Utilizzo di posta elettronica e internet al lavoro: ecco le istruzioni per
Transcript
Utilizzo di posta elettronica e internet al lavoro: ecco le istruzioni per
24-09-2007 Utilizzo di posta elettronica e internet al lavoro: ecco le istruzioni per lÊuso del Garante della privacy a cura di IGOR GIUSSANI e TOMMASO PIZZO * pubblicato anche sul numero 39 della rivista Note Informative Sommario Il Garante per la protezione dei dati personali, in ottemperanza di quanto previsto allÊart. 24 del D. Lgs. 196/2003 (codice della privacy) e dei poteri ad esso riservati dallÊart 154, comma 1 lettere b) e c), detta delle linee guida circa lÊutilizzo della posta elettronica e della rete Internet nel rapporto di lavoro con Delibera n. 13 del 1° Marzo 2007. Premessa Il Garante per la protezione dei dati personali ha voluto fornire dei chiarimenti alle parti coinvolte in un qualsiasi rapporto di lavoro riguardo alle implicazioni e ai rischi di lesione dei rispettivi diritti e interessi a cui può dare luogo lÊutilizzo in ambito lavorativo degli strumenti informatici: in particolare la navigazione su Internet da parte dei dipendenti e lÊutilizzo della posta elettronica come mezzo per la corrispondenza di vario contenuto, anche extralavorativo. Si tratta comunque di previsioni e indicazioni aventi semplice carattere esplicativo, riguardo a come applicare correttamente, nelle situazioni e casi in esame, un corpus di norme già esistente, comprendente sia disposizioni a tutela del diritto alla riservatezza e dei dati e informazioni di carattere personale dei lavoratori, sia principi che legittimano – entro determinati limiti – i datori di lavoro a condurre azioni di verifica, monitoraggio e controllo delle attività lavorative che si svolgono nella sfera di gestione della loro attività imprenditoriale. EÊ in questÊambito che si riconoscono alla parte datoriale un evidente interesse alla supervisione e gestione attenta dei processi e delle azioni che si compiono e, nello stesso tempo, le responsabilità nei confronti dei propri sottoposti e di soggetti terzi che instaurano relazioni di vario tipo con quella attività economica. Posti questi elementi di complessità del tema, la valutazione dei singoli casi dovrà tener conto dei reciproci e legittimi interessi in una discreta misura confliggenti, tentandone una composizione, laddove possibile. Un simile contemperamento non può che presentare rilevanti aspetti di problematicità e incertezza: il rischio, infatti, di dover intervenire in situazioni ambigue, in zone grigie dellÊorganizzazione del lavoro e dellÊimpianto regolativo ad essa applicabile, è molto alto. Ecco dunque che le presenti linee guida costituiscono un sforzo, da parte del Garante della Privacy, di fare luce su alcuni dei nodi critici che possono emergere nellÊambito dello svolgimento di attività di lavoro che richiedono un uso rilevante e continuo del computer e che tendono a sfruttarne anche le opportunità comunicative e di relazione con lÊesterno: ma su alcuni soltanto dei nodi che il tema pone, e in modo non vincolante né definitivo. 1 Il documento del Garante non ha, infatti, alcuna ambizione di fornire indicazioni univoche e sempre valide sul modo in cui gestire (sul piano regolativo, ma anche della qualità delle relazioni di lavoro e sindacali) la co-esistenza tra esercizio del potere direttivo e preservazione della sfera individuale del lavoratore. Proviamo, dunque, a ricostruire sinteticamente i principi (in alcuni casi solo gli indirizzi) che disciplinano il rapporto tra controllo dei lavoratori e privacy e suggeriscono il punto dÊequilibrio tra le due istanze, per come sono rintracciabili in norme già esistenti e ripresi dalle linee guida del Garante. Privacy e controllo a distanza LÊintento del Garante, con le sue linee guida, è quello di „prescrivere ai datori di lavoro ⁄ alcune misure per conformare alle disposizioni vigenti il trattamento dei dati personali effettuato per verificare il