Lezione15-2009 - Corso RZ Informatica Giuridica

Transcript

Il trattamento dei dati personali e l’utilizzo degli
strumenti informatici in ambito lavorativo
Argomenti
1) Trattamento dei dati personali. Cenno ai principi
generali per il trattamento e la protezione dei dati in
ambito lavorativo.
2) Utilizzo degli strumenti informatici nel luogo di
lavoro: Internet e posta elettronica. Comportamento del
dipendente, obblighi e controlli del datore di lavoro.
3) Conservazione dei dati.
Consulente del lavoro A.A. 2009/2010
1
PRINCIPI GENERALI
Operazioni di trattamento dei dati personali e
utilizzo degli strumenti informatici
Le operazioni di trattamento riguardano per lo più:
dati anagrafici di lavoratori
informazioni connesse allo svolgimento dell'attività lavorativa
I medesimi dati sono contenuti:
in atti e documenti prodotti dai lavoratori in sede di assunzione o nel corso
del rapporto di lavoro;
in documenti e/o file elaborati dal (o per conto del) datore di lavoro in
pendenza del rapporto di lavoro per finalità di esecuzione del contratto e
successivamente raccolti e conservati in fascicoli personali, archivi cartacei o
elettronici aziendali;
in albi e bacheche o, ancora, nelle intranet aziendali.
2
L'utilizzo di INTERNET da parte dei lavoratori può formare oggetto di
analisi, profilazione (elaborazione dei dati di un utente) e integrale
ricostruzione mediante elaborazione di log file della navigazione web ottenuti,
ad esempio, da un proxy server o da un altro strumento di registrazione delle
informazioni.
I servizi di POSTA ELETTRONICA sono parimenti suscettibili (anche
attraverso la tenuta di log file di traffico e-mail e l'archiviazione di messaggi) di
controlli che possono giungere fino alla conoscenza da parte del datore di
lavoro (titolare del trattamento) del contenuto della corrispondenza.
Le informazioni così trattate contengono DATI PERSONALI anche
sensibili riguardanti lavoratori o terzi, identificati o identificabili.
La raccolta, l’uso o la conservazione di informazioni sui lavoratori
attraverso sistemi manuali ed elettronici rientra nell’ambito della
normativa sulla protezione dei dati. Il monitoraggio delle e-mail o degli
accessi a Internet implica infatti il trattamento dei dati personali.
Quadro normativo di riferimento
Decreto legislativo 196 del 30 giugno 2003, Codice in materia di protezione dei
dati personali
Direttiva europea 95/46/CE sulla protezione dei dati personali
Statuto dei lavoratori di cui alla legge 300 del 20 maggio 1970
linee guida del Garante per la protezione dei dati personali
(www.garanteprivacy.it) :
• linee guida per il trattamento di dati di dipendenti privati: 23 novembre 2006
• linee guida per il trattamento di dati personali di lavoratori per finalità di
gestione del rapporto di lavoro in ambito pubblico: 14 giugno 2007
• linee guida del Garante per posta elettronica e internet: 1 marzo 2007 (in linea
con questa vedi anche la circolare del Ministero della funzione pubblica (“c.d.
circolare Brunetta”) per l’impiego della posta elettronica e internet nelle pubbliche
amministrazioni del 2 aprile 2009)
• Autorizzazioni del Garante al trattamento dei dati sensibili nei rapporti di
lavoro: vedi autorizzazione 1/2008 del 19 giugno 2008.
3
… tutela del diritto alla riservatezza
Il diritto alla riservatezza rientra tra i diritti della personalità e in quanto tale gode della
garanzia costituzionale di cui all’articolo 2 della Costituzione in cui si dispone che “la
Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo sia nelle
formazioni sociali ove si svolge la sua personalità”.
Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle
libertà fondamentali e della dignità degli interessati garantendo che sia assicurata
l’esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di
riservatezza nelle relazioni personali e professionali
La linea di confine tra le informazioni che riguardano la vita lavorativa e quelle che
riguardano la sfera personale dei lavoratori è molto labile e può essere tracciata a volte con
grande difficoltà sempre contemperando in modo equilibrato tutti gli interessi coinvolti.
• Articoli 2 e 41 della Costituzione
• Dichiarazione universale dei diritti dell’uomo
• Articolo 2087 cod. civile “tutela delle condizioni di lavoro”
• Articolo 2, comma 5 del Codice dell’amministrazione digitale di cui al decreto legislativo 82
del 7 marzo 2005.
Principi generali
I trattamenti devono rispettare le garanzie in materia di protezione dei dati e
svolgersi nell'osservanza di alcuni principi e accorgimenti:
il principio di necessità (art. 3 Cod.)
il principio di correttezza (art. 11, comma 1, lett. a), del Codice
i trattamenti devono essere effettuati per finalità determinate, esplicite e
legittime (art. 11, comma 1, lett. b), del Codice)
osservando il principio di pertinenza e non eccedenza (art. 11, comma
1, lett. d), del Codice), cioè proporzionalità tra i dati e gli scopi per il quale
siano utilizzati.
