Linee guida del Garante per l'utilizzo sul lavoro della posta elettronica e internet. Avv. Zenarolla

Il trattamento dei dati e le misureminime di sicurezza nelle aziende

Le linee guida del Garante per l'utilizzo sul lavorodella posta elettronica e di internet.

Dott. Luca Zenarolla

Provvedimento a carattere generale 1 marzo 2007

Aumento reclami, segnalazioni quesiti riguardo altrattamento di dati personali effettuati da datori dilavoro riguardo all'uso, da parti di dipendenti, diinternet e delle e-mail;

Le richieste di intervento riguardanoprovvedimenti disciplinari irrogati dal datore dilavoro ai dipendenti


Due recenti esempi di ricorsi al Garante

A) Provvedimento 02/02/2006Contestazione disciplinare per accessi a internet non

autorizzati effettuati sul posto di lavoro.

B) Provvedimento 18/05/2006Contestazione disciplinare e successivo

licenziamento del dipendente per utilizzo per finipersonali di strumenti informatici aziendali


Decisione su ricorso febbraio '06

I fatti: ricorrente: addetto accettazione in una casa di cura. navigazione in internet durante orario di lavoro,

pur senza essere autorizzato alla navigazione. trattamento di dati sensibili senza consenso e

previa informativa.



La difesa del datore: il lavoratore per le sue mansioni non doveva

accedere ad internet No consenso per per far valere i propri diritti (art.

24 D.Lgs. 196/03).



La decisione dell'Authority: Sistema informatico mal configurato Mancanza di informativa Trattamento eccessivo e non indispensabile


Decisione su ricorso maggio '06

I fatti: Controlli alla presenza del dipendente e

dell'amministratore del sistema informatico. Individuazione due cartelle con file musicali e

pornografici. Trattamento di dati sensibili senza consenso e

previa informativa.



La difesa del datore: Linee guida aziendali e divieto utilizzazione

strumenti aziendali per fini personali Modalità di controllo in linea con i principi di

correttezza.



La decisione dell'Authority: Mancanza informativa: linee guida vietano uso

personale, ma non informano dei controlli. Trattamento eccessivo e non indispensabile.


In entrambi i casi il Garante riconosce la fondatezzanel merito dei provvedimenti del datore

MA

I ricorsi vengono accolti dall'Authority

Due recenti esempi di ricorsi al Garante


Due recenti esempi di ricorso al Garante

Conseguenze dell'accoglimento:

• Blocco del trattamento dei dati da parte del datore• Condanna del datore al pagamento delle spese e

dei diritti del procedimento a favore del dipendente


Come evitare il ripetersi di questiparadossi?

• Applicare in azienda le Linee Guida del Garanteper posta elettronica e internet.


Linee guida per internet e la posta elettronica

Obblighi del datore di lavoro: Adottare idonee misure di sicurezza (disponibilità

e integrità sistema informativi)‏ Garantire il corretto impiego delle risorse Bilanciare le misure con i diritti dei lavoratori



Utilizzo della posta elettronica e della rete Internet: Misure necessarie Misure opportune



Le attività di controllo sono “trattamenti di datipersonali”. Principi applicabili:

Principio di necessità (art. 3 D.Lgs. 196/03): ‏minimo utilizzo di dati personali



Principio di correttezza (art. 11, c. 1, lett. a D.Lgs.196/03) ‏

Gli STRUMENTI ELETTRONICI consentonotrattamenti “ulteriori” e “occulti”; informare ilavoratori delle caratteristiche essenziali deitrattamenti



Modalità dei controlli (art. 11, c. 1, lett. b D.Lgs.196/03): ‏

finalità esplicite e determinate; pertinenza e non eccedenza minor invasività possibile


Presupposti dei controlli

Obbligo di indicare l'USO CORRETTO deglistrumenti

Principio di TRASPARENZA: no controlliocculti!