corretto utilizzo, nel rapporto di lavoro, della posta elettronica e della rete internet‰. La materia, come detto, è assai delicata in quanto si tratta di contemperare il diritto dei lavoratori di veder „assicurata una ragionevole protezione della sfera di riservatezza nelle relazioni personali e professionali‰ ed il diritto del datore di lavoro di verificare il corretto utilizzo degli strumenti messi a disposizione per lÊattività lavorativa. Il Garante è ben conscio che, nellÊutilizzo di questi strumenti elettronici, i datori di lavoro potrebbero astrattamente „trattare‰ o venire a conoscenza di informazioni inerenti allÊattività lavorativa ma anche inerenti alla sfera personale e alla vita privata di lavoratori e di terzi (punto 1.2); proprio per ridurre gli effetti indesiderati di questo controllo „preterintenzionale‰ ritiene di fissare alcune linee guida nel rispetto, ovviamente, del c.d. Codice della Privacy e delle disposizioni specifiche di settore. Muovendo da tali premesse lÊautorità garante si premura di richiamare gli specifici divieti e limiti posti dalla disciplina di settore (punto 2.2 e punto 5.1): e cioè lÊart. 4 (impianti audiovisivi) e lÊart. 8 (divieto di indagini sulle opinioni) della L. 300/70 (informazioni circa lÊattività lavorativa). Il rapporto tra la normativa della privacy e le norme dello Statuto dei Lavoratori, ad avviso di chi scrive, deve necessariamente conformarsi alla seguente logica: il datore di lavoro dovrà rispettare in primis quanto sancito dagli artt. 4 e 8 dello Statuto dei Lavoratori e solo successivamente uniformarsi agli adempimenti procedurali ed ai principi di cui al D. Lgs. 196/2003 nella raccolta e nel trattamento dei dati: ricordiamo ad esempio i principi di liceità e correttezza, finalità, necessità e trasparenza di cui allÊart. 11 D. Lgs. 196/03 1 . Come si è sostenuto (vedi nota 1), lÊutilizzo del computer ed in particolare dei servizi di posta elettronica ed internet dovrebbe essere preceduto dallÊaccordo ex art. 4 L. 300/70. Tali strumenti vanno, infatti, ricompresi tra quegli „impianti e apparecchiature ⁄. richiesti da esigenze organizzative e produttive ⁄ ma dai quali derivi anche la possibilità di controllo a distanza dellÊattività dei lavoratori‰. Nella delibera dellÊautorità garante viene sottolineato come lÊaccordo con le rappresentanze sindacali sia lo strumento più idoneo ad assicurare lÊequilibrio ed il contemperamento delle diverse sfere di interesse (punto 7.1). 1 Per una puntuale disamina dellÊargomento vedi „Controllo dei lavoratori e protezione dei dati personali‰ di Gianni Sozzi, Giovanni Marcucci e Silvia Gariboldi, Note Informative n. 36, Agosto 2006. 2 LÊaccordo, che si pone come un indispensabile strumento di regolazione preventiva riguardo alle modalità consentite e ai limiti nellÊutilizzo generale del computer, dovrà prendere in considerazione le linee guida dettate dal garante al fine di tutelare ancor di più i lavoratori da indebite ingerenze della sfera privata e lavorativa. Le linee guida del garante Il garante suggerisce ai datori di lavoro lÊadozione e la pubblicizzazione di un „disciplinare interno‰ (punto 3.2), ossia di un regolamento, che prescriva le modalità di utilizzo di internet e della posta elettronica. La ratio di tale previsione è abbastanza chiara: nel rispetto del principio di trasparenza del Codice della Privacy, rendere unÊadeguata informazione sulle concrete modalità di utilizzo degli strumenti elettronici è fondamentale per prevenire il rischio che, a seguito di un legittimo controllo, il datore di lavora possa entrare in possesso di notizie e dati inerenti la sfera privata del lavoratore. La disposizione si pone pertanto in una logica preventiva; tale logica sottende gran parte delle linee guida, al punto che possiamo ritenerla come un vero e proprio principio ispiratore della delibera in commento. Se vogliamo, tale logica non è altro che la declinazione pratica di quei principi di liceità, correttezza, finalità, necessità e trasparenza di cui allÊart. 