Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

downloadVerifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete.

L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.

In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.

L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

Annunci

Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

internet bankingPer combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro “navigazione” nell’area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti (come password per l’accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di “identificazione” dell’utente.

Per raggiungere tale obiettivo, l’istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking.

La società, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l’importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso.

Dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i “dati di navigazione” astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio.

Il partner tecnologico:

  • non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso,
  • non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

La Commissione europea lancia lo scudo UE-USA per la privacy: più tutele per i flussi transatlantici di dati

eu-us-privacy-shieldBruxelles, 12 luglio 2016

Oggi la Commissione europea ha adottato lo scudo UE-USA per la privacy.

Il nuovo regime tutela i diritti fondamentali di qualsiasi persona nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti e apporta chiarezza giuridica alle imprese che operano con trasferimenti transatlantici di dati.

Lo scudo UE-USA per la privacy si fonda sui principi esposti qui di seguito.

  • Obblighi rigorosi per le imprese che operano sui dati: nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche quando l’impresa aderente allo scudo trasferisce i dati a terzi.
  • Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: gli Stati Uniti hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità è che qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti nell’ambito dello scudo. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. L’Ufficio ha illustrato nei particolari le garanzie vigenti riguardo all’uso dei dati in tali circostanze eccezionali. Il Segretario di Stato degli USA ha istituito all’interno del Dipartimento di Stato una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.
  • Tutela effettiva dei diritti individuali: chiunque ritenga che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.
  • Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, alla quale assoceranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

Dopo aver presentato il progetto di scudo a febbraio, la Commissione vi ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Prossime tappe:

  • la “decisione di adeguatezza” sarà notificata oggi agli Stati membri, entrando così in vigore immediatamente.
  • Gli Stati Uniti pubblicheranno lo scudo per la privacy nel Registro federale, che è l’equivalente della nostra Gazzetta ufficiale. Il Dipartimento del Commercio degli Stati Uniti darà avvio allo scudo.
  • Una volta studiato il regime e aggiornate pratiche e politiche per conformarvisi, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio a partire dal 1o agosto.
  • La Commissione pubblicherà nel frattempo una breve guida per informare i cittadini dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.

 

Per ulteriori informazioni

 

 

No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Recupero crediti, OIC: tutelare privacy dei consumatori e diritti delle imprese

image_galleryFonte: Help Consumatori

Il 18 aprile scorso, il Garante per la Protezione dei dati personali ha pubblicato una guida che illustra in maniera sintetica il modo più corretto in cui le società di recupero crediti possono trattare le informazioni personali che riguardano i debitori.

A poco più di una settimana di distanza, le associazioni dei consumatori che fanno parte dell’OIC (Osservatorio Imprese e Consumatori) hanno incontrato, in un convegno dal titolo “Recuperare credito”, autorità e imprese per trovare insieme una strada che conduca ad un equilibrio tra due opposti interessi: quello di coloro che cercano di recuperare quanto dovuto (le imprese) e quello dei consumatori che vogliono vedere tutelata la propria privacy.

Quando parliamo di recupero crediti in Italia, ci rifacciamo, sotto l’aspetto normativo, ad una norma che risale ad un Regio Decreto del 1931 e che per quasi 90 anni non è mai stata modificata”, ha tenuto a precisare il Antonio Persici, Presidente di OIC che continua, “Per anni l’attività di recupero crediti è stata poco e male considerata dal legislatore. Eppure sappiamo bene quanto il ritardo dei pagamenti sia letale tanto per le imprese che per la Pubblica Amministrazione, con effetti negativi sull’intero Sistema Paese”.

Il vademecum pubblicato dal Garante per la Privacy ha fatto un lavoro di sintesi, come precisa il Daniele De Paoli, del Dipartimento Realtà Economiche e Produttive del Garante, e dell’Autorità, “tra le principali novità avvenute nel comparto dal 2005 al 2015, alla luce dei cambiamenti avvenuti sul mercato”. De Paoli ha tenuto a sottolineare come “le istanze che arrivano al Garante e che riguardano il recupero crediti rappresentano, di fatto, una percentuale consistente– parliamo di alcune centinaia l’anno- e la maggior parte hanno a che fare con la violazione della riservatezza e della dignità della persona oppure con pratiche di contatto invasive: basti pensare che, nel 90% dei casi, ci si rivolge all’Autorità perché la comunicazione della morosità viene data a terze persone diverse dal diretto interessato”.

Quali soluzioni trovare allora per limitare queste pratiche? “Tanto per cominciare”, ha detto Persici, “la registrazione della telefonata tra l’operatore e il debitore può essere un modo per documentare in maniera certa il contatto. Inoltre, occorre senza dubbio provvedere ad una adeguata formazione del personale delle società di recupero crediti in modo che la comunicazione si svolga nel pieno rispetto dei diritti dell’interessato”. Dello stesso avviso si è detto anche De Paoli che, nel suo intervento, ha accolto positivamente le proposte di OIC.

