Utilizzo di posta elettronica e internet al lavoro: ecco le istruzioni per

24-09-2007
Utilizzo di posta elettronica e internet al lavoro:
ecco le istruzioni per lÊuso del Garante della privacy
a cura di IGOR GIUSSANI e TOMMASO PIZZO
* pubblicato anche sul numero 39 della rivista Note Informative
Sommario
Il Garante per la protezione dei dati personali, in ottemperanza di quanto previsto allÊart. 24 del D.
Lgs. 196/2003 (codice della privacy) e dei poteri ad esso riservati dallÊart 154, comma 1 lettere b)
e c), detta delle linee guida circa lÊutilizzo della posta elettronica e della rete Internet nel rapporto
di lavoro con Delibera n. 13 del 1° Marzo 2007.
Premessa
Il Garante per la protezione dei dati personali ha voluto fornire dei chiarimenti alle parti coinvolte
in un qualsiasi rapporto di lavoro riguardo alle implicazioni e ai rischi di lesione dei rispettivi diritti
e interessi a cui può dare luogo lÊutilizzo in ambito lavorativo degli strumenti informatici: in
particolare la navigazione su Internet da parte dei dipendenti e lÊutilizzo della posta elettronica
come mezzo per la corrispondenza di vario contenuto, anche extralavorativo.
Si tratta comunque di previsioni e indicazioni aventi semplice carattere esplicativo, riguardo a
come applicare correttamente, nelle situazioni e casi in esame, un corpus di norme già esistente,
comprendente sia disposizioni a tutela del diritto alla riservatezza e dei dati e informazioni di
carattere personale dei lavoratori, sia principi che legittimano – entro determinati limiti – i datori
di lavoro a condurre azioni di verifica, monitoraggio e controllo delle attività lavorative che si
svolgono nella sfera di gestione della loro attività imprenditoriale. EÊ in questÊambito che si
riconoscono alla parte datoriale un evidente interesse alla supervisione e gestione attenta dei
processi e delle azioni che si compiono e, nello stesso tempo, le responsabilità nei confronti dei
propri sottoposti e di soggetti terzi che instaurano relazioni di vario tipo con quella attività
economica.
Posti questi elementi di complessità del tema, la valutazione dei singoli casi dovrà tener conto dei
reciproci e legittimi interessi in una discreta misura confliggenti, tentandone una composizione,
laddove possibile. Un simile contemperamento non può che presentare rilevanti aspetti di
problematicità e incertezza: il rischio, infatti, di dover intervenire in situazioni ambigue, in zone
grigie dellÊorganizzazione del lavoro e dellÊimpianto regolativo ad essa applicabile, è molto alto.
Ecco dunque che le presenti linee guida costituiscono un sforzo, da parte del Garante della
Privacy, di fare luce su alcuni dei nodi critici che possono emergere nellÊambito dello svolgimento
di attività di lavoro che richiedono un uso rilevante e continuo del computer e che tendono a
sfruttarne anche le opportunità comunicative e di relazione con lÊesterno: ma su alcuni soltanto dei
nodi che il tema pone, e in modo non vincolante né definitivo.
1
Il documento del Garante non ha, infatti, alcuna ambizione di fornire indicazioni univoche e sempre
valide sul modo in cui gestire (sul piano regolativo, ma anche della qualità delle relazioni di lavoro e
sindacali) la co-esistenza tra esercizio del potere direttivo e preservazione della sfera individuale
del lavoratore.
Proviamo, dunque, a ricostruire sinteticamente i principi (in alcuni casi solo gli indirizzi) che
disciplinano il rapporto tra controllo dei lavoratori e privacy e suggeriscono il punto dÊequilibrio
tra le due istanze, per come sono rintracciabili in norme già esistenti e ripresi dalle linee guida del
Garante.
Privacy e controllo a distanza
LÊintento del Garante, con le sue linee guida, è quello di „prescrivere ai datori di lavoro ⁄ alcune
misure per conformare alle disposizioni vigenti il trattamento dei dati personali effettuato per
verificare il corretto utilizzo, nel rapporto di lavoro, della posta elettronica e della rete internet‰.