11 del Codice della Privacy, ai quali si può tener fede solo adottando „accorgimenti‰ la cui intrusività sia ridotta al minimo. Il disciplinare dovrà essere redatto in modo chiaro e senza formule generiche e portato a conoscenza dei lavoratori tramite informativa, utilizzando la rete interna o mediante affissione sui luoghi di lavoro con modalità analoghe a quelle previste dallÊart. 7 della L. 300/70. Lo stesso dovrà essere sottoposto ad aggiornamento periodico. Il regolamento interno dovrà specificare (tra le altre cose che vedremo in seguito) quali conseguenze, anche di tipo disciplinare, il datore di lavoro intenderà intraprendere in caso di utilizzo indebito della posta elettronica e di internet. Sul punto riteniamo opportuno fare unÊosservazione: a nostro avviso nella irrogazione delle eventuali sanzioni disciplinari il datore potrà fare esclusivo riferimento alle disposizioni del contratto collettivo applicato ed utilizzare, nel caso, la sanzione prevista per unÊanaloga violazione degli obblighi contrattuali. La delibera prescrive ai datori di lavoro lÊadozione di misure di tipo organizzativo e tecnologico (punto 5.2): in particolare, gli stessi, dovranno „promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri, da preferire rispetto allÊadozione di misure repressive,‰ degli strumenti informatici (ecco ancora la logica preventiva). Da un punto di vista organizzativo si dovrà procedere, prima dellÊistallazione di apparecchiature suscettibili di consentire il controllo a distanza dei lavoratori, ad unÊattenta valutazione dellÊimpatto sui diritti dei lavoratori: ecco un altro elemento che le rappresentanze sindacali dovranno presidiare in sede di accordo ex art. 4 L. 300/70. I datori di lavoro dovranno fin dallÊinizio individuare (anche per tipologie) i lavoratori ai quali è accordato lÊutilizzo di internet e della posta elettronica e determinare lÊubicazione delle postazioni da cui è possibile lÊutilizzo dei servizi di rete per ridurre il rischio di un impiego abusivo (sempre in una logica preventiva). 3 Tra le misure di tipo tecnologico rispetto allÊutilizzo di internet il datore di lavoro dovrà (o meglio potrà) individuare categorie di siti correlati o non correlati allÊattività lavorativa: in altre parole potrà stilare una black list o una lista di siti di libera consultazione. Al di là di alcune perplessità sulla fattibilità di tale operazione, riteniamo - senza addentraci in questa discussione - che limitare lÊutilizzo di internet (importante fonte di reperimento di informazioni per quelle imprese dinamiche in cui la conoscenza rappresenta il vantaggio competitivo), così come le opportunità di comunicazione per le imprese a rete, potrebbe rappresentare un handicap piuttosto che un vantaggio. Anche su questo punto le parti di un sistema di relazioni industriali maturo in sede di contrattazione di secondo livello o di accordo ex art. 4 L. 300/70 dovrebbero saper efficacemente coniugare esigenze di protezione dei lavoratori ma anche „promuovere‰ lÊutilizzo di detti strumenti, al fine di favorire al contempo la crescita dei lavoratori e lo sviluppo della competitività delle imprese. Qualsiasi intervento di regolazione di aspetti e condizioni del lavoro che toccano trasversalmente sia status giuridici, sia strategie organizzative (dei fattori produttivi, dei processi), sia leve motivazionali (del personale, riguardo al modo in cui vivono e interpretano il proprio ruolo) può avere dei potenti effetti sugli equilibri allÊinterno di un contesto lavorativo. EÊ ragionevole immaginare che un atto che fissi formalmente limiti e concessioni allÊutilizzo del computer e di internet anche per finalità non lavorative possa essere recepito come vantaggioso da entrambe le parti solo se è il risultato di unÊazione negoziata e se si innesta in una logica di scambio tra fiducia accordata ai lavoratori e lÊassunzione da parte