INTRODUZIONE AL DIRITTO SVIZZERO DELL INFORMATICA E DI INTERNET PARTE 6: DIRITTO DEL LAVORO E NUOVE TECNOLOGIE Avv. Gianni Cattaneo, Lugano www.infodiritto.net contatto@infodiritto.net
Indice tematico A) Diritto del lavoro B) Imperativi aziendali C) Nuove opportunità e nuovi rischi D) Misure giuridiche di contenimento dei rischi E) La sorveglianza elettronica del dipendente F) L accesso all e-mail aziendale del dipendente G) L uso privato di Internet durante il tempo di lavoro H) Follow-up avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 2
A) Diritto del lavoro Il quadro normativo: contratto stipulato dalle parti (per iscritto o verbalmente) CCL: contratto negoziato dalle associazioni di categoria; vincolante solo per gli associati, salvo dichiarazione di portata generale CNL: contratto ufficiale vincolante per settore (TI: personale agricolo, personale dome-stico, call centers, vendita al dettaglio, saloni di bellezza e giovani alla pari) diritto privato del lavoro: art. 319 e segg. CO: norme dispositive (diritto suppletivo) norme semi-imperative (362 CO) norme imperative (art. 361 CO) diritto pubblico del lavoro: Legge sul lavoro (LL) + OLL diritto imperativo massima ufficiale protezione della salute, durata del lavoro e del riposo, tutela dei giovani e delle donne incinte o che allattano e tutela dei lavoratori con responsabilità familiari avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 3
B) Imperativi aziendali Sicurezza Dati aziendali, furto d identità, accesso indebito Segreti d affari e commerciali, informazioni confidenziali Tutela dei partner clienti, fornitori, consulenti e dipendenti Funzionalità Piattaforma interna, accesso remoto, e-mail, sito web Reputazione e fiducia avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 4
C) Nuove opportunità Disponibilità 24/7 Produttività Accesso all informazione Flessibilità del lavoro Soddisfazione dell utente avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 5
C) Nuovi rischi perdita di efficienza e di redditività del dipendente e della piattaforma informatica aziendale rischio di lesione dei diritti della personalità dei dipendenti sicurezza intercettazione e furto di dati, furto d identità, compromissione piattaforma aziendale (accesso indebito, diffusione malware ecc.) imputabilità all azienda dei comportamenti illeciti o inopportuni dei dipendenti (IP) furto / perdita dispositivi portatili dipendenza? avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 6
D) Strumenti giuridici IT governance Direttiva tecnica sul settore IT Direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione Informativa in tema di sorveglianza del dipendente sul posto di lavoro avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 7
D) Strumenti giuridici Premessa: misure tecniche di protezione dell azienda e di tutela dei dipendenti e degli altri partner giocano fondamentale e preminente in questo campo: un ruolo - autenticazione dell utente: password - protezione contro accessi non autorizzati: attribuzione diritti d accesso - protezione da attacchi esterni: firewall (HW/SW) - cifratura dati e comunicazioni confidenziali - antivirus client e server - backup Omissione: colpa concomitante del datore di lavoro (riduzione risarcimento), responsabilità per omessa tutela nel caso di una lesione della personalità arrecata al dipendente avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 8
D) Direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione Base legale Art. 321 d CO Osservanza di direttive e di istruzioni 1 Il datore di lavoro può stabilire direttive generali sull esecuzione del lavoro e sul comportamento del lavoratore nell azienda o nella comunione domestica e dargli istruzioni particolari. 2 Il lavoratore deve osservare secondo le norme della buona fede le direttive generali stabilite dal datore di lavoro e le istruzioni particolari a lui date. Errore concettuale da evitare: non è un contratto, bensì una serie di regole di condotta stabilite dal datore di lavoro. «Ricevute, lette e comprese» e non «accettate». avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 9
D) Direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione Dovere del datore di lavoro: comportamento proattivo Art. 328 CO Protezione della personalità del lavoratore 1 Nei rapporti di lavoro, il datore di lavoro deve rispettare e proteggere la personalità del lavoratore, avere il dovuto riguardo per la sua salute e vigilare alla salvaguardia della moralità. In particolare, deve vigilare affinché il lavoratore non subisca molestie sessuali e, se lo stesso fosse vittima di tali molestie, non subisca ulteriori svantaggi. 2 Egli deve prendere i provvedimenti realizzabili secondo lo stato della tecnica ed adeguati alle condizioni dell azienda o dell economia domestica, che l esperienza ha dimostrato necessari per la tutela della vita, della salute e dell integrità personale del lavoratore, in quanto il singolo rapporto di lavoro e la natura del lavoro consentano equamente di pretenderlo. avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 10
D) Direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione Art. 4 LPar Divieto di discriminazione in caso di molestia sessuale Per comportamento discriminante si intende qualsiasi comportamento molesto di natura sessuale o qualsivoglia altro comportamento connesso con il sesso, che leda la dignità della persona sul posto di lavoro, in particolare il proferire minacce, promettere vantaggi, imporre obblighi o esercitare pressioni di varia natura su un lavoratore per ottenerne favori di tipo sessuale. TF: mostrare, esporre, mettere a disposizione e inviare materiale pornografico (anche per via elettronica), osservazioni allusive e «barzellette» sessiste, contatti fisici molesti e palpeggiamenti, ecc. tra / a dipendenti costituiscono molestie sessuali. avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 11
D) Direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione Conseguenze per l azienda: art: 5 cpv. 3 LPar: nel caso di discriminazione mediante molestia sessuale, il tribunale o l autorità amministrativa può parimenti condannare il datore di lavoro ed assegnare al lavoratore un indennità, a meno che lo stesso provi di aver adottato tutte le precauzioni richieste dall esperienza e adeguate alle circostanze, che ragionevolmente si potevano pretendere da lui per evitare simili comportamenti o porvi fine. L indennità è stabilita considerando tutte le circostanze, in base al salario medio svizzero; art. 5 cpv. 4 LPar: qualora la discriminazione avvenga mediante molestie sessuali, l indennità prevista ai capoversi 2 o 3 non eccede l equivalente di sei mesi di salario. avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 12
D) Direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione Contenuto della Direttiva: - destinatari - informativa sui rischi e principio di precauzione - regole di comportamento Tematiche classiche: a) uso privato vs. uso professionale b) segretezza dati d accesso c) politica password d) legalità e) sicurezza f) gestione dei dati aziendali confidenziali g) sensibilizzazione sui rischi h) comportamento in caso di catastrofe o compromissione sicurezza i) dati personali e fine del rapporto di lavoro avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 13
D) Direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione Smartphone: direttiva generale o specifica? destinatari telefono personale o professionale? uso privato vs. uso professionale servizi attivi da remoto: vpn, e-mail, cloud ecc. certificazione e collaudo del device dati aziendali: partizione protetta, restrizioni e divieti (dati confidenziali) procedura in caso di furto e perdita: reporting immediato procedure speciali in caso di viaggi all estero (es. Cina e Russia) avvertenza: cancellazione da remoto: quid dei file personali? educazione alla sicurezza regole d uso: gps / wifi / blutooth disattivati divieto jailbreak sistema operativo antivirus e password d accesso divieto di accesso account personali privati (es. google / gmail) avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 14
E) La sorveglianza elettronica del dipendente Nozione: Analisi delle comunicazioni e delle registrazioni a giornale al fine di ricostruire il comportamento del dipendente in relazione all utilizzo dei mezzi informatici e di telecomunicazione aziendali (e-mail, web, telefono, stampante, ecc.). Scopi: a) garantire la sicurezza e la funzionalità del sistema informatico aziendale b) verificare un sospetto di abuso o un abuso delle normative interne (uso privato web / e- mail, ad esempio) c) verificare un sospetto di reato penale (furto o modifica di dati, diffamazione, molestia sessuale sul posto di lavoro, diffusione di materiale razzista o pornografico, sabotaggio, spionaggio industriale, ecc.) Quesito di fondo: A quali condizioni ed entro quali limiti il datore di lavoro può analizzare le tracce elettroniche lasciate da un dipendente per controllare il suo comportamento in azienda? avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 15
