Controllo e-mail e smartphone aziendali: divieto del Garante per la Privacy

Il Garante per la Privacy, con Nota 17 febbraio 2017, n. 424, ribadisce che sono vietati i controlli indiscriminati su e-mail e smartphone aziendali.

Per il datore di lavoro accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale è un comportamento illecito.
I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.

Il datore di lavoro non può accedere indiscriminatamente alle email dei dipendenti, ai dati personali contenuti nello smartphone o nel tablet, né tanto meno intervenire da remoto sui contenuti del device in dotazione al lavoratore: lo ribadisce il Garante della Privacy vietando l’utilizzo di dati trattati in violazione alle norme di legge.

In primo luogo, la policy sul trattamento dei dati va comunicata al dipendente con specifica informativa, dettagliando modalità e finalità dell’attività di raccolta e conservazione dei dati. Ci sono poi regole precise da seguire nel trattamento e conservazione dei dati, che devono sempre uniformarsi al principio di correttezza e non possono prevedere attività  di controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

Altre violazioni: configurazione del sistema di posta elettronica in modo da conservare copia della corrispondenza anche dopo la cessazione del rapporto di lavoro per un tempo non proporzionato (anni): dopo la cessazione del rapporto gli account di posta devono essere rimossi, previa disattivazione degli stessi e contestuale adozione di sistemi automatici per informare i terzi e fornire loro indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.

Non è conforme ai principi di necessità, pertinenza e non eccedenza la conservazione per anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche.

In generale, le norme sul controllo a distanza, anche dopo le modifiche del Jobs Act, contenute nell’articolo 23 del decreto legislativo 151/2015, non consentono di effettuare attività idonee a realizzare (anche indirettamente) il monitoraggio massivo, prolungato e indiscriminato dell’attività del lavoratore.

Il datore di lavoro è sempre tenuto a salvaguardare la libertà e la dignità del lavoratore e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore.

Il Garante considera illecita anche la mancata disattivazione della mail aziendale dopo la fine del rapporto di lavoro  e l'eccessiva durata  del periodo di conservazione sui server aziendali dei dati e dei contenuti delle comunicazioni elettroniche intrattenute dal dipendente.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali e delle  eventuali verifiche da parte del lavoro da server remoti.

Lavoro: la consulenza per email va retribuita, obbligatorio pagare il professionista

Il consiglio anche informale del professionista richiede un compenso, anche senza esplicito incarico, il parere fornito per email è comunque una prestazione come è stato deciso dalla Corte di Cassazione. Importante novità per i professionisti che forniscono pareri e indicazioni: la consulenza fornita via mail, anche per posta elettronica tradizionale e non certificata, va retribuita

Se un a professionista fornisce – anche in via informale - un parere su richiesta di un cliente o potenziale tale, tale prestazione richiede comunque un retribuzione anche se fornita per email, tramite Internet, o senza appuntamento presso lo studio. Anche senza un esplicito accordo preventivo sul compenso. Queste situazioni, infatti, non rappresentano una presunzione di gratuità alla prestazione, anzi: ad esempio l’email è una prova scritta di incarico professionale che, come tale, deve essere retribuito salvo diverso accordo tra le parti.

A chiarirlo è stata la Corte di Cassazione con sentenza n. 1792/2017 specificando che, in assenza di mandato scritto, l’affidamento è dimostrabile con qualsiasi mezzo anche per email. In generale, spiegano i giudici, secondo consolidato orientamento della Corte:

“il rapporto di prestazione d’opera professionale, la cui esecuzione sia dedotta dal professionista come titolo del diritto al compenso, postula l’avvenuto conferimento del relativo incarico in qualsiasi forma idonea a manifestare inequivocabilmente la volontà di avvalersi della sua attività e della sua opera da parte del cliente convenuto per il pagamento di detto compenso”.

Caso tipico è quello di un cittadino che chiede un consiglio a un avvocato inviando una semplice email.

Per quanto in molti casi il privato intenda semplicemente ricevere n parere a titolo gratuito, per poi magari decidere sul da farsi in un secondo momento, una mail del genere conferisce a tutti gli effetti un incarico all'avvocato. Incarico che, se accettato dal professionista, va retribuito.