I dati devono essere precisi e, se necessario, aggiornati
Chiara individuazione (e formazione particolare adeguata) di titolari,
responsabili, ecc
4
… segue
informando preventivamente e adeguatamente gli interessati, principio di
trasparenza (art. 13 del Codice);
chiedendo preventivamente il consenso solo quando, anche a seconda della
natura dei dati, non sia corretto avvalersi di uno degli altri presupposti
equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);
rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite
dal Garante nelle autorizzazioni anche di carattere generale rilasciate (artt. 26 e
27 del Codice; cfr., in particolare, l'autorizzazione generale n. 1/2008);
adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi
tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a
rispondere anche civilmente e penalmente (artt. 15, 31 e ss., 167 e 169 del
Codice).
BASIC DATA PROTECTION PRINCIPLES
GOVERNING THE PROCESSING OF PERSONAL
DATA OF WORKERS
FINALITY
TRANSPARENCY
LEGITIMACY
PROPORTIONALITY
ACCURACY AND RETENTION OF THE DATA
SECURITY
AWARENESS OF THE STAFF
* Parere 8/2001- trattamento dei dati personali nel contesto dell'occupazione - 13
settembre 2001 - in http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2001_en.htm
5
INTERNET E POSTA
ELETTRONICA
Utilizzo degli strumenti informatici sul luogo di lavoro
Per lo svolgimento della loro attività lavorativa, i dipendenti si avvalgono
dell’aiuto di strumenti informatici, così come di telefoni, cellulari, fax, stampanti,
ecc. messi a disposizione dal datore di lavoro.
Compete ai datori di lavoro assicurare la funzionalità e il corretto impiego degli
strumenti informatici messi a disposizione del dipendente per lo svolgimento
dell’attività lavorativa, definendone le modalità di utilizzo in accordo con le
disciplina in tema di diritti e relazioni sindacali, adottando anche le misure di
sicurezza per la disponibilità e l’integrità di sistemi informativi e dati.
L’utilizzo di tali risorse da parte dei dipendenti deve sempre ispirarsi ai principi
di diligenza e correttezza, atteggiamenti richiesti nello svolgimento di ogni
atto o comportamento posto in essere nell’ambito del rapporto lavorativo.
Il dipendente deve essere inoltre tutelato perché l’utilizzazioni di tali mezzi può
avere implicazioni sulla protezione dei loro dati personali e/o sensibili, e di
quelli di terzi.
6
→ Il problema è accertare di quali strumenti di controllo
possa legittimamente servirsi il datore di lavoro al fine di controllare
l'utilizzo indebito dei beni aziendali da parte dei propri dipendenti.
→ Il potere di controllo e di direzione attribuito al datore di
lavoro deve, infatti, coordinarsi con la normativa riguardante la tutela
della dignità e della riservatezza dei lavoratori.
E’ necessario un giusto bilanciamento tra il potere di controllo ed il
diritto alla riservatezza e alla tutela della dignità del lavoratore
Trasparenza e correttezza
In base al principio di correttezza l’eventuale trattamento deve essere ispirato ad un
canone di trasparenza, come prevede anche la disciplina di settore: statuto dei
lavoratori (art.4, comma 2) e d. lgs 626/1994
In questo senso il datore di lavoro deve informare circa le modalità di utilizzo degli
strumenti messi a disposizione Â Il Garante (nelle linee guida) suggerisce l’adozione
di un DISCIPLINARE interno da pubblicizzare adeguatamente e periodicamente da
aggiornare.
INFORMATIVA: il datore di lavoro ha l’onere di informare comunque gli
interessati ai sensi dell’articolo 13 del Codice privacy, e in modo particolare di
informare sulle modalità e finalità dei controlli e sui trattamenti dati che possono
riguardarli Â Le finalità possono riguardare specifiche esigenze organizzative,
produttive e di sicurezza del lavoro quando comportano un trattamento lecito di dati o
possono riguardare l’esercizio di un diritto in sede giudiziaria
7
Secondo il Garante nel DISCIPLINARE andrebbe ad esempio specificato:
- se determinati comportamenti non sono tollerati rispetto alla "navigazione"
in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di
file nella rete interna;
- in quale misura è consentito utilizzare anche per ragioni personali servizi di
posta elettronica o di rete, anche solo da determinate postazioni di lavoro o
caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco
temporale di utilizzo;
- quali informazioni sono memorizzate temporaneamente (ad es., le
componenti di file di log eventualmente registrati), chi vi può accedere
legittimamente, e se e quali informazioni sono eventualmente conservate per un
periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di
back up, della gestione tecnica della rete o di file di log );
- se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in
conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –
specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche sulla
funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di
abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed
effettuati controlli nominativi o su singoli dispositivi e postazioni);
- quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di
trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate
indebitamente;
- le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la
continuità dell'attività lavorativa in caso di assenza del lavoratore stesso (specie
se programmata), con particolare riferimento all'attivazione di sistemi di risposta
automatica ai messaggi di posta elettronica ricevuti, alla delega ad altro incaricato,
alla comunicazione della password della posta elettronica;
- le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice,
nonché Allegato B), in particolare regole 4, 9, 10 ).
8
Misure organizzative e tecnologiche
Il datore di lavoro deve adottare idonee:
MISURE ORGANIZZATIVE
Valutare l’impatto dei controlli sui diritti dei lavoratori
Individuare i lavoratori che possono utilizzare la posta
elettronica e Internet
Individuare chiaramente le postazioni di lavoro
MISURE TECNOLOGICHE rispetto a
Navigazione in Internet
Utilizzo della posta elettronica
INTERNET
Per ridurre il rischio di usi impropri di Internet (attività personali non correlate alla
prestazione lavorativa come la visione di siti non pertinenti, l'upload o il download di
file, l'uso di servizi di rete con finalità estranee all'attività), deve adottare opportune
misure che possono prevenire controlli successivi sul lavoratore, come:
• lista di siti considerati correlati o meno con la prestazione lavorativa;
• configurazione di sistemi o utilizzo di filtri che prevengano determinate
operazioni ritenute no attinenti con l'attività lavorativa – quali l'upload o l'accesso a
determinati siti (inseriti in una sorta di black list) e/o il download di file o software
aventi particolari caratteristiche (dimensionali o di tipologia di dato);
• trattamento di dati in forma anonima o tale da precludere l'immediata
identificazione di utenti mediante loro opportune aggregazioni (ad es., con riguardo
ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente
ampi di lavoratori);
• eventuale conservazione nel tempo dei dati strettamente limitata al
perseguimento di finalità organizzative, produttive e di sicurezza.
9
POSTA ELETTRONICA
Il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle
comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da
garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost), la
cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il
pieno sviluppo della personalità nelle formazioni sociali. Un'ulteriore
protezione deriva dalle norme penali a tutela dell'inviolabilità dei segreti (art.
616, quarto comma, c.p.; vedi anche art. 49 Codice dell'amministrazione digitale).
In questo quadro è opportuno che:
• il datore di lavoro renda disponibili indirizzi di posta elettronica
condivisi tra più lavoratori (ad esempio, info@università.it, ecc) oppure
valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato
ad uso privato del lavoratore;
• i messaggi di posta elettronica contengano un avvertimento ai destinatari nel
quale sia dichiarata l'eventuale natura non personale dei messaggi.
• il datore di lavoro metta a disposizione funzionalità di sistema per l’invio
automatico, in caso di assenze, di messaggi di risposta contenenti le "coordinate"
(anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di
contatto della struttura. Se il lavoratore utilizza questa modalità il lavoratore può
prevenire l'apertura della posta elettronica in caso di eventuali assenze non
programmate
• In caso di assenza improvvisa o prolungata e per improrogabili necessità legate
all'attività lavorativa, quando si debba conoscere il contenuto dei messaggi di posta
elettronica, l'interessato deve essere messo in grado di delegare un altro
lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare
del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa.
Si veda sentenza Corte di cassazione n. 47096/2007
10
Con la sentenza 47096 la Corte affronta il tema della lecita conoscibilità o meno,
da parte del datore di lavoro, della corrispondenza in entrata e in uscita nella
casella di posta elettronica del lavoratore.
Il datore di lavoro era stato imputato del reato previsto dall’art. 616 cod. pen. E
cioè violazione della riservatezza della corrispondenza informatica per aver preso
visione del contenuto della casella di posta elettronica di una sua dipendente,
utilizzando la sua password (che secondo una prescrizione dell’azienda era stata
consegnata in busta chiusa al superiore gerarchico, legittimata ad usarla in caso di
assenza e per ragioni di lavoro).
La corte ha sottolineato che tale condotta è punibile solo se riguarda la
corrispondenza “chiusa”, e questo non è il caso; infatti secondo la Corte quando il
sistema è protetto da password deve ritenersi che la corrispondenza in esso
custodita sia lecitamente conoscibile da tutti coloro che legittimamente