La materia, come detto, è assai delicata in quanto si tratta di contemperare il diritto dei lavoratori
di veder „assicurata una ragionevole protezione della sfera di riservatezza nelle relazioni personali
e professionali‰ ed il diritto del datore di lavoro di verificare il corretto utilizzo degli strumenti
messi a disposizione per lÊattività lavorativa.
Il Garante è ben conscio che, nellÊutilizzo di questi strumenti elettronici, i datori di lavoro
potrebbero astrattamente „trattare‰ o venire a conoscenza di informazioni inerenti allÊattività
lavorativa ma anche inerenti alla sfera personale e alla vita privata di lavoratori e di terzi (punto
1.2); proprio per ridurre gli effetti indesiderati di questo controllo „preterintenzionale‰ ritiene di
fissare alcune linee guida nel rispetto, ovviamente, del c.d. Codice della Privacy e delle disposizioni
specifiche di settore.
Muovendo da tali premesse lÊautorità garante si premura di richiamare gli specifici divieti e limiti
posti dalla disciplina di settore (punto 2.2 e punto 5.1): e cioè lÊart. 4 (impianti audiovisivi) e lÊart. 8
(divieto di indagini sulle opinioni) della L. 300/70 (informazioni circa lÊattività lavorativa).
Il rapporto tra la normativa della privacy e le norme dello Statuto dei Lavoratori, ad avviso di chi
scrive, deve necessariamente conformarsi alla seguente logica: il datore di lavoro dovrà rispettare
in primis quanto sancito dagli artt. 4 e 8 dello Statuto dei Lavoratori e solo successivamente
uniformarsi agli adempimenti procedurali ed ai principi di cui al D. Lgs. 196/2003 nella raccolta e
nel trattamento dei dati: ricordiamo ad esempio i principi di liceità e correttezza, finalità, necessità
e trasparenza di cui allÊart. 11 D. Lgs. 196/03 1 .
Come si è sostenuto (vedi nota 1), lÊutilizzo del computer ed in particolare dei servizi di posta
elettronica ed internet dovrebbe essere preceduto dallÊaccordo ex art. 4 L. 300/70.
Tali strumenti vanno, infatti, ricompresi tra quegli „impianti e apparecchiature ⁄. richiesti da
esigenze organizzative e produttive ⁄ ma dai quali derivi anche la possibilità di controllo a distanza
dellÊattività dei lavoratori‰.
Nella delibera dellÊautorità garante viene sottolineato come lÊaccordo con le rappresentanze
sindacali sia lo strumento più idoneo ad assicurare lÊequilibrio ed il contemperamento delle diverse
sfere di interesse (punto 7.1).
1
Per una puntuale disamina dellÊargomento vedi „Controllo dei lavoratori e protezione dei dati personali‰ di Gianni Sozzi, Giovanni
Marcucci e Silvia Gariboldi, Note Informative n. 36, Agosto 2006.
2
LÊaccordo, che si pone come un indispensabile strumento di regolazione preventiva riguardo alle
modalità consentite e ai limiti nellÊutilizzo generale del computer, dovrà prendere in
considerazione le linee guida dettate dal garante al fine di tutelare ancor di più i lavoratori da
indebite ingerenze della sfera privata e lavorativa.
Le linee guida del garante
Il garante suggerisce ai datori di lavoro lÊadozione e la pubblicizzazione di un „disciplinare interno‰
(punto 3.2), ossia di un regolamento, che prescriva le modalità di utilizzo di internet e della posta
elettronica. La ratio di tale previsione è abbastanza chiara: nel rispetto del principio di trasparenza
del Codice della Privacy, rendere unÊadeguata informazione sulle concrete modalità di utilizzo degli
strumenti elettronici è fondamentale per prevenire il rischio che, a seguito di un legittimo
controllo, il datore di lavora possa entrare in possesso di notizie e dati inerenti la sfera privata del
lavoratore.