loro di più ampi margini di discrezionalità: nellÊorganizzarsi i tempi di lavoro e nello scegliere e definire i termini del proprio contributo, valutando le proprie scelte in funzione dei risultati. Altra misura di tipo tecnologico è lÊattenta configurazione dei sistemi informatici o lÊutilizzo di appositi filtri che prevengano determinate operazioni quali ad esempio il download di file musicali o multimediali etc., palesemente estranei allÊattività lavorativa. Questo anche in considerazione del fatto che alcune di queste operazioni potrebbero danneggiare le apparecchiature informatiche di proprietà del datore di lavoro. Tra le misure previste per lÊutilizzo della posta elettronica, il Garante suggerisce la predisposizione di indirizzi condivisi tra più lavoratori (es: info@ente, serizioclienti@ente) eventualmente affiancandoli a quelli individuali. Il garante non esclude nemmeno lÊeventuale attribuzione al lavoratore di un diverso indirizzo destinato ad uso privato. Essendo impossibile fare una compiuta digressione sul tema della riservatezza della corrispondenza ci limitiamo a segnalare che, se da un lato vi è il diritto del datore di lavoro ad evitare un improprio utilizzo della posta elettronica, dallÊaltro non è concepibile immaginare che, nel luogo e durante lÊorario di lavoro, gli individui si astengano dallÊesprimere in svariate forme la propria personalità. Laddove si manifestano i propri interessi e orientamenti, questi non possono essere oggetto di abuso o di indebito trattamento. In particolare, preme sottolineare che chi scrive non condivide e ritiene superata la tesi tradizionale e tuttora prevalente secondo la quale qualora il datore attribuisca un account aziendale dicendo chiaramente che quella eÊ solo posta lavorativa, che non deve essere utilizzata comunicazioni personali, lo stesso abbia il diritto di accedervi. Contro il diritto di accesso del datore di lavoro si deve rilevare che è ormai consolidato il criterio di assimilazione della posta elettronica alla posta tradizionale. Ciò è di fondamentale rilievo, poiché comporta lÊestensione alla corrispondenza on line di tutte le tutele che gli ordinamenti assicurano 4 alla corrispondenza tradizionale 2 . LÊapproccio volto a garantire la segretezza del contenuto della posta elettronica sembra non venir meno nel caso in cui le comunicazioni sono effettuate attraverso lÊuso di un indirizzo e di una rete telematica messi a disposizione dallÊazienda. Secondo infatti il c.d. Gruppo di Lavoro europeo per la protezione dei dati 3 - organismo previsto dallÊart. 29 della direttiva CE 95/46 - le „comunicazioni elettroniche fatte a partire da locali commerciali possono rientrare nella nozione di „vita privata‰ e „corrispondenza‰ a termini dellÊarticolo 8, paragrafo 1 della convenzione europea‰. Sempre secondo il gruppo di lavoro „lÊubicazione e la proprietà del mezzo elettronico utilizzato non escludono la segretezza delle comunicazioni e della corrispondenza, quale sancita da principi giuridici fondamentali e costituzioni.‰ La direttiva citata consente, però, ai datori di lavoro la possibilità di trattare i dati derivanti dalla corrispondenza dei loro dipendenti purché ci sia alla base un motivo legittimo 4 e vi sia un consenso 5 (informato ed inequivocabile) dellÊinteressato. Anche in questo caso non è semplice legittimare, per il datore di lavoro, lÊattività di controllo: sia perché normalmente il datore di lavoro può acquisire il consenso solo del proprio dipendente e non dellÊaltra persona titolare della corrispondenza; sia perché il Gruppo ha già espresso il parere 6 che „laddove un datore di lavoro si trovi nella necessità di trattare dati personali in quanto conseguenza necessaria ed inevitabile del rapporto di lavoro costituisce comportamento fuorviante qualsiasi tentativo di legittimare tale trattamento mediante lÊassenso. Il ricorso allÊassenso va limitato ai casi in cui il dipendente dispone di una scelta veramente libera