E) La sorveglianza elettronica del dipendente Magic Tool: KidLogger.net, versione di base gratuita Smartphone: Mobile phone tracking a) SMS / MMS: record all incoming/outgoing SMS messages with phone number and recipient name. b) keystrokes: soft Keyboard PRO keylogger for Android phones allows to record keystrokes typed in the phone on-screen keyboard and text copied into clipboard; c) photos: allows to record and upload fact of taken photos created with phone camera; d) calls: record calls incoming/outgoing make reports of the most often used contacts; e) coordinates: records point to point navigation during the day, by GPS or WiFi coordinates. Register location in real time mode; f) Wi-Fi, USB, SD card and GSM connection: will help you to supervise most important connections on phone (with Android software). Connection to Wi-Fi network. SD card usage by USB cable. GSM states like ON\Off or airplane mode; g) used applications: record the list of applications that user use on the mobile phone based on Android; h) visited web sites history: record and save visited web sites history (only default phone browser). avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 16
E) La sorveglianza elettronica del dipendente Magic Tool: KidLogger.net Un tale sistema può essere legalmente utilizzato in Svizzera per sorvegliare i dipendenti? No! Divieto generale dei programmi spia. Violazione grave della privacy, con valenza sia civile, sia penale Forse non nella Repubblica di Moldavia? Abuse If you noticed KidLogger application running on your device without your consent, you may inform us about this case. We do not support illegal usage of KidLogger service and prevent this. Please send us a message with Your name and Device ID (Device ID can be found in the application options or settings dialog box). We will block the account holder and delete all information about your device. avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 17
E) La sorveglianza elettronica del dipendente Limiti di diritto privato: A) Art. 328 CO Protezione della personalità del lavoratore 1 Nei rapporti di lavoro, il datore di lavoro deve rispettare e proteggere la personalità del lavoratore, avere il dovuto riguardo per la sua salute e vigilare alla salvaguardia della moralità. In particolare, deve vigilare affinché il lavoratore non subisca molestie sessuali e, se lo stesso fosse vittima di tali molestie, non subisca ulteriori svantaggi. 2 Egli deve prendere i provvedimenti realizzabili secondo lo stato della tecnica ed adeguati alle condizioni dell azienda o dell economia domestica, che l esperienza ha dimostrato necessari per la tutela della vita, della salute e dell integrità personale del lavoratore, in quanto il singolo rapporto di lavoro e la natura del lavoro consentano equamente di pretenderlo. B) Segreto delle comunicazioni: emanazione della personalità protetta (art. 28 e segg. CC, art. 7 e 10 cpv. Costituzione federale) avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 18
E) La sorveglianza elettronica del dipendente C) Art. 328b CO Nel trattamento di dati personali Il datore di lavoro può trattare dati concernenti il lavoratore soltanto in quanto si riferiscano all idoneità lavorativa o siano necessari all esecuzione del contratto di lavoro. Inoltre, sono applicabili le disposizioni della legge federale del 19 giugno 1992 sulla protezione dei dati. NB dati personali: tutte le informazioni relative a una persona identificata o identificabile (art. 3 a. LPD) DTF 136 II 508 c. 3.2: principio di determinabilità relativa D) Principio di proporzionalità: obbligo di minimizzazione del trattamento dei dati personali avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 19