In molti casi una semplice mail di risposta, nel quale l’avvocato fornisce il parere richiesto, è sufficiente a far considerare concluso l’incarico così assegnato.

L’email è prova del conferimento dell’incarico 

Nel caso in esame, il professionista aveva prodotto come dimostrazione dell’avvenuto conferimento dell’incarico, presupposto del diritto al compenso, due comunicazioni fax ed una comunicazione email, ritenute dalla Corte prove valide. 

La logica da cui muove la sentenza in commento si poggia sui seguenti passaggi logici:

un incarico conferito a un professionista si considera sempre a pagamento, salvo diverso accordo tra le parti;

l’email con la richiesta di un parere o con qualsiasi altro incarico instaura un rapporto contrattuale, a pagamento, con il professionista;

l’email può essere considerata una prova e dimostrare, appunto, il conferimento dell’incarico;

il professionista che abbia eseguito l’incarico richiestogli con l’email ha diritto ad essere pagato.

Il contratto d’opera professionale è sempre a pagamento

Secondo la giurisprudenza, le norme sui contratti d’opera professionale – ossia sugli incarichi conferiti a professionisti – si poggiano su quella che viene chiamata «presunzione di onerosità»: in buona sostanza, l’incarico si considera sempre «a pagamento», salvo diverso accordo delle parti. Il professionista e il cliente sono certamente liberi di stabilire la gratuità dell’opera, ma se nulla viene previsto nel contratto – come spesso avviene negli incarichi conferiti a voce – l’attività svolta dal professionista va sempre retribuita. Dunque il compenso è un elemento essenziale del contratto, che può essere “derogato”, ma è necessario un esplicito accordo in tal senso.

In sintesi, il conferimento dell’incarico può avvenire in qualsiasi forma idonea a manifestare inequivocabilmente la volontà del cliente di avvalersi della attività e dell’opera del professionista.

L’email è prova di incarico professionale

Ma l’email – ed è questo un punto cruciale – può essere usata in una causa, dopo essere stata debitamente stampata, per provare il credito del professionista? La risposta fornita dalla Cassazione è sì: l’avvocato, l’ingegnere, l’architetto, il consulente del lavoro, il medico, il commercialista può dimostrare in qualsiasi modo di aver ricevuto l’incarico, quindi anche con una semplice email. E posto che la richiesta di parere scritto o verbale può considerarsi al pari di un normale incarico professionale, la domanda inviata tramite email instaura una proposta di contratto, cui il professionista può decidere di aderire, rispondendo, o meno.

Ciò detto, da oggi chi richiede un parere via email è obbligato a pagare il professionista perché la posta elettronica tradizionale – anche quella non certificata – può costituire prova di un incarico.

Controllo a distanza dei lavoratori dipendenti: non si possono monitorare email e navigazione web

I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.

L’utilizzo di software che controllino in modo continuo l’attività online dei dipendenti (tramite posta elettronica, navigazione web etc.) sono una violazione dei diritti dei lavoratori: il Garante Privacy pone precisi limiti alle novità del Jobs Act in base alle quali pc, email e smartphone sono strumenti informatici che l’impresa può utilizzare senza procedure sindacali. Il provvedimento dell’Autorità n.303 del 13 luglio 2016 rappresenta di fatto la prima interpretazione autorevole delle modifiche all’articolo 4 dello Statuto dei Lavoratori previste dall’articolo 23 del dlgs 151/2015, attuativo del Jobs Act.

Il provvedimento del Garante fornisce dettagli sulle tipologie di software che non rientrano tra le misure di controllo lecite. Al bando, dunque, i sistemi che consentono: «operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale», perché «idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili». Il Garante ha stabilito che MAC Address e indirizzi IP sono da considerarsi dati personali.

Si tratta infatti di elementi che consentono l’identificazione univoca del pc e delle attività di chi lo usa. L’indirizzo IP consente di identificare una connessione, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) «associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l’indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando».

