Privacy nei luoghi di lavoro: l’uso di email e internet

Il 1° marzo 2007, il Garante Privacy interviene con la prescrizione di un nuovo adempimento  obbligatorio (ex Art. 154, comma 1, lettera c Dlgs 196/2003) rivolto a tutti i datori di lavoro i cui  dipendenti hanno accesso a internet e posta elettronica: il Disciplinare sull’uso di internet e  posta elettronica.

 

QUAL E’ IL PROBLEMA?

Da una parte il Datore di lavoro che deve:

  • assicurare la funzionalità e il corretto impiego di Internet e Email da parte dei lavoratori, definendone le modalità d’uso nell’organizzazione dell’attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali;
  • adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 ss., 167 e 169 del Codice Privacy);

Dall’altra il Lavoratore:

  • L’utilizzo di Internet da parte dei lavoratori può infatti formare oggetto di analisi, profilazione e integrale ricostruzione mediante elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle informazioni
  • I servizi di posta elettronica sono parimenti suscettibili (anche attraverso la tenuta di log file di traffico e-mail e l’archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza.
Le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi, identificati o identificabili.

In mezzo: l’Art. 4 Statuto dei Lavoratori:

Nell’esercizio dei controlli diretti legittimi (per l’adempimento della prestazione lavorativa e del corretto utilizzo degli strumenti di lavoro) il Datore di lavoro deve rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (art. 4, primo comma, L.300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica.

 

I CONTROLLI A DISTANZA INDIRETTI

Il Datore di lavoro, per esigenze produttive o organizzative (ad es., per rilevare anomalie o per manutenzioni) o, comunque, quando gli stessi si rivelano necessari per la sicurezza sul lavoro, può avvalersi legittimamente, nel rispetto dello Statuto dei lavoratori (art. 4, comma 2), di sistemi che consentono indirettamente un controllo a distanza (c.d. controllo preterintenzionale) e determinano un trattamento di dati personali riferiti o riferibili ai lavoratori.

Tali controlli preterintenzionali devono, comunque, rispettare rigorose procedure di:

  • informazione e
  • consultazione di lavoratori e sindacati…

… in relazione all’introduzione o alla modifica di sistemi automatizzati per la raccolta e l’utilizzazione dei dati nonché in caso di introduzione o di modificazione di procedimenti tecnici destinati a controllare i movimenti o la produttività dei lavoratori.

 

OBBLIGHI DI INFORMAZIONE

I datori di lavoro, pertanto, devono informare con chiarezza e in modo dettagliato i lavoratori:

  • sulle modalità di utilizzo di Internet e della posta elettronica e
  • sulla possibilità che vengano effettuati controlli.

 

DIVIETI

E’ fatto divieto,  in quanto realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori:

  • di leggere e registrare sistematicamente le e-mail
  • di monitorare sistematicamente le pagine web visualizzate dal lavoratore.

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.

 

IL DISCIPLINARE INTERNO

Il Provvedimento del Garante, inoltre, raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.

Contenuto minimo del Disciplinare è il seguente:

Per quanto riguarda Internet:

  • individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
  • utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta  di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l’azienda:

  • renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
  • valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
  • preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
  • metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare  il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

 

PRINCIPIO DI GRADUALITA’ NEI CONTROLLI

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità.

  • In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole.
  • Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Il Disciplinare adottato va reso pubblico tra i lavoratori  inserendolo, ad esempio, nella rete intranet aziendale e, comunque, consegnato e firmato per presa visione.

 

SANZIONI IN CASO DI MANCATA ADOZIONE DEL DISCLIPINARE

L’Art 162 Dlgs 196/2003, al riguardo non lascia scampo:

in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.


