Seminario svoltosi l'11 dicembre 2008 presso La Fondazione La Fornace di Asolo organizzato da Treviso Tecnologia in collaborazione con l'Associazione Culturale per lo Studio del Diritto.
Linee guida del Garante per l'utilizzo sul lavoro della posta elettronica e internet. Avv. Zenarolla
1. Il trattamento dei dati e le misure
minime di sicurezza nelle aziende
Le linee guida del Garante per l'utilizzo sul lavoro
della posta elettronica e di internet.
Dott. Luca Zenarolla
2. Provvedimento a carattere generale 1 marzo 2007
Aumento reclami, segnalazioni quesiti riguardo al
trattamento di dati personali effettuati da datori di
lavoro riguardo all'uso, da parti di dipendenti, di
internet e delle e-mail;
Le richieste di intervento riguardano
provvedimenti disciplinari irrogati dal datore di
lavoro ai dipendenti
Dott. Luca Zenarolla
3. Due recenti esempi di ricorsi al Garante
A) Provvedimento 02/02/2006
Contestazione disciplinare per accessi a internet non
autorizzati effettuati sul posto di lavoro.
B) Provvedimento 18/05/2006
Contestazione disciplinare e successivo
licenziamento del dipendente per utilizzo per fini
personali di strumenti informatici aziendali
Dott. Luca Zenarolla
4. Decisione su ricorso febbraio '06
I fatti:
ricorrente: addetto accettazione in una casa di cura.
navigazione in internet durante orario di lavoro,
pur senza essere autorizzato alla navigazione.
trattamento di dati sensibili senza consenso e
previa informativa.
Dott. Luca Zenarolla
5. Decisione su ricorso febbraio '06
La difesa del datore:
il lavoratore per le sue mansioni non doveva
accedere ad internet
No consenso per per far valere i propri diritti (art.
24 D.Lgs. 196/03).
Dott. Luca Zenarolla
6. Decisione su ricorso febbraio '06
La decisione dell'Authority:
Sistema informatico mal configurato
Mancanza di informativa
Trattamento eccessivo e non indispensabile
Dott. Luca Zenarolla
7. Decisione su ricorso maggio '06
I fatti:
Controlli alla presenza del dipendente e
dell'amministratore del sistema informatico.
Individuazione due cartelle con file musicali e
pornografici.
Trattamento di dati sensibili senza consenso e
previa informativa.
Dott. Luca Zenarolla
8. Decisione su ricorso maggio '06
La difesa del datore:
Linee guida aziendali e divieto utilizzazione
strumenti aziendali per fini personali
Modalità di controllo in linea con i principi di
correttezza.
Dott. Luca Zenarolla
9. Decisione su ricorso maggio '06
La decisione dell'Authority:
Mancanza informativa: linee guida vietano uso
personale, ma non informano dei controlli.
Trattamento eccessivo e non indispensabile.
Dott. Luca Zenarolla
10. Due recenti esempi di ricorsi al Garante
In entrambi i casi il Garante riconosce la fondatezza
nel merito dei provvedimenti del datore
MA
I ricorsi vengono accolti dall'Authority
Dott. Luca Zenarolla
11. Due recenti esempi di ricorso al Garante
Conseguenze dell'accoglimento:
Blocco del trattamento dei dati da parte del datore
•
Condanna del datore al pagamento delle spese e
•
dei diritti del procedimento a favore del dipendente
Dott. Luca Zenarolla
12. Come evitare il ripetersi di questi
paradossi?
Applicare in azienda le Linee Guida del Garante
•
per posta elettronica e internet.
Dott. Luca Zenarolla
13. Linee guida per internet e la posta elettronica
Obblighi del datore di lavoro:
Adottare idonee misure di sicurezza (disponibilità
e integrità sistema informativi)
Garantire il corretto impiego delle risorse
Bilanciare le misure con i diritti dei lavoratori
Dott. Luca Zenarolla
14. Linee guida per internet e la posta elettronica
Utilizzo della posta elettronica e della rete Internet:
Misure necessarie
Misure opportune
Dott. Luca Zenarolla
15. Linee guida per internet e la posta elettronica
Le attività di controllo sono “trattamenti di dati
personali”. Principi applicabili:
Principio di necessità (art. 3 D.Lgs. 196/03):
minimo utilizzo di dati personali
Dott. Luca Zenarolla
16. Linee guida per internet e la posta elettronica
Principio di correttezza (art. 11, c. 1, lett. a D.Lgs.
196/03)
Gli STRUMENTI ELETTRONICI consentono
trattamenti “ulteriori” e “occulti”; informare i
lavoratori delle caratteristiche essenziali dei
trattamenti
Dott. Luca Zenarolla
17. Linee guida per internet e la posta elettronica
Modalità dei controlli (art. 11, c. 1, lett. b D.Lgs.
196/03):
finalità esplicite e determinate;
pertinenza e non eccedenza
minor invasività possibile
Dott. Luca Zenarolla
18. Presupposti dei controlli
Obbligo di indicare l'USO CORRETTO degli
strumenti
Principio di TRASPARENZA: no controlli
occulti!