dispongono di questa chiave di accesso.
Una legittimazione in tal senso è sicuramente configurabile in capo al datore di
lavoro che aveva nella sua disponibilità tutte le password aziendali (e seguendo
specifiche policy di sicurezza) e di questo i dipendenti erano a conoscenza.
Controlli
Il datore di lavoro può riservarsi di controllare l’effettivo
adempimento della prestazione lavorativa e, se necessario, il corretto
utilizzo degli strumenti di lavoro.
► Divieto di installare apparecchiature per finalità di
controllo a distanza dei lavoratori (articolo 4, comma 1 legge
300/1970, statuto dei lavoratori) quindi anche strumentazioni
hardware e software mirate al controllo dell’utente.
Cass. 18 febbraio 1983, n. 1236 e 16 settembre 1997, n. 9211
Cass. 11 marzo 1986, n. 1490
Cass., 17 giugno 2000, n. 8250 rispetto all'uso probatorio
11
Prendiamo spunto da un recente provvedimento del Garante relativo ad
un caso di abuso di strumenti informatici aziendali, per soffermarci sulla
questione della organizzazione dei controlli alla luce di quelle che sono
le linee guida per l'utilizzo di Internet e della posta elettronica in azienda.
Provvedimento del Garante - 2 aprile 2009
Lavoro privato: monitoraggio degli accessi Internet del
dipendente [doc. Web. n. 1606053 ]
Nel caso in esame il datore di lavoro, pur adottando un regolamento
specifico e fornendo ai dipendenti istruzioni per l'uso della postazione
informatica individuale, a seguito di alcuni disservizi causati sulla rete
aziendale da un eccessiva attività di scaricamento dati (download),
aveva allestito un sistema di monitoraggio degli accessi nei confronti
di un dipendente.
Il sistema, organizzato sulla base di un proxy server con funzioni di caching abilitate,
aveva permesso di svolgere, per la durata di circa nove mesi, attività di controllo che
implicavano la registrazione in chiaro degli "accessi a tutti i siti web visitati con
evidenziazione anche dei relativi domìni", realizzando una forma di trattamento
inammissibile sulla base dei seguenti profili di illiceità:
la natura sistematica e continuativa del tracciamento, a causa della sua durata
prolungata e della particolare estensione delle informazioni catturate, ha comportato
una violazione sia dell'art. 4, comma 1, della legge 300/70 (Statuto dei lavoratori) che
vieta l'impiego di apparecchiature (compresi hardware e software) per finalità di
controllo a distanza dell'attività dei lavoratori, sia del principio di pertinenza e non
eccedenza nella raccolta dei dati;
mancata attivazione da parte del datore di lavoro delle procedure previste dalla
normativa nel caso in cui le funzionalità di controllo connesse all'utilizzo di un
software siano motivate da "esigenze organizzative e produttive" (accordo con le rsu oppure
autorizzazione della direzione provinciale del lavoro);
Da tali conclusioni è scaturito il provvedimento che ha disposto il divieto di ulteriore
trattamento delle informazioni raccolte nel corso del monitoraggio.
12
Organizzazione dei controlli
Per evitare le conseguenze appena viste, è fondamentale organizzare le
attività di controllo in modo conforme alle prescrizioni di legge, per cui:
non si possono installare apparecchiature, di nessun tipo, preordinate ad
un controllo a distanza dei lavoratori: in questo ambito si possono far
rientrare i software che, in relazione al modo in cui sono progettati e/o
configurati, permettano la memorizzazione o la riproduzione delle pagine
web accedute o l'esplicazione di controlli protratti nel tempo;
sono ammessi per esigenze produttive, organizzative o di sicurezza sul
lavoro sistemi di controllo indiretto, ma sempre nel rispetto delle
procedure di informazione e consultazione dei lavoratori e dei sindacati;
Gradualità dei controlli
Nell’effettuare i controlli deve essere evitata un’interferenza ingiustificata sui
diritti e sulle libertà fondamentali dei lavoratori e di eventuali terzi.
Il controllo è lecito se sono rispettati i principi di pertinenza e non eccedenza
In linea generale i controlli dovrebbero avere per oggetto dati in forma
aggregata, riferiti alla struttura organizzativa o a sue aree.
Se dall'analisi di questi ultimi emergono elementi che fanno presumere
utilizzi impropri o non consentiti degli strumenti aziendali, vanno emessi avvisi
generalizzati, anche circoscritti a particolari aree di lavoro, con l'invito ad
attenersi alle direttive aziendali.
Soltanto nel caso in cui, a seguito degli avvisi, le attività anomale non cessino
sarà possibile procedere a controlli su base individuale.
13

Lezione15-2009 - Corso RZ Informatica Giuridica

Transcript

Documenti analoghi

Uso del PC in Azienda

CHe lAvoRo sI sA che lAvoRo sI FA?

LETTERA DI REFERENZE

Capo VI - INFORMAZIONE E FORMAZIONE DEI LAVORATORI.

L`orario di lavoro

Raggi curriculum

Cambio Consulente

Fiorella Kostoris

1 CURRICULUM VITAE Nome Patrizia Feletig Data di nascita 1961