Upload
webdieci
View
1.395
Download
0
Embed Size (px)
DESCRIPTION
Seminario svoltosi l'11 dicembre 2008 presso La Fondazione La Fornace di Asolo organizzato da Treviso Tecnologia in collaborazione con l'Associazione Culturale per lo Studio del Diritto.
Citation preview
Il trattamento dei dati e le misureminime di sicurezza nelle aziende
Le linee guida del Garante per l'utilizzo sul lavorodella posta elettronica e di internet.
Dott. Luca Zenarolla
Provvedimento a carattere generale 1 marzo 2007
Aumento reclami, segnalazioni quesiti riguardo altrattamento di dati personali effettuati da datori dilavoro riguardo all'uso, da parti di dipendenti, diinternet e delle e-mail;
Le richieste di intervento riguardanoprovvedimenti disciplinari irrogati dal datore dilavoro ai dipendenti
Dott. Luca Zenarolla
Due recenti esempi di ricorsi al Garante
A) Provvedimento 02/02/2006Contestazione disciplinare per accessi a internet non
autorizzati effettuati sul posto di lavoro.
B) Provvedimento 18/05/2006Contestazione disciplinare e successivo
licenziamento del dipendente per utilizzo per finipersonali di strumenti informatici aziendali
Dott. Luca Zenarolla
Decisione su ricorso febbraio '06
I fatti: ricorrente: addetto accettazione in una casa di cura. navigazione in internet durante orario di lavoro,
pur senza essere autorizzato alla navigazione. trattamento di dati sensibili senza consenso e
previa informativa.
Dott. Luca Zenarolla
Decisione su ricorso febbraio '06
La difesa del datore: il lavoratore per le sue mansioni non doveva
accedere ad internet No consenso per per far valere i propri diritti (art.
24 D.Lgs. 196/03).
Dott. Luca Zenarolla
Decisione su ricorso febbraio '06
La decisione dell'Authority: Sistema informatico mal configurato Mancanza di informativa Trattamento eccessivo e non indispensabile
Dott. Luca Zenarolla
Decisione su ricorso maggio '06
I fatti: Controlli alla presenza del dipendente e
dell'amministratore del sistema informatico. Individuazione due cartelle con file musicali e
pornografici. Trattamento di dati sensibili senza consenso e
previa informativa.
Dott. Luca Zenarolla
Decisione su ricorso maggio '06
La difesa del datore: Linee guida aziendali e divieto utilizzazione
strumenti aziendali per fini personali Modalità di controllo in linea con i principi di
correttezza.
Dott. Luca Zenarolla
Decisione su ricorso maggio '06
La decisione dell'Authority: Mancanza informativa: linee guida vietano uso
personale, ma non informano dei controlli. Trattamento eccessivo e non indispensabile.
Dott. Luca Zenarolla
In entrambi i casi il Garante riconosce la fondatezzanel merito dei provvedimenti del datore
MA
I ricorsi vengono accolti dall'Authority
Due recenti esempi di ricorsi al Garante
Dott. Luca Zenarolla
Due recenti esempi di ricorso al Garante
Conseguenze dell'accoglimento:
• Blocco del trattamento dei dati da parte del datore• Condanna del datore al pagamento delle spese e
dei diritti del procedimento a favore del dipendente
Dott. Luca Zenarolla
Come evitare il ripetersi di questiparadossi?
• Applicare in azienda le Linee Guida del Garanteper posta elettronica e internet.
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Obblighi del datore di lavoro: Adottare idonee misure di sicurezza (disponibilità
e integrità sistema informativi) Garantire il corretto impiego delle risorse Bilanciare le misure con i diritti dei lavoratori
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Utilizzo della posta elettronica e della rete Internet: Misure necessarie Misure opportune
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Le attività di controllo sono “trattamenti di datipersonali”. Principi applicabili:
Principio di necessità (art. 3 D.Lgs. 196/03): minimo utilizzo di dati personali
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Principio di correttezza (art. 11, c. 1, lett. a D.Lgs.196/03)
Gli STRUMENTI ELETTRONICI consentonotrattamenti “ulteriori” e “occulti”; informare ilavoratori delle caratteristiche essenziali deitrattamenti
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Modalità dei controlli (art. 11, c. 1, lett. b D.Lgs.196/03):
finalità esplicite e determinate; pertinenza e non eccedenza minor invasività possibile
Dott. Luca Zenarolla
Presupposti dei controlli
Obbligo di indicare l'USO CORRETTO deglistrumenti
Principio di TRASPARENZA: no controlliocculti!