Dott. Luca Zenarolla
19. Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Onere di indicare al lavoratore il corretto utilizzo
degli strumenti
Comportamenti vietati
Informazioni eventualmente registrate
Controlli effettuati
Dott. Luca Zenarolla
20. Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Regole per quot;navigazionequot; in Internet (ad es., il download di
software o di file musicali), e per la tenuta di file nella rete
interna;
Regole per utilizzo per ragioni personali servizi di posta
elettronica o di rete, (ad es., fuori dall'orario di lavoro o
durante le pause, solo da det. postazioni);
Dott. Luca Zenarolla
21. Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Indicare le informazioni memorizzate temporaneamente (ad
es., le componenti di file di log eventualmente registrati) e chi
(anche all'esterno) vi può accedere legittimamente;
Indicare se e quali informazioni sono conservate per un
periodo più lungo, in forma centralizzata o meno (anche per
effetto di copie di back up, della gestione tecnica della rete o
di file di log )
Dott. Luca Zenarolla
22. Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Indicare la possibilità di effettuare controlli in conformità alla
legge, anche saltuari o occasionali, indicando le ragioni
legittime – specifiche e non generiche – e le relative modalità;
Indicare le conseguenze, anche di tipo disciplinare, che il
datore di lavoro si riserva di trarre qualora constati utilizzi
indebiti;
Dott. Luca Zenarolla
23. Presupposti dei controlli
Il Disciplinare interno (misura obbligatoria)
Indicare le soluzioni prefigurate per garantire la continuità
dell'attività lavorativa in caso di assenza del lavoratore stesso ,
con particolare riferimento all'attivazione di sistemi di risposta
automatica ai messaggi di posta elettronica ricevuti;
Indicare le prescrizioni interne sulla sicurezza dei dati e dei
sistemi (art. 34 del Codice, nonché Allegato B), in particolare
regole 4, 9, 10 ).
Dott. Luca Zenarolla
24. “Prima” dei controlli
Controlli successivi: “ESTREMA RATIO”
Valutare l'impatto sui diritti dei lavoratori
Individuare preventivamente chi utilizza internet ed e-mail
Dott. Luca Zenarolla
25. Misure per minimizzare i controlli
1) NAVIGAZIONE SU INTERNET
individuazione di categorie di siti “lavorativi”;
configurazione di sistemi e di filtri che prevengano
determinate operazioni “vietate” quali l'upload o l'accesso a
determinati siti e/o il download di file o software aventi
particolari caratteristiche (dimensionali o di tipologia di dato)
Dott. Luca Zenarolla
26. Misure per minimizzare i controlli
trattamento di dati in forma anonima o aggregata(ad es., con
riguardo ai file di log riferiti al traffico web, su base collettiva
o per gruppi di lavoratori);
conservazione nel tempo dei dati strettamente limitata al
perseguimento di finalità organizzative, produttive e di
sicurezza.
Dott. Luca Zenarolla
27. Misure per minimizzare i controlli
2) UTILIZZO E-MAIL
Tutela della corrispondenza;
Indirizzi di posta elettronica condivisi tra più lavoratori
(ufficiovendite@ente.it) eventualmente affiancandoli a quelli
individuali (m.rossi@ente.it);
possibilità di attribuire al lavoratore un diverso indirizzo
destinato ad uso privato;
Dott. Luca Zenarolla
28. Misure per minimizzare i controlli
Procedure per la gestione delle assenze (ad es., per ferie o
attività di lavoro fuori sede): messaggi di avviso;
Assenza improvvisa o prolungata: per improrogabili necessità
legate all'attività lavorativa, delega di un altro lavoratore
(fiduciario) per verificare il contenuto di messaggi e a inoltrare
al titolare del trattamento quelli ritenuti rilevanti per lo
svolgimento dell'attività lavorativa (verbale);
Inserimento avvertimento ai destinatari della natura non
personale dei messaggi stessi, precisando se le risposte
potranno essere conosciute nell'organizzazione di
appartenenza del mittente.
Dott. Luca Zenarolla
29. I CONTROLLI VIETATI
I controlli vietati (misura obbligatoria)
lettura e registrazione sistematica delle e-mail;
memorizzazione sistematica dei siti web
visualizzati dal lavoratore;
registrazione dei caratteri digitati su tastiera
analisi occulta di computer portatili affidati in uso.
Dott. Luca Zenarolla
30. La giurisprudenza...
Corte di Cassazione - Sezione Quinta Penale, Sentenza 19 dicembre
2007, n.47096: Violazione corrispondenza informatica del
lavoratore - Utilizzo password riservata - Informativa privacy
Cass. Sezione Lavoro 13/09/06, n. 19554:
Licenziamento per giusta causa del dipendente che comunica a terzi
le credenziali di autenticazione
Tribunale Perugia, 20/02/06:
La verifica effettuata dal datore sul Pc del dipendente per verificarne
l'eventuale abuso è un lecito controllo di tipo difensivo
Dott. Luca Zenarolla