Secondo Enrico Maria Cotugno, Vice Direttore di AGCOM, “dovremmo partire dal fatto che le imprese non devono cedere crediti “sporchi”, ossia esigere crediti da clienti con i quali hanno in sospeso dei reclami: questo sarebbe un buon modo per distinguere sul nascere i veri debitori dai clienti che invece hanno diritto a non pagare”.

L’OIC, da canto suo, sottolinea invece “l’importanza di un confronto con gli operatori del settore del recupero credito, attraverso il quale si possa colmare la lacuna dell’attuale sistema normativo. Inoltre, la strada del dialogo consentirebbe di trovare soluzioni rapide e aumentare la fiducia del consumatore”.

Privacy by Design: l’approccio corretto alla protezione dei dati personali

Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L’evoluzione tecnologica ha inciso ovviamente anche sulla privacy poiché è necessario prevenire i rischi e comunque garantire la protezione dei dati personali.

I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone.

Questo complesso scenario ha determinato la necessità di una evoluzione anche per la privacy. Infatti, già a metà degli anni ’90, il contesto internazionale ha evidenziato il cambiamento apportato alla privacy proponendo le c.d. PET (acronimo di Privacy Enhancing Technologies), ossia tutte quelle tecnologie in ambito ICT che sono utili ad accrescere la protezione dei dati personali.

Del resto, un riferimento a questo importante concetto delle PET è contenuto nell’art. 3 del codice della privacy, rubricato “Principio di necessità nel trattamento dei dati”, che recita

“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. Successivamente alle PET si è giunti alla Privacy by Design.

Question-Mark-Man

Ma che cos’è la Privacy by Design (PbD) e cosa rappresenta?

La Privacy by Design è un ulteriore tassello nella evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti.

In sostanza la Privacy by Design rappresenta il futuro della privacy.

Nel 2010 la 32ma Conferenza mondiale dei Garanti privacy ha adottato la risoluzione sulla Privacy by Design (PbD) rendendo in tal modo ufficiale questo nuovo concetto che era comunque già noto ed utilizzato negli Stati Uniti e in Canada. Con la PbD si è inteso istituzionalizzare il cambiamento e l’evoluzione della privacy che, pertanto, richiede un nuovo approccio per garantire una migliore protezione dei dati personali.

Successivamente, il concetto di Privacy by Design – sebbene con una qualificazione diversa (privacy by design and by default) – è stato introdotto nella proposta di riforma europea della normativa in materia di dati personali che attualmente attende l’approvazione definitiva. Infatti, il 25 gennaio 2012 la Commissione europea ha proposto il nuovo quadro giuridico europeo in materia di protezione dei dati e la proposta di Regolamento introduce (articolo 23) l’espressione “data protection by design and by default”. Secondo il testo di questo articolo è chiaro che la Commissione europea esamini i termini “by design” e “by default” come concetti diversi, anche se utilizzati congiuntamente come unica espressione.

Nel contesto internazionale, però, è presente unicamente la descrizione ben strutturata della Privacy by Design, frutto della elaborazione della Dott.ssa Ann Cavoukian (che, quale Information and Privacy Commissioner of Ontario, Canada, fu tra i promotori della risoluzione adottata nel 2010).

Secondo questa impostazione, l’utente è considerato il centro del sistema privacy(per definizione, quindi, è “user centric”). Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.

La PbD comprende una trilogia di applicazioni:

  1. sistemi IT
  2. pratiche commerciali corrette
  3. progettazione strutturale e infrastrutture di rete

e vengono individuati 7 principi definiti fondazionali che esprimono pienamente l’intero senso di questa prospettiva:

  1. Proattivo non reattivo – prevenire non correggere
  2. Privacy come impostazione di default
  3. Privacy incorporata nella progettazione
  4. Massima funzionalità − Valore positivo, non valore zero
  5. Sicurezza fino alla fine − Piena protezione del ciclo vitale
  6. Visibilità e trasparenza − Mantenere la trasparenza
  7. Rispetto per la privacy dell’utente − Centralità dell’utente.

Si tratta, indubbiamente, di un approccio metodologico ben strutturato che garantisce una neutra e solida funzionalità operativa indipendente da specifiche soluzioni tecnologiche. Del resto, ciò è del tutto conforme con i valori fondamentali dell’individuo.

L’obiettivo principale è quello di elaborare due concetti: la protezione dei dati e degli utenti.

In realtà, si presta attenzione in primo luogo alla privacy e, dopo si cerca di rispettare il diritto. L’approccio alla protezione dei dati personali e alla privacy, infatti, non può essere basata su una valutazione di conformità normativa perché è necessario che un qualsiasi processo proceda dall’utente, mettendo lui/lei al centro.

L’utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user-centric.

Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell’utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza.

La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione.

La valutazione di “PbD compliance” costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali.

La proposta europea di Regolamento contiene il riferimento alla “data protection by design and by default” ma – sebbene indichi chiaramente il senso di un cambio di prospettiva rispetto al passato – l’approccio utilizzato nel testo normativo sembra più attento alle tecnologie applicate alla privacy piuttosto che alla metodologia da utilizzare e all’essenza del concetto di “by design”.