La disposizione si pone pertanto in una logica preventiva; tale logica sottende gran parte delle linee
guida, al punto che possiamo ritenerla come un vero e proprio principio ispiratore della delibera in
commento. Se vogliamo, tale logica non è altro che la declinazione pratica di quei principi di liceità,
correttezza, finalità, necessità e trasparenza di cui allÊart. 11 del Codice della Privacy, ai quali si può
tener fede solo adottando „accorgimenti‰ la cui intrusività sia ridotta al minimo.
Il disciplinare dovrà essere redatto in modo chiaro e senza formule generiche e portato a
conoscenza dei lavoratori tramite informativa, utilizzando la rete interna o mediante affissione sui
luoghi di lavoro con modalità analoghe a quelle previste dallÊart. 7 della L. 300/70. Lo stesso dovrà
essere sottoposto ad aggiornamento periodico.
Il regolamento interno dovrà specificare (tra le altre cose che vedremo in seguito) quali
conseguenze, anche di tipo disciplinare, il datore di lavoro intenderà intraprendere in caso di
utilizzo indebito della posta elettronica e di internet.
Sul punto riteniamo opportuno fare unÊosservazione: a nostro avviso nella irrogazione delle
eventuali sanzioni disciplinari il datore potrà fare esclusivo riferimento alle disposizioni del
contratto collettivo applicato ed utilizzare, nel caso, la sanzione prevista per unÊanaloga violazione
degli obblighi contrattuali.
La delibera prescrive ai datori di lavoro lÊadozione di misure di tipo organizzativo e tecnologico
(punto 5.2): in particolare, gli stessi, dovranno „promuovere ogni opportuna misura, organizzativa
e tecnologica volta a prevenire il rischio di utilizzi impropri, da preferire rispetto allÊadozione di
misure repressive,‰ degli strumenti informatici (ecco ancora la logica preventiva).
Da un punto di vista organizzativo si dovrà procedere, prima dellÊistallazione di apparecchiature
suscettibili di consentire il controllo a distanza dei lavoratori, ad unÊattenta valutazione dellÊimpatto
sui diritti dei lavoratori: ecco un altro elemento che le rappresentanze sindacali dovranno
presidiare in sede di accordo ex art. 4 L. 300/70.
I datori di lavoro dovranno fin dallÊinizio individuare (anche per tipologie) i lavoratori ai quali è
accordato lÊutilizzo di internet e della posta elettronica e determinare lÊubicazione delle postazioni
da cui è possibile lÊutilizzo dei servizi di rete per ridurre il rischio di un impiego abusivo (sempre in
una logica preventiva).
3
Tra le misure di tipo tecnologico rispetto allÊutilizzo di internet il datore di lavoro dovrà (o meglio
potrà) individuare categorie di siti correlati o non correlati allÊattività lavorativa: in altre parole
potrà stilare una black list o una lista di siti di libera consultazione. Al di là di alcune perplessità
sulla fattibilità di tale operazione, riteniamo - senza addentraci in questa discussione - che limitare
lÊutilizzo di internet (importante fonte di reperimento di informazioni per quelle imprese
dinamiche in cui la conoscenza rappresenta il vantaggio competitivo), così come le opportunità di
comunicazione per le imprese a rete, potrebbe rappresentare un handicap piuttosto che un
vantaggio.
Anche su questo punto le parti di un sistema di relazioni industriali maturo in sede di
contrattazione di secondo livello o di accordo ex art. 4 L. 300/70 dovrebbero saper efficacemente
coniugare esigenze di protezione dei lavoratori ma anche „promuovere‰ lÊutilizzo di detti
strumenti, al fine di favorire al contempo la crescita dei lavoratori e lo sviluppo della competitività
delle imprese. Qualsiasi intervento di regolazione di aspetti e condizioni del lavoro che toccano
trasversalmente sia status giuridici, sia strategie organizzative (dei fattori produttivi, dei processi),
sia leve motivazionali (del personale, riguardo al modo in cui vivono e interpretano il proprio
ruolo) può avere dei potenti effetti sugli equilibri allÊinterno di un contesto lavorativo. EÊ
ragionevole immaginare che un atto che fissi formalmente limiti e concessioni allÊutilizzo del
computer e di internet anche per finalità non lavorative possa essere recepito come vantaggioso
da entrambe le parti solo se è il risultato di unÊazione negoziata e se si innesta in una logica di
scambio tra fiducia accordata ai lavoratori e lÊassunzione da parte loro di più ampi margini di
discrezionalità: nellÊorganizzarsi i tempi di lavoro e nello scegliere e definire i termini del proprio
contributo, valutando le proprie scelte in funzione dei risultati.
