Vietato controllare la navigazione del dipendente se non rispettando le prescrizione del Codice Privacy: il Garante detta le regole ai datori di lavoro
di Graziano Garrisi
Digital & Law Department Studio Legale Lisi – www.studiolegalelisi.it)
Con un recente provvedimento del 2 aprile 2009 (pubblicato sul sito www.garanteprivacy.it in data 22 settembre) in tema di “monitoraggio degli accessi Internet del dipendente”, il Garante Privacy ha accolto il reclamo da parte di un lavoratore e ha inibito ad una società l’ulteriore trattamento dei suoi dati di navigazione in internet, perché trattati in maniera illecita.
La società in questione, infatti, aveva monitorato per ben nove mesi la navigazione on line di un lavoratore attraverso un software in grado di memorizzare “in chiaro” le pagine e i siti web visitati, il numero di connessioni e il tempo trascorso sulle singole pagine.
Con questo provvedimento, quindi, il Garante ha voluto ribadire un concetto fondamentale, ma molto spesso ignorato dai datori di lavoro: non è possibile controllare in maniera “sistematica e continua” la navigazione in internet e i siti web visitati dal lavoratore, in quanto ciò configura un controllo a distanza diretto che, oltre ad essere contrario alle Linee Guida del Garante in materia di “Internet e Posta Elettronica”, è anche vietato dall’art 4 dello Statuto dei Lavoratori (che vieta l’impiego di apparecchiature per finalità di controllo a distanza dell’attività dei dipendenti).
Questi problemi nascono dall’esigenza del datore di lavoro di controllare l’operato dei propri dipendenti e dalla necessità avvertita dallo stesso di difendersi dal possibile uso distorto degli strumenti informatici presenti in azienda, attraverso i quali è possibile commettere illeciti penali o aziendali a sua insaputa (appropriazione indebita di danaro o beni aziendali, truffe o simulazione di incidenti sul lavoro, accesso abusivo a sistemi informatici per carpire informazioni aziendali riservate, utilizzo degli strumenti elettronici per finalità extra-lavorative, accessi continui e prolungati a siti estranei all’attività lavorativa, ect..).
Da una lettura attenta del provvedimento, pertanto, si evince chiaramente come lo stesso sia ispirato a principi di buon senso che si ritrovano facilmente all’interno delle Linee Guida citate e nei vari pronunciamenti del Garante Privacy.
Ad oggi, infatti, il datore di lavoro può sottoporre il dipendente solo a controlli indiretti, attraverso l’uso di tecnologie informatiche, ma sempre nei limiti tracciati dal Garante e purché si tratti di “controlli difensivi”, quelli cioè che si rendono necessari, e pertanto giustificati e legittimi, per garantire la tutela del patrimonio aziendale. Tuttavia, tali controlli, spesso vengono effettuati da parte dei datori di lavoro in maniera invasiva e non rispettosa delle norme posta a tutela del lavoratore ed è per questo che risulta necessario confrontarsi con soggetti esperti del settore e non lasciarsi sedurre dalle potenzialità che le nuove tecnologie offrono per il monitoraggio della navigazione sul web.
La problematica dei controlli sui lavoratori, venuta di nuovo alla ribalta, è, infatti, specificatamente disciplinata dal provvedimento del 1° marzo 2007 (su Posta elettronica e Internet) che ha fornito una concreta ed esaustiva risposta ad una tematica che a lungo ha affannato teorici e pratici, ovvero la possibilità, da parte del datore di lavoro, di trattare i dati personali del proprio dipendente al fine di verificare che la posta elettronica e la rete Internet siano utilizzate in modo corretto nell’ambito del rapporto di lavoro. La testè citata pronuncia del Garante, lungi dall’essere una provvedimento di mera applicazione delle regole enunciate dal d.lgs. 196/2003 e da quelle contenute nello Statuto dei lavoratori, rappresenta un esemplare contemperamento degli interessi alla cui tutela i due testi legislativi citati sono preposti, con quelli che fanno capo più propriamente al datore di lavoro: da un lato la tutela della riservatezza e della dignità del lavoratore, dall’altro le esigenze del datore di lavoro relative all’organizzazione, alla produzione ed alla sicurezza.
Per ciò che concerne questi strumenti di controllo (come quello utilizzato dalla società nel caso di specie) che, utilizzati dal datore di lavoro per motivi di organizzazione, produzione e sicurezza, consentono dei controlli anche sul lavoratore (controlli cd. “preterintenzionali”), il provvedimento del Garante è stato chiaro nell’ammettere la loro utilizzazione purché questa sia preceduta da una comunicazione espressa sia al dipendente che alla RSU. Qualora la RSU si opponga al loro utilizzo, al datore di lavoro sarà comunque concesso di comunicare tale obiezione all’Ispettorato del lavoro competente al quale spetterà il compito di esaminare che le finalità del software utilizzato siano conformi alle esigenze del datore di lavoro.
