poteri di controllo dell azienda sui lavoratori subordinati vengono limitati dalle tutele previste dallo Statuto dei lavoratori. Articolo 4 comma 1: E' vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Articolo 4 comma 2: Strumenti di controllo a distanza leciti se: 1) per esigenze organizzative, produttive e di sicurezza del lavoro 2) vi è accordo con le rappresentanze sindacali aziendali 9

10 La giurisprudenza ha elaborato nel tempo il concetto di controllo difensivo, cioè quel controllo teso alla protezione di beni costituzionalmente garantiti (proprietà e salute). Fra i controlli difensivi ci sono quelli finalizzati all accertamento di condotte illecite del lavoratore che non rientrano nell ambito di applicazione del divieto ex art. 4 comma 1 L. 300/1970 perché non comportano la raccolta anche di notizie relative all attività lavorativa. Spesso le apparecchiature utilizzate per i controlli difensivi indirettamente permettono il controllo della prestazione lavorativa. 10

11 ORIENTAMENTI GIURISPRUDENZIALI Orientamento giurisprudenziale prevalente (anche se più datato nel tempo): I controlli difensivi rientrano nell applicazione dell art. 4, c. 2. dello Statuto dei Lavoratori e pertanto per poter installare le apparecchiature che li effettuano sarebbe comunque necessario l accordo delle rappresentanze sindacali aziendali. 11

12 Orientamento giurisprudenziale minoritario ma più recente La Corte di Cassazione ha stabilito che ai fini dell operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell attività dei lavoratori previsto dall art. 4 L. n. 300 del 1970, è necessario che il controllo riguardi (direttamente o indirettamente) l attività lavorativa; Devono ritenersi certamente fuori dell ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell accesso ad aule riservate o, come nella specie, gli apparecchi di rilevazione di telefonate ingiustificate (Cassazione civile, sez. lav., 3 aprile 2002, n. 4746). Idem: Tribunale Milano, sentenza del 31 marzo

13 Anche se in azienda vi è accordo per l utilizzo di strumenti potenzialmente atti a controllare a distanza l attività dei lavoratori, il trattamento dei dati personali dei dipendenti deve essere conforme alle previsioni del D.lgs. 196/2003. La disciplina di protezione dei dati va coordinata con regole di settore riguardanti il rapporto di lavoro e il connesso utilizzo di tecnologie. 13

14 I dati personali dei lavoratori e dei collaboratori devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e trattati. 14

15 Misure opportune per ridurre il rischio di usi impropri di internet e della posta elettronica nel rapporto di lavoro (Linee guida del Garante per posta elettronica e internet in Gazzetta Ufficiale n. 58 del 10 marzo 2007) 15

16 Alcune premesse sull utilizzo della posta elettronica e di Internet nel rapporto di lavoro -compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d'uso nell'organizzazione dell'attività lavorativa; -spetta ai datori di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità la riservatezza e l'integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità; -grava sul datore di lavoro l'onere di indicare in che misura e con quali modalità vengano effettuati controlli tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali. 16

17 Può risultare opportuno adottare un disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall'art. 7 dello Statuto dei lavoratori, ecc.) e da sottoporre ad aggiornamento periodico. 17

18 Principali utilizzi impropri di Internet e della posta elettronica nello Studio Professionale Navigazione su siti web non pertinenti con l attività lavorativa Download di file e software non autorizzati Uso di programmi di Instant messaging Uso di software peer to peer Trasferimento all esterno dei dati riservati dello studio Ricezione ed invio e mail non pertinenti con l attività lavorativa Utilizzo dei file allegati alle e mail non autorizzato 18

19 COSA INSERIRE NEL DISCIPLINARE INTERNO 1/2 Va specificato ad esempio specificato se: se determinati comportamenti non sono tollerati rispetto alla "navigazione" in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna; in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco temporale di utilizzo (ad es., fuori dall'orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro); quali informazioni sono memorizzate temporaneamente (ad es., file di log) e chi (anche all'esterno) vi può accedere legittimamente; se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log ); 19

20 COSA INSERIRE NEL DISCIPLINARE INTERNO 2/2 se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime specifiche e non generiche per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità; quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e Internet sono utilizzate indebitamente; le soluzioni prefigurate per garantire la continuità dell'attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata; quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l'eventuale segreto professionale cui siano tenute specifiche figure professionali; le prescrizioni interne sulla sicurezza dei dati e dei sistemi 20

21 COME PREVENIRE UTILIZZI IMPROPRI DI INTERNET Misure opportune per ridurre il rischio di usi impropri di internet: - individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa; -configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni reputate estranee all'attività lavorativa quali l'accesso a determinati siti e il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di formato); - trattare i dati in forma anonima o tale da precludere l'immediata identificazione di utenti mediante loro opportune aggregazioni (ad esempio, con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori); - conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza. 21

22 COME PREVENIRE UTILIZZI IMPROPRI DELLA POSTA ELETTRONICA 1/2 Mettere a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali; Attribuire un'eventuale attribuzione al lavoratore di un diverso indirizzo destinato ad uso privato; Mettere a disposizione di ciascun lavoratore, con modalità di agevole esecuzione, di apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le "coordinate" di altro soggetto o altre utili modalità di contatto dell'istituzione presso la quale opera il lavoratore assente; 22

23 COME PREVENIRE UTILIZZI IMPROPRI DELLA POSTA ELETTRONICA 2/2 Consentire che, qualora si debba conoscere il contenuto dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all'attività lavorativa, l'interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa; inserire nei messaggi di un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale del messaggio e sia specificato se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente; 23

24 i dati e le informazioni raccolte dal sistema informativo aziendale attraverso i controlli lecitamente effettuati per essere prodotti in sede processuale o disciplinare e valutati come fonti di prova ammissibili devono essere gestiti attraverso un insieme di metodologie e procedure che rientrano nell ambito della corporate forensics. 24

25 Cosa è la corporate forensics? Insieme di attività di investigazione ed analisi svolte internamente dall azienda, seguendo metodologie e best practices di riferimento nel contesto della computer forensics. Tali attività possono anche essere finalizzate alla produzione di prove da portare in giudizio. La computer forensics è in sintesi la disciplina che studia l'acquisizione, l'analisi, la preservazione dei dati digitali a fini investigativi e giudiziari

26 Finalità della computer forensics Individuare le modalità migliori per: acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano; garantire che le prove acquisite su altro supporto siano identiche a quelle originarie; analizzare i dati senza alterarli. (C. Maioli, 2004) 26

27 Principali motivazioni per avviare indagini interne in azienda: Indagini a seguito di incidenti informatici Indagini per ricerca e prevenzione possibili comportamenti illeciti e/o fraudolenti del personale aziendale Indagini avviate in risposta ad attività promosse dall Autorità Giudiziaria 27

28 Ambiti di indagine Procedimento penale Procedimento civile Procedimento disciplinare Altri obiettivi 28

29 Conclusioni Necessità di equilibrio tra diritti ed interessi diversi nell utilizzo degli strumenti informatici nel rapporto di lavoro Datore di lavoro: diritto di gestire la propria azienda con efficienza diritto di tutelarsi contro le responsabilità od i danni cui possono dare origine gli atti dei lavoratori. poteri di controllo non illimitati Lavoratori e collaboratori diritto alla riservatezza ed alla protezione dei dati personali diritto alla tutela della libertà e della dignità nei luoghi di lavoro 29

30 Grazie per l attenzione Giuseppe Mantese Dottore commercialista in Milano 30