Possono invece essere considerati strumenti di lavoro (leciti), a titolo esemplificativo:

il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale);

altri servizi della rete aziendale, fra cui anche il collegamento a siti internet;

sistemi e misure che consentono il fisiologico e sicuro funzionamento della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso);

altri strumenti utili al conseguimento di una elevata sicurezza della rete aziendale: sistemi di protezione perimetrale, firewall, in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni, IPS/IDS, agenti su base statistica o con il ricorso a sorgenti informative esterne.

In ultima analisi, non possono essere considerati strumenti di lavoro ma di controllo a distanza del dipendente, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete. Pertanto, è illecito il trattamento dei dati così raccolti.

L’Autorità fa presente che, anche in caso di utilizzi di videosorveglianza ”mobile” da parte di organi di pubblica sicurezza o di altri soggetti pubblici, bisogna rendere una idonea informativa ai dipendenti ma anche alla cittadinanza.

Il Garante ricorda che il datore di lavoro deve sempre e comunque salvaguardare la libertà e la dignità dei lavoratori: oltre a fornire una informativa completa ai dipendenti in ordine alle consentite modalità di utilizzo degli strumenti aziendali e l’indicazione puntuale delle tipologie di eventuali controlli che possono essere effettuati anche su base individuale. Va tenuto presente anche che, in caso di cessazione del rapporto di lavoro, gli account riconducibili all’ex dipendente devono essere disattivati: non è consentita l’adozione di sistemi informatici di reindirizzamento della posta a terze persone.

Nel corso del 2015 il Garante è stato più volte chiamato a pronunciarsi riguardo alla pubblicazione online, sui siti istituzionali degli enti pubblici, di dati, atti o provvedimenti contenenti dei dati personali riferiti ai lavoratori. Elemento discriminante tra gli interessi opposti delle parti risulta essere, al riguardo, l’osservanza del principio di pertinenza e non eccedenza dei dati pubblicati rispetto al rispetto degli obblighi dettati in materia dal legislatore.

Particolare attenzione va riservata al trattamento dei dati relativi a soggetti disabili e alla pubblicazione dei dati relativi ai compensi percepiti dai soggetti che ricoprono incarichi di consulenza o collaborazione con gli enti pubblici: per questi ultimi è prevista la pubblicazione obbligatoria dei dati riguardanti i compensi ma non quelli relativi ai dati reddituali. Tale ultima ipotesi è ammessa esclusivamente nel caso di soggetti che ricoprono incarichi politici.

Tribunale di Bologna: reintegro del posto di lavoro, no licenziamento

Prima battuta d’arresto per la riforma dei licenziamenti appartenente alla Fornero. Bastano le scuse del lavoratore a rendere «insussistente il fatto contestato» alla base del licenziamento disciplinare, insussistenza che consente al giudice di applicare la sanzione della reintegrazione nel posto di lavoro, in luogo di un indennizzo economico. Bastano le scuse del lavoratore a rendere «insussistente il fatto contestato» alla base del licenziamento disciplinare, insussistenza che consente al giudice di applicare la sanzione della reintegrazione nel posto di lavoro, in luogo di un indennizzo economico. Lo ha stabilito il Tribunale di Bologna nella sentenza del 15 ottobre 2012.

Il fatto in breve è questo: l’impiegato si era permesso di criticare via email l’organizzazione del lavoro. L’episodio che probabilmente farà storia è questo: un impiegato della Alta srl si lamenta, riferendosi ai tempi di consegna di un lavoro: «Parlare di pianificazione nel gruppo Atti è come parlare di psicologia con un maiale». L’email viene intercettata dai dirigenti e il 30 luglio scorso, appena entrata in vigore la riforma del lavoro del ministro Elsa Fornero, l’azienda parte lancia in resta e licenza per giusta causa. Il lavoratore, assunto nel 2007, fa ricorso d’urgenza ex articolo 700.

Quindi per la riforma dell’articolo 18, molto rumore per che cosa? Gli effetti della prima causa intentata a Bologna, in esecuzione delle nuove norme in materia di licenziamenti, così come previste dalla nuova, contestatissima stesura dell’articolo più discusso nello Statuto dei lavoratori. A tenere banco, per alcuni, mesi era infatti stata la questione dei licenziamenti con o senza “giusta causa”: in base alle interpretazioni più critiche, infatti, la nuova disposizione avrebbe generato una miriade di interruzioni di lavoro a discrezione delle imprese, che, non a caso, avevano spinto con forza la riforma. Ora nasce il dubbio che tanto le valutazioni più catastrofiste, sul nuovo articolo 18 fossero non rispondenti alla realtà dei fatti. A dimostrazione di ciò è la sentenza Tribunale di Bologna che ha prodotto il reintegro per un lavoratore licenziato pochi giorni dopo l’entrata in vigore della legge.

