Il trattamento dei dati e le misure minime di sicurezza nelle aziende Le linee guida del Garante per l'utilizzo sul lavoro della posta elettronica e di internet.
Provvedimento a carattere generale 1 marzo 2007 Aumento reclami, segnalazioni quesiti riguardo al trattamento di dati personali effettuati da datori di lavoro riguardo all'uso, da parti di dipendenti, di internet e delle e-mail; Le richieste di intervento riguardano provvedimenti disciplinari irrogati dal datore di lavoro ai dipendenti
Due recenti esempi di ricorsi al Garante A) Provvedimento 02/02/2006 Contestazione disciplinare per accessi a internet non autorizzati effettuati sul posto di lavoro. B) Provvedimento 18/05/2006 Contestazione disciplinare e successivo licenziamento del dipendente per utilizzo per fini personali di strumenti informatici aziendali
Decisione su ricorso febbraio '06 I fatti: ricorrente: addetto accettazione in una casa di cura. navigazione in internet durante orario di lavoro, pur senza essere autorizzato alla navigazione. trattamento di dati sensibili senza consenso e previa informativa.
Decisione su ricorso febbraio '06 La difesa del datore: il lavoratore per le sue mansioni non doveva accedere ad internet No consenso per per far valere i propri diritti (art. 24 D.Lgs. 196/03).
Decisione su ricorso febbraio '06 La decisione dell'authority: Sistema informatico mal configurato Mancanza di informativa Trattamento eccessivo e non indispensabile
Decisione su ricorso maggio '06 I fatti: Controlli alla presenza del dipendente e dell'amministratore del sistema informatico. Individuazione due cartelle con file musicali e pornografici. Trattamento di dati sensibili senza consenso e previa informativa.
Decisione su ricorso maggio '06 La difesa del datore: Linee guida aziendali e divieto utilizzazione strumenti aziendali per fini personali Modalità di controllo in linea con i principi di correttezza.
Decisione su ricorso maggio '06 La decisione dell'authority: Mancanza informativa: linee guida vietano uso personale, ma non informano dei controlli. Trattamento eccessivo e non indispensabile.
Due recenti esempi di ricorsi al Garante In entrambi i casi il Garante riconosce la fondatezza nel merito dei provvedimenti del datore MA I ricorsi vengono accolti dall'authority
Due recenti esempi di ricorso al Garante Conseguenze dell'accoglimento: Blocco del trattamento dei dati da parte del datore Condanna del datore al pagamento delle spese e dei diritti del procedimento a favore del dipendente
Come evitare il ripetersi di questi paradossi? Applicare in azienda le Linee Guida del Garante per posta elettronica e internet.
Linee guida per internet e la posta elettronica Obblighi del datore di lavoro: Adottare idonee misure di sicurezza (disponibilità ( informativi e integrità sistema Garantire il corretto impiego delle risorse Bilanciare le misure con i diritti dei lavoratori
Linee guida per internet e la posta elettronica Utilizzo della posta elettronica e della rete Internet: Misure necessarie Misure opportune
Linee guida per internet e la posta elettronica Le attività di controllo sono trattamenti di dati personali. Principi applicabili: :( 196/03 D.Lgs. Principio di necessità (art. 3 minimo utilizzo di dati personali
Linee guida per internet e la posta elettronica Principio di correttezza (art. 11, c. 1, lett. a D.Lgs. ( 196/03 Gli STRUMENTI ELETTRONICI consentono trattamenti ulteriori e occulti ; informare i lavoratori delle caratteristiche essenziali dei trattamenti
Linee guida per internet e la posta elettronica Modalità dei controlli (art. 11, c. 1, lett. b D.Lgs. :( 196/03 finalità esplicite e determinate; pertinenza e non eccedenza minor invasività possibile
Presupposti dei controlli Obbligo di indicare l'uso CORRETTO degli strumenti Principio di TRASPARENZA: no controlli occulti!
Presupposti dei controlli ( obbligatoria Il Disciplinare interno (misura Onere di indicare al lavoratore il corretto utilizzo degli strumenti Comportamenti vietati Informazioni eventualmente registrate Controlli effettuati
Presupposti dei controlli ( obbligatoria Il Disciplinare interno (misura Regole per "navigazione" in Internet (ad es., il download di software o di file musicali), e per la tenuta di file nella rete interna; Regole per utilizzo per ragioni personali servizi di posta elettronica o di rete, (ad es., fuori dall'orario di lavoro o durante le pause, solo da det. postazioni);
Presupposti dei controlli ( obbligatoria Il Disciplinare interno (misura Indicare le informazioni memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all'esterno) vi può accedere legittimamente; Indicare se e quali informazioni sono conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o ( log di file di
Presupposti dei controlli ( obbligatoria Il Disciplinare interno (misura Indicare la possibilità di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime specifiche e non generiche e le relative modalità; Indicare le conseguenze, anche di tipo disciplinare, che il datore di lavoro si riserva di trarre qualora constati utilizzi indebiti;
Presupposti dei controlli ( obbligatoria Il Disciplinare interno (misura Indicare le soluzioni prefigurate per garantire la continuità dell'attività lavorativa in caso di assenza del lavoratore stesso, con particolare riferimento all'attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti; Indicare le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B), in particolare regole 4, 9, 10 ).
Prima dei controlli Controlli successivi: ESTREMA RATIO Valutare l'impatto sui diritti dei lavoratori Individuare preventivamente chi utilizza internet ed e-mail
Misure per minimizzare i controlli 1) NAVIGAZIONE SU INTERNET individuazione di categorie di siti lavorativi ; configurazione di sistemi e di filtri che prevengano determinate operazioni vietate quali l'upload o l'accesso a determinati siti e/o il download di file o software aventi ( dato particolari caratteristiche (dimensionali o di tipologia di
Misure per minimizzare i controlli trattamento di dati in forma anonima o aggregata(ad es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi di lavoratori); conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza.
Misure per minimizzare i controlli 2) UTILIZZO E-MAIL Tutela della corrispondenza; Indirizzi di posta elettronica condivisi tra più lavoratori (ufficiovendite@ente.it) eventualmente affiancandoli a quelli individuali (m.rossi@ente.it); possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato;
Misure per minimizzare i controlli Procedure per la gestione delle assenze (ad es., per ferie o attività di lavoro fuori sede): messaggi di avviso; Assenza improvvisa o prolungata: per improrogabili necessità legate all'attività lavorativa, delega di un altro lavoratore (fiduciario) per verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa (verbale); Inserimento avvertimento ai destinatari della natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente.
I CONTROLLI VIETATI ( obbligatoria I controlli vietati (misura lettura e registrazione sistematica delle e-mail; memorizzazione sistematica dei siti web visualizzati dal lavoratore; registrazione dei caratteri digitati su tastiera analisi occulta di computer portatili affidati in uso.
La giurisprudenza... Corte di Cassazione - Sezione Quinta Penale, Sentenza 19 dicembre 2007, n.47096: Violazione corrispondenza informatica del lavoratore - Utilizzo password riservata - Informativa privacy Cass. Sezione Lavoro 13/09/06, n. 19554: Licenziamento per giusta causa del dipendente che comunica a terzi le credenziali di autenticazione Tribunale Perugia, 20/02/06: La verifica effettuata dal datore sul Pc del dipendente per verificarne l'eventuale abuso è un lecito controllo di tipo difensivo
STUDIO LEGALE RIEM Vicolo Chiuso, 5 33170 - Pordenone Tel. 0434 28056 Fax 0434 246429 mail info@studiolegaleriem.it