ed è di conseguenza in grado di ritirare il proprio assenso senza pregiudizio per i propri interessi". Al datore di lavoro non si offrirebbero, quindi, altre possibilità se non questa: non avendo alcun diritto ad intromettersi nella sfera delle relazioni private del lavoratore, potrà solamente intervenire per regolare (anche in via contrattata e non solo tramite il richiamato disciplinare interno) lÊutilizzo di tali strumenti al fine di evitare palesi violazioni degli obblighi contrattuali. Qualora, a livello aziendale, emergessero seri abusi degli strumenti messi a disposizione per finalità lavorative il datore di lavoro potrà, in questo caso, disporre eventuali controlli ma questi ultimi potranno essere effettuati solo rispettando un criterio di „gradualità‰: in particolare „in prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale‰ (su questo punto vedi infra). I lavoratori interessati dovranno essere adeguatamente e preventivamente informati (punto 3.3 ed art. 13 del Codice) circa le modalità e la possibilità di controllo sia per quanto riguarda lÊutilizzo di internet sia per quanto riguarda la posta elettronica ed in particolare sul trattamento di dati che possono riguardarli. Le finalità di tali controlli „non potranno che essere connesse a specifiche esigenze organizzative produttive e di sicurezza ⁄. o riguard(are) lÊesercizio di un diritto in sede 2 Nel nostro ordinamento la parificazione è avvenuta con la L. n. 547/1993, che ha modificato le disposizioni penali relative alla corrispondenza. 3 Vedi „Documento di Lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro‰ adottato il 29 maggio 2002; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp55_it.pdf 4 art. 7, lettera f) direttiva 95/46/CE. 5 art. 7, lettera a) direttiva 95/46/CE. 6 Parere 8/2001, pagina 23. 5 giudiziaria‰. Ovviamente il presupposto è che si sia nellÊambito di un trattamento lecito dei dati: cioè di un trattamento „legittimato‰, come richiama il Garante, da un accordo ex art. 4, secondo comma, L. 300/70. A nostro avviso, come già richiamato, le rappresentanze sindacali potranno giocare un ruolo fondamentale in sede dÊaccordo proprio al fine di limitare ad ipotesi di estrema ratio la possibilità di controlli sui singoli lavoratori nel quadro di „garanzie‰ delineato dal Garante. I controlli potranno, per esempio, essere effettuati solo alla presenza dei rappresentanti sindacali che dovranno garantire il rispetto del criterio di gradualità. Altre misure suggerite dalle linee guida sono la predisposizione, in caso di assenza del lavoratore, „di messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; la possibilità per il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio (in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa)‰. Sono invece radicalmente vietati (come peraltro prevede il primo comma dellÊart. 4 della L. 300) controlli e trattamenti di dati attraverso sistemi hardware e software specificamente installati per il controllo a distanza dei lavoratori. Nelle linee guida sono in particolare richiamati (e vietati) a titolo dÊesempio: „la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail; la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore; la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo; l'analisi occulta di computer portatili affidati in uso‰. Questi sono i comportamenti e le linee dÊazione suggeriti dal Garante, al fine di pervenire a forme esplicite e conosciute di regolazione degli accessi a internet e dellÊuso della posta elettronica nellÊambito dellÊattività lavorativa. Seppur le presenti linee guida non possiedono alcun valore vincolante o tassativo per i soggetti interessati, sono a nostro avviso interessanti in quanto declinano operativamente le disposizioni generali contenute nel Codice della Privacy ed attualizzano i principi del Titolo I dello Statuto dei Lavoratori e degli articoli del Codice Civile riguardanti i rapporti di lavoro nellÊimpresa. 6