Ma come? La riforma del lavoro Monti-Fornero non doveva servire a risolvere l’eventuale contenzioso con un pagamento economico? In teoria sì, in pratica è rimasto tutto come prima. Vale a dire lascia ampia discrezionalità al magistrato di decidere se e quali comportamenti del lavoratore (o dell’azienda) sono sanzionabili e in che modo. Il legislatore, dimenticandosi di inserire nella norma i casi specifici in cui scatta il licenziamento e quindi l’eventuale pagamento di un’indennità, lascia alle toghe a decidere liberamente.
L’impiegato avrà sicuramente festeggiato, l’azienda masticato amaro per l’obbligo al reintegro (stanno valutando se e come fare ricorso). Resta il piccolo particolare di un precedente che dimostra che poco o nulla è cambiato.

La riforma avrebbe dovuto falciare i casi di reintegro, sterzando, una volta dimostrata l’assenza della giusta causa, per l’indennizzo economico. Ma la sentenza del giudice Maurizio Marchesini ora potrebbe fare giurisprudenza (sicuramente nelle tribune mediatiche), e colpisce alle basi uno dei paletti fondamentali della riforma voluta dal governo Monti.

Università La Sapienza: nuova frontiera tecnologica per gli studenti

Email e documenti che passano tra le “nuvole” dell’universo Web. Google e l'Università La Sapienza di Roma hanno comunicato  il progetto che metterà a disposizione di 165mila studenti dell'ateneo, inclusi i laureati negli ultimi due anni, i servizi cloud interamente utilizzabili via Internet Google Apps for Education. Con questo progetto, ogni studente avrà da subito una propria casella email accessibile da qualsiasi dispositivo fisso o mobile connesso a Internet, oltre a servizi che consentiranno la condivisione via web di ogni documento a supporto dello studio.

Con questo servizio è possibile svolgere,  lavori di gruppo, realizzare un piccolo sito web con il contenuto di una ricerca corredandola di immagini e contributi video. “Uno studente – ha sostenuto William Florance, responsabile di Google Apps for Education per Europa, Medio Oriente e Africa - non dovrà mai cancellare le informazioni che ha raccolto nell'arco dell'intera carriera universitaria”. L’iniziativa è già partita in altri atenei italiani, da Pavia a Ferrara, a Firenze e negli Stati Uniti, 66 dei 100 più prestigiosi atenei (inclusi Berkeley e Harvard) hanno già adottato da tempo la tecnologia Google Apps for Education. Non sono solo gli studenti i beneficiare del nuovo servizio: le applicazioni integrate in Google Apps for Education (quali Google Docs) favoriscono una completa interazione online tra insegnanti e studenti; mentre funzioni quali Google Calendar consentono di gestire l’organizzazione interna di aule, eventi, sessioni d’esame.

È  nuova piattaforma gratuita dedicata agli studenti che prevede servizi per la comunicazione e la collaborazione. Il sistema è messo a disposizione da Google in base a una convenzione con l’Ateneo, a seguito di un bando di gara a titolo gratuito.

Studenti e professori hanno inoltre la possibilità, con il servizio Google Sites e in piena autonomia, creare un minisito web condiviso (ad accesso privato o pubblico) dove inserire tutta la documentazione relativa a una ricerca o a una tesi. I professori, inoltre, potranno preparare sul loro Pc di casa slide a supporto delle lezioni. “Siamo molto contenti – conclude Luca Giuratrabocchetta, Country Manager Google Enterprise Italia – che anche La Sapienza, la più grande università in Europa per numero di studenti su questa piattaforma, abbia scelto di innovare”.
La nuova piattaforma sarà un nuovo per lavorare e studiare ed interagire fra studenti e docenti. In modo gratuito.