L’unica disciplina in materia era contenuta nello Statuto dei Lavoratori^[1] che, fino alla recente modifica introdotta in materia di controlli a distanza da parte del decreto legislativo n. 151/2015, sanciva il divieto dell’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. La staticità della norma, unitamente allo sviluppo delle nuove tecnologie ed al loro massivo utilizzo all’interno dei rapporti di lavoro^[2], ha portato nel tempo la giurisprudenza, anche comunitaria, ed il Garante per la Privacy a dettare delle regole e dei principi in tale ambito, e da ultimo, il legislatore a recepire tali indirizzi modificando la struttura e l’impostazione dell’art. 4 dello Statuto dei Lavoratori.

Linee guida del Garante per la Privacy per posta elettronica ed internet

Il Garante, nell’impartire ai datori di lavoro alcune prescrizioni con le “Linee guida per posta elettronica ed internet” del 2007, nel rispetto del diritto alla protezione dei dati personali e del principio di correttezza nel trattamento degli stessi ex artt. 11 del D. Lgs n. 196/2003 (Codice della Privacy), poneva l’accento sull’onere di informazione a carico del datore di lavoro al fine di indirizzare i propri dipendenti verso un corretto utilizzo degli strumenti di lavoro. Dunque, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa e il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, il datore di lavoro ha l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo ritenute corrette degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli, anche su base individuale. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.

Politcy interna

In questo quadro, per il Garante risulta opportuno adottare una policy interna, redatta in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro) e da sottoporre ad aggiornamento periodico. L’assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.

Secondo le linee guida, a seconda dei casi, potrebbe ad esempio essere specificato nella policy interna:

• quali comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
• in quale misura è consentito utilizzare, anche per ragioni personali, servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle, oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nell’orario di lavoro);
• quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
• se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up);
• se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime – specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
• quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
• le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
• le prescrizioni interne sulla sicurezza dei dati e dei sistemi.

Misure di tipo organizzativo e tecnologico

In applicazione del principio di necessità (art. 3 Codice della Privacy) il datore di lavoro è chiamato a promuovere ogni opportuna misura, organizzativa e tecnologica, volta a prevenire il rischio di utilizzi impropri (da preferire rispetto all’adozione di misure “repressive”) e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori.

Precisamente, il Garante indica quali misure di tipo organizzativo:

• un’attenta valutazione dell’impatto sui diritti dei lavoratori;
• preventiva individuazione (anche per tipologie) dei lavoratori ai quali è accordato l’utilizzo della posta elettronica e dell’accesso a Internet;
• individuazione della ubicazione riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi

Relativamente alle misure di tipo tecnologico indica:

1. rispetto alla “navigazione” in Internet:

• l’individuazione di categorie di siti considerati correlati o non correlati con la prestazione lavorativa;
• la configurazione di sistemi o l’utilizzo di filtri che prevengano determinate operazioni;
• il trattamento di dati in forma anonima o tale da precludere l’immediata identificazione degli utenti mediante opportune aggregazioni;
• l’eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza;
• la graduazione dei controlli, ossia deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all’intera struttura lavorativa o a sue aree, dunque, un controllo anonimo che può essere effettuato su base individuale soltanto se persiste l’utilizzo anomalo degli strumenti rilevato;

1. rispetto all’utilizzo della posta elettronica:

• la messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali;
• l’eventuale attribuzione al lavoratore di un diverso indirizzo destinato ad uso privato;
• la messa a disposizione di ciascun lavoratore, con modalità di agevole esecuzione, di apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di altro soggetto o altre utili modalità di contatto dell’istituzione presso la quale opera il lavoratore assente;
• consentire che, qualora si debba conoscere il contenuto dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività lavorativa, l’interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile;
• l’inserzione nei messaggi di un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale del messaggio e sia specificato se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente;
• la graduazione dei controlli, come indicato per le misure di tipo organizzativo.

E-mail aziendale dopo la cessazione del rapporto di lavoro

Proprio con riferimento al trattamento di dati effettuato sulla posta elettronica in assenza di una specifica e chiara policy interna, il Garante ha affermato che, dopo la cessazione del rapporto di lavoro, gli account riferiti a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento. Non risulta, pertanto, conforme ai principi di riservatezza, il “reindirizzare” automaticamente i messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.

Si avrà, dunque, il contemperamento dell’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori, nonché dei terzi, soltanto se vi sia la effettiva disattivazione degli account di posta elettronica.

Cordiali saluti.

Luigi Birtolo

[1]                                Legge n. 300/1970 , art. 4 “Impianti audiovisivi”.

[2]                                Oltre ai PC, si pensi ai tablet o smartphone concessi come beni aziendali, su cui possono essere installate applicazioni, o agli strumenti di rilevazioni GPS su veicoli aziendali.

The post Linee Guida Garante per la Privacy Posta Elettronica e Internet first appeared on Birtolo & Partners.