Altra misura di tipo tecnologico è lÊattenta configurazione dei sistemi informatici o lÊutilizzo di
appositi filtri che prevengano determinate operazioni quali ad esempio il download di file musicali
o multimediali etc., palesemente estranei allÊattività lavorativa. Questo anche in considerazione del
fatto che alcune di queste operazioni potrebbero danneggiare le apparecchiature informatiche di
proprietà del datore di lavoro.
Tra le misure previste per lÊutilizzo della posta elettronica, il Garante suggerisce la predisposizione
di indirizzi condivisi tra più lavoratori (es: info@ente, serizioclienti@ente) eventualmente
affiancandoli a quelli individuali. Il garante non esclude nemmeno lÊeventuale attribuzione al
lavoratore di un diverso indirizzo destinato ad uso privato.
Essendo impossibile fare una compiuta digressione sul tema della riservatezza della corrispondenza
ci limitiamo a segnalare che, se da un lato vi è il diritto del datore di lavoro ad evitare un
improprio utilizzo della posta elettronica, dallÊaltro non è concepibile immaginare che, nel luogo e
durante lÊorario di lavoro, gli individui si astengano dallÊesprimere in svariate forme la propria
personalità. Laddove si manifestano i propri interessi e orientamenti, questi non possono essere
oggetto di abuso o di indebito trattamento. In particolare, preme sottolineare che chi scrive non
condivide e ritiene superata la tesi tradizionale e tuttora prevalente secondo la quale qualora il
datore attribuisca un account aziendale dicendo chiaramente che quella eÊ solo posta lavorativa,
che non deve essere utilizzata comunicazioni personali, lo stesso abbia il diritto di accedervi.
Contro il diritto di accesso del datore di lavoro si deve rilevare che è ormai consolidato il criterio
di assimilazione della posta elettronica alla posta tradizionale. Ciò è di fondamentale rilievo, poiché
comporta lÊestensione alla corrispondenza on line di tutte le tutele che gli ordinamenti assicurano
4
alla corrispondenza tradizionale 2 . LÊapproccio volto a garantire la segretezza del contenuto della
posta elettronica sembra non venir meno nel caso in cui le comunicazioni sono effettuate
attraverso lÊuso di un indirizzo e di una rete telematica messi a disposizione dallÊazienda.
Secondo infatti il c.d. Gruppo di Lavoro europeo per la protezione dei dati 3 - organismo previsto
dallÊart. 29 della direttiva CE 95/46 - le „comunicazioni elettroniche fatte a partire da locali
commerciali possono rientrare nella nozione di „vita privata‰ e „corrispondenza‰ a termini
dellÊarticolo 8, paragrafo 1 della convenzione europea‰.
Sempre secondo il gruppo di lavoro „lÊubicazione e la proprietà del mezzo elettronico utilizzato
non escludono la segretezza delle comunicazioni e della corrispondenza, quale sancita da principi
giuridici fondamentali e costituzioni.‰ La direttiva citata consente, però, ai datori di lavoro la
possibilità di trattare i dati derivanti dalla corrispondenza dei loro dipendenti purché ci sia alla base
un motivo legittimo 4 e vi sia un consenso 5 (informato ed inequivocabile) dellÊinteressato. Anche in
questo caso non è semplice legittimare, per il datore di lavoro, lÊattività di controllo: sia perché
normalmente il datore di lavoro può acquisire il consenso solo del proprio dipendente e non
dellÊaltra persona titolare della corrispondenza; sia perché il Gruppo ha già espresso il parere 6 che
„laddove un datore di lavoro si trovi nella necessità di trattare dati personali in quanto
conseguenza necessaria ed inevitabile del rapporto di lavoro costituisce comportamento
fuorviante qualsiasi tentativo di legittimare tale trattamento mediante lÊassenso. Il ricorso
allÊassenso va limitato ai casi in cui il dipendente dispone di una scelta veramente libera ed è di
conseguenza in grado di ritirare il proprio assenso senza pregiudizio per i propri interessi".