Ciò tuttavia non basta, in quanto occorre adottare ulteriori misure per ridurre i rischi connessi ad un utilizzo improprio di Internet, ed in particolare:
- individuare i siti web considerati correlati alla prestazione lavorativa;
- configurare dei filtri per evitare navigazioni su siti ritenuti non attinenti all’ambito lavorativo o illeciti ovvero per impedire il download di file o software con determinate caratteristiche;
- conservare nel tempo dati in funzione del perseguimento di finalità organizzative, produttive e di sicurezza.
Gli eventuali controlli da parte del datore di lavoro sugli strumenti elettronici, inoltre, perché siano leciti devono, oltre che non comportare interferenze ingiustificate sui diritti e sulle libertà fondamentali dei lavoratori, rispettare i principi di pertinenza e non eccedenza (siffatti controlli devono essere effettuati con gradualità; in prima analisi, dovranno effettuarsi verifiche di reparto, di ufficio, di gruppi di lavoro, in modo da accertare quale sia l’area da richiamare all’osservanza delle regole e i controlli individuali sono attuabili solo qualora l’anomalia dovesse ripetersi successivamente ai controlli effettuati per collettività di lavoratori).
La condotta illegittima che è stata riscontrata dal Garante nel caso specifico, tra l’altro, attiene al controllo prolungato, costante o indiscriminato che allo stato attuale non è in nessun caso consentito.
Al riguardo, inoltre, per quanto concerne i tempi di conservazione, i sistemi di software devono essere programmati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet ed al traffico telematico, “la cui conservazione non è necessaria”. Ciò comporta che un eventuale prolungamento dei tempi di mantenimento di siffatti dati sarà da considerare del tutto eccezionale e troverà giustificazione:
- in particolari esigenze tecniche o di sicurezza;
- nella tutela in sede giudiziaria di un diritto;
- nell’ottemperanza a una pronuncia giudiziaria in tal senso
In ogni caso, il problema di contemperare le esigenze aziendali con il diritto alla riservatezza del lavoratore si può risolvere predisponendo una serie di regole (privacy policy) attraverso l’adozione di un “Regolamento interno”, con la funzione di spiegare ai lavoratori che gli strumenti utilizzati sono strumenti di lavoro e non sono consentiti altri usi.
Una buona “policy aziendale condivisa”, infatti, dovrà sempre rispettare una serie di principi:
- Pertinenza: ovvero le informazioni raccolte con gli strumenti di controllo devono essere funzionali allo scopo e non servire per scopi diversi;
- Specificità: vietare i controlli generalizzati e a tappeto senza precisi motivi;
- Indispensabilità: verificare la disponibilità di altri controlli meno invadenti;
- Proporzionalità: in modo tale che l’esigenza di tutelare i diritti del datore di lavoro non porti ad annullare quelli del lavoratore alla propria riservatezza;
- Informazione: il lavoratore deve essere informato preventivamente sulla tipologia di controllo implementata.
Il datore di lavoro, pertanto, dovrà:
- spiegare ai lavoratori che gli strumenti informatici, internet e la casella e-mail sono strumenti di lavoro e non sono consentiti altri usi;
- informare i lavoratori sui rischi connessi all’uso improprio di internet e delle e-mail, in modo che siano chiare le finalità del controllo;
- elencare le misure tecniche adottate per prevenire abusi o minacce alla sicurezza del sistema, tra cui le modalità di controllo del traffico telematico;
- indicare le modalità e la durata delle registrazioni del traffico telematico, le misure di sicurezza per la custodia dei dati e la procedura da seguire per accedervi;
- osservare tutte le prescrizioni utili per il corretto uso degli strumenti informatici a disposizione dei lavoratori (Codice Privacy e All. B)
- prevedere all’interno della “policy” sanzioni disciplinari nel caso di violazione di regole specifiche sulle modalità di utilizzo di tali strumenti, il tutto in ossequio al “principio generale della proporzionalità della sanzione”.
Si ricorda, infine, che l’attività di monitoraggio, se fatta in maniera illecita, è molto pericolosa perché può comportare a carico del titolare del trattamento anche pesanti sanzioni penali, tant’è che il Garante, nel caso di specie, ha disposto la trasmissione degli atti e di copia del provvedimento in esame all’Autorità Giudiziaria per le valutazioni di competenza in ordine agli illeciti penali eventualmente configurabili.