E) La sorveglianza elettronica del dipendente Limiti di diritto pubblico: A) Art. 6 Legge sul lavoro Obblighi del datore di lavoro e del lavoratore 1 A tutela della salute dei lavoratori, il datore di lavoro deve prendere tutti i provvedimenti, che l esperienza ha dimostrato necessari, realizzabili secondo lo stato della tecnica e adeguati alle condizioni d esercizio. Deve inoltre prendere i provvedimenti necessari per la tutela dell integrità personale dei lavoratori. 2 Egli deve segnatamente apprestare gli impianti e ordinare il lavoro in modo da preservare il più possibile i lavoratori dai pericoli per la salute e dagli spossamenti. 2bis Il datore di lavoro veglia affinché il lavoratore non debba consumare bevande alcoliche o altri prodotti psicotropi nell esercizio della sua attività professionale. Il Consiglio federale disciplina le eccezioni. 3 Egli fa cooperare i lavoratori ai provvedimenti sulla protezione della salute nel lavoro. Questi devono secondare il datore di lavoro quanto alla loro applicazione. 4 I provvedimenti sulla protezione della salute nel lavoro necessari nelle aziende sono definiti mediante ordinanza avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 20
E) La sorveglianza elettronica del dipendente B) Art. 26 OLL3 1 Non è ammessa l applicazione di sistemi di sorveglianza e di controllo del comportamento dei lavoratori sul posto di lavoro. 2 I sistemi di sorveglianza o di controllo, se sono necessari per altre ragioni, devono essere concepiti e disposti in modo da non pregiudicare la salute e la libertà di movimento dei lavoratori. Attenzione: interpretazione restrittiva del TF (Sentenza TF 6B_536/2009) avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 21
E) La sorveglianza elettronica del dipendente Strumenti di interpretazione: 1. «Guida al trattamento dei dati personali nell ambito del lavoro» (trattamento da parte di persone private) 2. «Sorveglianza dell utilizzazione di Internet e della posta elettronica sul posto di lavoro» (per le amministrazioni pubbliche e l economia privata); 3. Commentario SECO LL / OLL 4. Dottrina e giurisprudenza avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 22
E) La sorveglianza elettronica del dipendente Regole di base (posizione dell IFPD): i. misure preventive d ordine tecnologico e organizzativo ii. iii. iv. direttiva sull uso dell informatica, di Internet e degli altri mezzi di comunicazione informativa in tema di sorveglianza del dipendente sul posto di lavoro: a. strumenti di controllo elettronico b. tipologie di dati personali oggetto di trattamento c. sanzioni in caso di violazione del regolamento (DTF 119 II 162 c. 2: determinabili in anticipo e proporzionate) d. persone incaricate del controllo no ai programmi spia v. sì alle misure di controllo costanti se anonime o sotto pseudonimo vi. sì alle misure di controllo personalizzate se: a. dai controlli anonimi / sotto pseudonimo è emersa una violazione della normativa interna b. denuncia circostanziata di terzi c. sospetto fondato di comportamento illecito, anti-contrattuale o penalmente rilevante Attenzione: controllo su base personalizzata non è giustificabile retroattivamente se viene accertato un abuso. avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 23
F) L accesso all e-mail aziendale del dipendente Problema: conflitto tra l esigenza del datore di lavoro di avere un accesso quanto più ampio possibile alla casella postale elettronica del dipendente (e ai singoli messaggi ivi contenuti) e il diritto del dipendente a che messaggi privati, seppur inviati alla/dalla posta elettronica aziendale, non siano letti dal datore di lavoro Principi: 1. il datore di lavoro può legittimamente accedere ai messaggi elettronici aziendali 2. indirizzi e-mail nominativi (nome.cognome@azienda.ch): l Incaricato federale della protezione dei dati ha affermato che «senza una menzione che li distingua e se la natura privata di un e-mail non è riconoscibile o desumi-bile da elementi dell indirizzo, il datore di lavoro può ritenerlo - come per un invio nell ambito della posta tradizionale - una e-mail professionale» 3. il datore di lavoro è autorizzato ad accedere ai messaggi privati se l accesso è giustificato da un interesse aziendale preponderante (ad esempio finalizzato a salvaguardare le prove di abusi o di reati commessi dal dipendente tramite la posta elettronica aziendale) avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 24