In realtà, non si può prescindere dal preminente ruolo dell’utente i cui dati personali devono essere trattati in maniera adeguata anche al fine di prevenire o ridurre al minimo i rischi privacy.
Le applicazioni pratiche della Privacy by Design sono molteplici e non soggette a limiti (dalla progettazione strutturale di edifici o di ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni soluzione progettuale in ambito IT). L’approccio alla PbD non richiede un’applicazione solo su nuovi progetti, poiché anche quelli esistenti possono beneficiare di questo sistema senza pregiudizio per quanto già realizzato.

Ad oggi, nonostante la risoluzione sulla Privacy by Design sia stata adottata nel 2010 anche con la partecipazione del Garante italiano, non risultano provvedimenti dell’Autorità che richiamino i principi contenuti nella citata risoluzione e sarebbe auspicabile che in essi si possano leggere considerazioni e determinazioni in ordine ad applicazioni concrete dei principi della Privacy by Design rispetto ai casi specifici.

Lo scrivente da tempo sostiene la opportunità e la necessità di sviluppare e strutturare norme uniformi per uno standard privacy internazionale che garantisca, nel rispetto delle normative degli Stati, un framework comune di riferimento con cui agevolare i trattamenti di dati personali e garantirne la protezione nel rispetto della privacy.

Il datore di lavoro non può spiare le mail dei dipendenti

mail-dicembreI lavoratori devono essere informati. Il datore di lavoro non può spiare le mail
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(“L’Huffington Post”, 13 gennaio 2016)

Ma davvero, da oggi, i lavoratori europei potranno essere spiati dai loro datori di lavoro? La sentenza del 12 dicembre della Corte europea dei diritti umani sancisce la fine della privacy in ambito lavorativo?

È bene chiarirlo: assolutamente no.

La sentenza di ieri decide il ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall’utilizzo per fini personali, in orario di lavoro, della mail aziendale. Con la pronuncia, la Corte si è limitata a ritenere non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, affermato dalla giurisdizione romena.

E questo perché:

  1. l’azienda aveva informato i dipendenti delle condizioni d’uso della mail aziendale, che non ne consentivano l’utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l’aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;
  2. il monitoraggio delle mail è stato limitato nel tempo e nell’oggetto, nonché strettamente proporzionato allo scopo di provare l’inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
  3. l’accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni (come da contratto avrebbe dovuto essere);
  4. l’identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;
  5. l‘azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore; il contenuto delle comunicazioni non è stato oggetto di sindacato da parte datoriale nel giudizio, ma soltanto il carattere personale delle mail inviate nell’orario di lavoro, con conseguente riduzione della produttività del dipendente;
  6. il dipendente non ha motivato la ragione dell’utilizzo della mail aziendale per fini personali.

La Corte ha dunque riaffermato, nel caso concreto, che i controlli datoriali sull’attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell’adempimento contrattuale.

Essi devono essere inoltre:

  • limitati nel tempo e nell’oggetto;
  • mirati (dunque non massivi);
  • fondati su presupposti (quali in particolare l’inefficienza dell’attività lavorativa del dipendente) tali da legittimarne l’esecuzione.

Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.

Questa valutazione è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile scorso dallo stesso Consiglio d’Europa, che in particolare auspica:

  • la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici;
  • l’assoluta residualità dei monitoraggi, con appositi sistemi informativi, sull’attività e il comportamento dei lavoratori in quanto tale.

Ed è in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007.

Con questo provvedimento si è prescritto al datore di lavoro di informare i lavoratori:

  • delle condizioni di utilizzo della mail aziendale (e anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore),
  • dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché
  • delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.

Principi che restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice privacy.

E, in particolare, ai principi ribaditi proprio dalla Corte europea dei diritti umani con la sentenza di ieri, di:

  • necessità,
  • finalità,
  • legittimità e correttezza,
  • proporzionalità e non eccedenza del trattamento,  
  • previa informativa del lavoratore,
  • divieto di profilazione.

Come abbiamo avuto modo di affermare in sede di audizione, dinanzi alle Commissioni parlamentari, sullo schema di decreto legislativo attuativo del Jobs Act in questa materia, sarà proprio il rispetto dei principi del Codice privacy il principale argine a un utilizzo pervasivo dei controlli sul lavoro.

E questo, anche in assenza delle modifiche che le Commissioni parlamentari, in conformità alle indicazioni da noi rese in audizione, avevano suggerito al Governo di apportare al testo del decreto per rafforzare le garanzie dei lavoratori, pur nel rispetto delle legittime esigenze datoriali.

Il Jobs Act

Dunque, anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.

Prevenire

Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file.

E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

Privacy By Design

In questa prospettiva, assai utile può essere l’adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto.

Ed è significativo che tali soluzioni siano valorizzate dal nuovo Regolamento Ue sulla protezione dati, che delinea il nuovo quadro giuridico europeo in una materia, come questa, su cui si giocano le sfide più importanti per le nostre democrazie.