Dott. Luca Zenarolla
Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria) Onere di indicare al lavoratore il corretto utilizzo
degli strumenti Comportamenti vietati Informazioni eventualmente registrate Controlli effettuati
Dott. Luca Zenarolla
Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Regole per "navigazione" in Internet (ad es., il download disoftware o di file musicali), e per la tenuta di file nella reteinterna;
Regole per utilizzo per ragioni personali servizi di postaelettronica o di rete, (ad es., fuori dall'orario di lavoro odurante le pause, solo da det. postazioni);
Dott. Luca Zenarolla
Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Indicare le informazioni memorizzate temporaneamente (ades., le componenti di file di log eventualmente registrati) e chi(anche all'esterno) vi può accedere legittimamente;
Indicare se e quali informazioni sono conservate per unperiodo più lungo, in forma centralizzata o meno (anche pereffetto di copie di back up, della gestione tecnica della rete odi file di log )
Dott. Luca Zenarolla
Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Indicare la possibilità di effettuare controlli in conformità allalegge, anche saltuari o occasionali, indicando le ragionilegittime – specifiche e non generiche – e le relative modalità;
Indicare le conseguenze, anche di tipo disciplinare, che ildatore di lavoro si riserva di trarre qualora constati utilizziindebiti;
Dott. Luca Zenarolla
Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Indicare le soluzioni prefigurate per garantire la continuitàdell'attività lavorativa in caso di assenza del lavoratore stesso ,con particolare riferimento all'attivazione di sistemi di rispostaautomatica ai messaggi di posta elettronica ricevuti;
Indicare le prescrizioni interne sulla sicurezza dei dati e deisistemi (art. 34 del Codice, nonché Allegato B), in particolareregole 4, 9, 10 ).
Dott. Luca Zenarolla
“Prima” dei controlli
Controlli successivi: “ESTREMA RATIO”
Valutare l'impatto sui diritti dei lavoratori
Individuare preventivamente chi utilizza internet ed e-mail
Dott. Luca Zenarolla
Misure per minimizzare i controlli
1) NAVIGAZIONE SU INTERNET
individuazione di categorie di siti “lavorativi”;
configurazione di sistemi e di filtri che prevenganodeterminate operazioni “vietate” quali l'upload o l'accesso adeterminati siti e/o il download di file o software aventiparticolari caratteristiche (dimensionali o di tipologia di dato)
Dott. Luca Zenarolla
Misure per minimizzare i controlli
trattamento di dati in forma anonima o aggregata(ad es., conriguardo ai file di log riferiti al traffico web, su base collettivao per gruppi di lavoratori);
conservazione nel tempo dei dati strettamente limitata alperseguimento di finalità organizzative, produttive e disicurezza.
Dott. Luca Zenarolla
Misure per minimizzare i controlli
2) UTILIZZO E-MAIL
Tutela della corrispondenza;
Indirizzi di posta elettronica condivisi tra più lavoratori([email protected]) eventualmente affiancandoli a quelliindividuali ([email protected]);
possibilità di attribuire al lavoratore un diverso indirizzodestinato ad uso privato;
Dott. Luca Zenarolla
Misure per minimizzare i controlli
Procedure per la gestione delle assenze (ad es., per ferie oattività di lavoro fuori sede): messaggi di avviso;
Assenza improvvisa o prolungata: per improrogabili necessitàlegate all'attività lavorativa, delega di un altro lavoratore(fiduciario) per verificare il contenuto di messaggi e a inoltrareal titolare del trattamento quelli ritenuti rilevanti per losvolgimento dell'attività lavorativa (verbale);
Inserimento avvertimento ai destinatari della natura nonpersonale dei messaggi stessi, precisando se le rispostepotranno essere conosciute nell'organizzazione diappartenenza del mittente.
Dott. Luca Zenarolla
I CONTROLLI VIETATI
I controlli vietati (misura obbligatoria) lettura e registrazione sistematica delle e-mail; memorizzazione sistematica dei siti web
visualizzati dal lavoratore; registrazione dei caratteri digitati su tastiera analisi occulta di computer portatili affidati in uso.
Dott. Luca Zenarolla
La giurisprudenza...
Corte di Cassazione - Sezione Quinta Penale, Sentenza 19 dicembre2007, n.47096: Violazione corrispondenza informatica dellavoratore - Utilizzo password riservata - Informativa privacy
Cass. Sezione Lavoro 13/09/06, n. 19554:
Licenziamento per giusta causa del dipendente che comunica a terzile credenziali di autenticazione
Tribunale Perugia, 20/02/06:
La verifica effettuata dal datore sul Pc del dipendente per verificarnel'eventuale abuso è un lecito controllo di tipo difensivo
Dott. Luca Zenarolla
STUDIO LEGALE RIEMVicolo Chiuso, 5
33170 - PordenoneTel. 0434 28056 Fax 0434 246429
mail [email protected]
Dott. Luca Zenarolla