Bilancio Sanzioni Privacy 2010 e Piano Ispettivo 2011

Investigatori privati, banche, cloud computing sotto la lente del Garante

Varato il piano ispettivo per il primo semestre 2011. Nello scorso anno applicate sanzioni per circa 3 milioni e 800 mila euro

 

Bilancio del 2010

Un primo bilancio sull’attività ispettiva relativa al 2010 mostra il significativo lavoro di controllo svolto dall’Autorità: sono state circa 474 le ispezioni effettuate e 424 i procedimenti sanzionatori, relativi in larga parte a:

  • omessa informativa
  • trattamento illecito dei dati
  • mancata adozione di misure di sicurezza
  • inosservanza dei provvedimenti del Garante

Le ispezioni hanno riguardato in particolare il settore sanitario, le catene alberghiere, l’attivazione di schede telefoniche multiple, la formazione on line.

Le segnalazioni all’autorità giudiziaria per violazioni penali sono state 55, e hanno riguardato tra l’altro la mancata adozione misure di sicurezza, la falsità nelle dichiarazioni e nelle notificazioni, il mancato adempimento ai provvedimenti del Garante.

Complessivamente le entrate derivanti dalle sanzioni sono state pari a circa 3 milioni e 800 mila euro.

In particolare,

  • 2 milioni relativi alle violazioni degli obblighi sull’informativa,
  • 800 mila relativi al trattamento illecito di dati
  • 450 mila relativi alla mancata adozione delle misure di sicurezza da parte di aziende e pubbliche amministrazioni.

 

Piano Ispettivo 2011

Investigatori privati, servizi informatici (in particolare quelli forniti mediante il cosiddetto “cloud computing”), istituti bancari e carte di credito, marketing (anche via sms ed e-mail), enti previdenziali. E’ su questi delicati settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani che si concentrerà l’attività di accertamento del Garante per la privacy nei primi sei mesi dell’anno.

Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo:

  • alle informazioni da fornire ai cittadini sull’uso dei loro dati personali,
  • all’adozione delle misure di sicurezza,
  • alla durata di conservazione dei dati,
  • al consenso da richiedere nei casi previsti dalla legge,
  • all’obbligo di notificazione al Garante.

Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati come di consueto anche in collaborazione con le Unità Speciali della Guardia di Finanza – Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.

Credito al consumo: par condicio coi finanziatori UE

Il Garante per la protezione dei dati personali ha dato il via libera allo schema di delibera del Comitato interministeriale per il credito ed il risparmio (CICR) con il quale viene prevista la possibilità per gli istituti di credito e le società finanziarie degli Stati membri dell’Ue di accedere alle banche dati italiane, pubbliche e private, contenenti informazioni sul credito.

Lo schema di delibera, dando attuazione alla direttiva europea in materia, consente infatti ai finanziatori operanti nell’ambito dell’Unione europea di accedere ai Sic (Sistemi di informazione creditizie) e alla centrale rischi della Banca d’Italia in condizioni “non discriminatorie” rispetto a quelle previste per i finanziatori italiani (in particolare per quanto riguarda i costi, le qualità del servizio di accesso ai dati, le modalità per la sua fruizione e la tipologia di informazioni fornite).

Lo schema prevede inoltre che venga salvaguardato il “principio di reciprocità”, su cui si fondano le banche dati sul credito operanti in Italia, in base al quale l’accesso è consentito soltanto ai finanziatori che forniscono a loro volta le informazioni creditizie in loro possesso.

Il parere è stato reso dal Garante su una versione aggiornata dello schema di delibera che tiene conto degli approfondimenti e delle indicazioni fornite dalla stessa Autorità agli uffici della Banca d’Italia allo scopo di garantire un più elevato standard di tutela del diritto alla protezione dei dati personali.

Sulla base delle osservazioni dell’Autorità sono stati infatti meglio chiariti in particolare due aspetti:

  • la finalità dell’accesso, che deve essere unicamente la valutazione del ” merito creditizio” del consumatore,
  • i soggetti cui possono riferirsi le informazioni, vale a dire esclusivamente il consumatore ed i “soggetti col medesimo coobbligati anche in solido”, in linea con quanto previsto dal Codice di deontologia sui sistemi informativi in tema di credito al consumo.