Al datore di lavoro non si offrirebbero, quindi, altre possibilità se non questa: non avendo alcun
diritto ad intromettersi nella sfera delle relazioni private del lavoratore, potrà solamente
intervenire per regolare (anche in via contrattata e non solo tramite il richiamato disciplinare
interno) lÊutilizzo di tali strumenti al fine di evitare palesi violazioni degli obblighi contrattuali.
Qualora, a livello aziendale, emergessero seri abusi degli strumenti messi a disposizione per finalità
lavorative il datore di lavoro potrà, in questo caso, disporre eventuali controlli ma questi ultimi
potranno essere effettuati solo rispettando un criterio di „gradualità‰: in particolare „in prima
battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da
individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi
l'anomalia, si potrebbe passare a controlli su base individuale‰ (su questo punto vedi infra).
I lavoratori interessati dovranno essere adeguatamente e preventivamente informati (punto 3.3 ed
art. 13 del Codice) circa le modalità e la possibilità di controllo sia per quanto riguarda lÊutilizzo di
internet sia per quanto riguarda la posta elettronica ed in particolare sul trattamento di dati che
possono riguardarli. Le finalità di tali controlli „non potranno che essere connesse a specifiche
esigenze organizzative produttive e di sicurezza ⁄. o riguard(are) lÊesercizio di un diritto in sede
2
Nel nostro ordinamento la parificazione è avvenuta con la L. n. 547/1993, che ha modificato le disposizioni penali relative alla
corrispondenza.
3 Vedi „Documento di Lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro‰
adottato il 29 maggio 2002; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp55_it.pdf
4 art. 7, lettera f) direttiva 95/46/CE.
5 art. 7, lettera a) direttiva 95/46/CE.
6 Parere 8/2001, pagina 23.
5
giudiziaria‰. Ovviamente il presupposto è che si sia nellÊambito di un trattamento lecito dei dati:
cioè di un trattamento „legittimato‰, come richiama il Garante, da un accordo ex art. 4, secondo
comma, L. 300/70.
A nostro avviso, come già richiamato, le rappresentanze sindacali potranno giocare un ruolo
fondamentale in sede dÊaccordo proprio al fine di limitare ad ipotesi di estrema ratio la possibilità
di controlli sui singoli lavoratori nel quadro di „garanzie‰ delineato dal Garante. I controlli
potranno, per esempio, essere effettuati solo alla presenza dei rappresentanti sindacali che
dovranno garantire il rispetto del criterio di gradualità.
Altre misure suggerite dalle linee guida sono la predisposizione, in caso di assenza del lavoratore,
„di messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; la possibilità
per il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a
lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio (in caso di assenza
prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività
lavorativa)‰.
Sono invece radicalmente vietati (come peraltro prevede il primo comma dellÊart. 4 della L. 300)
controlli e trattamenti di dati attraverso sistemi hardware e software specificamente installati per il
controllo a distanza dei lavoratori. Nelle linee guida sono in particolare richiamati (e vietati) a
titolo dÊesempio: „la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero
dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal
lavoratore; la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo
dispositivo; l'analisi occulta di computer portatili affidati in uso‰.
Questi sono i comportamenti e le linee dÊazione suggeriti dal Garante, al fine di pervenire a forme
esplicite e conosciute di regolazione degli accessi a internet e dellÊuso della posta elettronica
nellÊambito dellÊattività lavorativa. Seppur le presenti linee guida non possiedono alcun valore
vincolante o tassativo per i soggetti interessati, sono a nostro avviso interessanti in quanto
declinano operativamente le disposizioni generali contenute nel Codice della Privacy ed
attualizzano i principi del Titolo I dello Statuto dei Lavoratori e degli articoli del Codice Civile
riguardanti i rapporti di lavoro nellÊimpresa.
6