Garante privacy: dalle linee guida limiti ai controlli del datore di lavoro

0
84

Le linee guida del Garante privacy sull’utilizzo della posta elettronica e di internet contengono prescrizioni dettagliate sulla “cattura” di tutte le comunicazioni in entrata e in uscita che riguardino il lavoratore, con particolare riferimento ai messaggi di posta elettronica e al traffico web. L’art.5 delle linee guida è, invece, dedicato ai programmi che consentono controlli “indiretti”, ossia il controllo preterintenzionale. Infine, in ossequio al principio di trasparenza, un vero e proprio caposaldo in materia di trattamento dei dati personali è la previsione di procedure di informazione con l’adozione di un disciplinare interno.

Accanto a dichiarazioni ampie che stabiliscono, genericamente, l’applicabilità dei principi della legge sulla privacy anche all’ambito lavoristico, nelle linee guida del Garante sono contenuti anche alcuni punti specifici molto interessanti legati all’utilizzo di sofisticati sistemi elettronici per controllare il datore di lavoro.

Controlli diretti
Le prescrizioni dettagliate contenute nel documento citato comprendono molti ambiti.
Uno di particolare interesse, ad esempio, riguarda il divieto di trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire – a volte anche minuziosamente – l’attività di lavoratori.

Il Garante si riferisce, in questo caso a quattro “interventi tecnologici” del lavoratore ben precisi:

1) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
2) la riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
3) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
4) l’analisi occulta di computer portatili affidati in uso.

Il primo punto riguarda la cosiddetta “cattura a strascico” di tutte le comunicazioni in entrata e in uscita che riguardino il lavoratore, con particolare riferimento ai messaggi di posta elettronica sia nei loro contenuti sia nei loro dati esterni (mittente, destinatario, data); se tale “cattura” del traffico è effettuata al di là delle mere esigenze tecniche che la gestione di un sistema/server di posta elettronica richiede, si è in ambito di trattamento illecito dei dati.

Il secondo esempio concerne la cattura del traffico web, ossia il tenere traccia non solo dei siti web cui il lavoratore si collega in orario lavorativo ma, anche, di una copia stessa delle pagine.

Il terzo caso coinvolge ogni attività effettuata dai cosiddetti keyloggers, ossia programmi che surrettiziamente registrano ogni pressione della tastiera e la spediscono a un destinatario ben preciso (in questo caso: il datore di lavoro). In sintesi, il keylogging permette non solo di carpire password e codici ma anche di “registrare”, ad esempio, intere conversazioni in chat.

Il quarto punto riguarda infine l’inserimento di “microspie” all’interno dei computer portatili affidati in uso al dipendente, microspie che consentano un controllo occulto di tutte le attività, di ogni tipo.

Controlli “indiretti”
L’art.5 delle Linee Guida è invece dedicato ai programmi che consentono controlli “indiretti”, ossia il c.d. controllo preterintenzionale. Anche tale tipologia di controllo determina un trattamento dei dati personali riferiti o riferibili ai lavoratori ed è lecito soltanto se legittimamente attuato ai sensi dello Statuto dei lavoratori.

Su questo punto il Garante è molto chiaro, stabilendo che il trattamento di dati che consegue a un simile approccio tecnologico può risultare lecito, ma rimane comunque ferma la necessità di rispettare le procedure di informazione e di consultazione di lavoratori e sindacati in relazione all’introduzione o alla modifica di sistemi automatizzati per la raccolta e l’utilizzazione dei dati, nonché in caso di introduzione o di modificazione di procedimenti tecnici destinati a controllare i movimenti o la produttività dei lavoratori. Un ulteriore divieto stabilito dalle Linee Guida coinvolge quei datori di lavoro privati e pubblici che cercano di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori, un aspetto che il Garante ritiene particolarmente pericoloso e delicato.

Informazione e disciplinare interno
Infine, un aspetto di fondamentale importanza nelle previsioni contenute nelle Linee Guida, in ossequio al principio di trasparenza, un vero e proprio caposaldo in materia di trattamento dei dati personali, è la previsione di procedure di informazione, per cui il datore di lavoro deve specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli.

Il Garante consiglia l’adozione di un disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro) e da sottoporre ad aggiornamento periodico.

Anche in questo caso, il Garante si premura di fornire dettagliate esemplificazioni di cosa andrebbe specificato nel disciplinare, e in particolare sarebbe opportuno indicare:

– se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
– in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
– quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
– se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
– se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
– quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
– le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
– se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell’interessato;
– quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
– le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art.34 del Codice, nonché Allegato B), in particolare le regole 4, 9, 10).

Fonte: Ipsoa.it

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here