Il Disciplinare interno (misura obbligatoria)‏ Onere di indicare al lavoratore il corretto utilizzo

degli strumenti Comportamenti vietati Informazioni eventualmente registrate Controlli effettuati



Il Disciplinare interno (misura obbligatoria)‏

Regole per "navigazione" in Internet (ad es., il download disoftware o di file musicali), e per la tenuta di file nella reteinterna;

Regole per utilizzo per ragioni personali servizi di postaelettronica o di rete, (ad es., fuori dall'orario di lavoro odurante le pause, solo da det. postazioni);




Indicare le informazioni memorizzate temporaneamente (ades., le componenti di file di log eventualmente registrati) e chi(anche all'esterno) vi può accedere legittimamente;

Indicare se e quali informazioni sono conservate per unperiodo più lungo, in forma centralizzata o meno (anche pereffetto di copie di back up, della gestione tecnica della rete odi file di log )‏




Indicare la possibilità di effettuare controlli in conformità allalegge, anche saltuari o occasionali, indicando le ragionilegittime – specifiche e non generiche – e le relative modalità;

Indicare le conseguenze, anche di tipo disciplinare, che ildatore di lavoro si riserva di trarre qualora constati utilizziindebiti;




Indicare le soluzioni prefigurate per garantire la continuitàdell'attività lavorativa in caso di assenza del lavoratore stesso ,con particolare riferimento all'attivazione di sistemi di rispostaautomatica ai messaggi di posta elettronica ricevuti;

Indicare le prescrizioni interne sulla sicurezza dei dati e deisistemi (art. 34 del Codice, nonché Allegato B), in particolareregole 4, 9, 10 ).


“Prima” dei controlli

Controlli successivi: “ESTREMA RATIO”

Valutare l'impatto sui diritti dei lavoratori

Individuare preventivamente chi utilizza internet ed e-mail


Misure per minimizzare i controlli

1) NAVIGAZIONE SU INTERNET

individuazione di categorie di siti “lavorativi”;

configurazione di sistemi e di filtri che prevenganodeterminate operazioni “vietate” quali l'upload o l'accesso adeterminati siti e/o il download di file o software aventiparticolari caratteristiche (dimensionali o di tipologia di dato)‏



trattamento di dati in forma anonima o aggregata(ad es., conriguardo ai file di log riferiti al traffico web, su base collettivao per gruppi di lavoratori);

conservazione nel tempo dei dati strettamente limitata alperseguimento di finalità organizzative, produttive e disicurezza.



2) UTILIZZO E-MAIL

Tutela della corrispondenza;

Indirizzi di posta elettronica condivisi tra più lavoratori([email protected]) eventualmente affiancandoli a quelliindividuali ([email protected]);

possibilità di attribuire al lavoratore un diverso indirizzodestinato ad uso privato;



Procedure per la gestione delle assenze (ad es., per ferie oattività di lavoro fuori sede): messaggi di avviso;

Assenza improvvisa o prolungata: per improrogabili necessitàlegate all'attività lavorativa, delega di un altro lavoratore(fiduciario) per verificare il contenuto di messaggi e a inoltrareal titolare del trattamento quelli ritenuti rilevanti per losvolgimento dell'attività lavorativa (verbale);

Inserimento avvertimento ai destinatari della natura nonpersonale dei messaggi stessi, precisando se le rispostepotranno essere conosciute nell'organizzazione diappartenenza del mittente.


I CONTROLLI VIETATI

I controlli vietati (misura obbligatoria)‏ lettura e registrazione sistematica delle e-mail; memorizzazione sistematica dei siti web

visualizzati dal lavoratore; registrazione dei caratteri digitati su tastiera analisi occulta di computer portatili affidati in uso.


La giurisprudenza...

Corte di Cassazione - Sezione Quinta Penale, Sentenza 19 dicembre2007, n.47096: Violazione corrispondenza informatica dellavoratore - Utilizzo password riservata - Informativa privacy

Cass. Sezione Lavoro 13/09/06, n. 19554:

Licenziamento per giusta causa del dipendente che comunica a terzile credenziali di autenticazione

Tribunale Perugia, 20/02/06:

La verifica effettuata dal datore sul Pc del dipendente per verificarnel'eventuale abuso è un lecito controllo di tipo difensivo


STUDIO LEGALE RIEMVicolo Chiuso, 5

33170 - PordenoneTel. 0434 28056 Fax 0434 246429

mail [email protected]


Business

Linee guida del Garante per l'utilizzo sul lavoro della posta elettronica e internet. Avv. Zenarolla