F) L accesso all e-mail aziendale del dipendente Soluzione IFPD: l impostazione di un messaggio automatico che comunica l assenza e le coordinate di un sostituto in caso d urgenza l inoltro del messaggio in arrivo ad un sostituto (rischio: accesso a comunicazioni private) l inoltro del messaggio in arrivo ad un sostituto, al quale sia tecnicamente preclusa la visione dei messaggi contrassegnati come privati (soluzione ritenuta ideale dall IFPD) avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 25
F) L accesso all e-mail aziendale del dipendente Altre soluzioni: dotare ogni settore/ufficio di un indirizzo e-mail comune (ad esempio servi-ziovendite@azienda.ch), ad esclusione di indirizzi personalizzati; divieto d uso dell e-mail ai fini privati e informativa sull accessibilità della casella postale da parte del datore di lavoro nel regolamento aziendale se l indirizzo e-mail è nominativo (nome.cognome@azienda.ch), prevedere nel regolamento sull informatica che il dipendente abbia a nominare uno o più sosti-tuti di sua fiducia, ai quali siano automaticamente deviate le e-mail in arrivo in caso di sua assenza e sia riconosciuto un diritto di accesso illimitato alla casella postale per accertare che nella stessa non si trovino comunicazioni aziendali avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 26
G) L uso privato di Internet durante il tempo di lavoro Problema: L eventuale prerogativa accordata al dipendente, in via esplicita o tacita, di navigare sul web, di scaricare programmi, di frequentare chat-room e forum di discussione, di fare telefonate, di inviare/ricevere e-mail, di accedere ai social networks ecc. attraverso l infrastruttura informatica aziendale implica notevoli rischi per l azienda, segnatamente sotto i seguenti profili: - dipendente naviga invece di lavorare - più si naviga, più aumenta il rischio di compromettere la sicurezza della rete aziendale - rischio di imputabilità all azienda dei comportamenti illeciti dei dipendenti - calo dell efficienza e aumento dei costi di gestione - rischio di lesione dei diritti della personalità dei colleghi avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 27
G) L uso privato di Internet durante il tempo di lavoro Soluzioni: 1. Divieto assoluto dell uso privato nel regolamento Valido? Politica di tolleranza «0», in mancanza di ché decade il divieto 2. Uso privato ammesso entro certi limiti definiti nel regolamento 3. Questione non regolamentata Uso privato ammesso entro limiti di ragionevolezza Compatibilità con il dovere di diligenza e di fedeltà sancito dall art. 321a CO, ciò che sarà il caso se l utilizzo di Internet e della posta elettronica: (i) è occasionale e di breve durata (ad esempio durante le pause obbligatorie per legge, cfr. art. 329 cpv. 3 CO e art. 15 LL), (ii) non viola il diritto svizzero e (iii) avviene in maniera compatibile con gli interessi aziendali in materia di tutela della reputazione, della confidenzialità, della sicurezza e della garanzia di economicità avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 28
G) L uso privato di Internet durante il tempo di lavoro Tribunale federale: negato motivo di licenziamento con effetto immediato nel caso di utilizzo a fini privati di Internet in maniera limitata (Sentenza TF 4C.349/2002) Tribunale federale: la consultazione assidua di siti internet, a carattere erotico o meno, a condizione che la datrice di lavoro non conosceva, né poteva conoscere, tale circostanza, costituisce un motivo di licenziamento immediato (Sentenza TF 4C.173/2003) avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 29
H) Follow-up Follow up: 1. consegnare copia delle direttive al dipendente 2. illustrare le disposizioni nel corso di conferenze o colloqui personali 3. richiedere conferma scritta: ricezione, lettura e comprensione 4. mettere a disposizione una persona per ulteriori spiegazioni o altre necessità 5. organizzare periodicamente seminari e conferenze su tematiche inerenti la normativa sul contratto di lavoro, la sicurezza informatica, il cybercrime ecc.; 6. sanzionare in maniera documentabile la violazione delle disposizioni aziendali sul contratto di lavoro Attenzione: divieto dell uso privato di Internet e della posta elettronica: emettere formali diffide, rispettivamente comminare adeguate sanzioni disciplinari, onde evitare che dalla tolleranza possa essere dedotta una rinuncia ad opporre il divieto. avv. Gianni Cattaneo, Lugano Riproduzione e diffusione vietate. 30