Controllo a distanza dei lavoratori dipendenti: non si possono monitorare email e navigazione web

I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.

L’utilizzo di software che controllino in modo continuo l’attività online dei dipendenti (tramite posta elettronica, navigazione web etc.) sono una violazione dei diritti dei lavoratori: il Garante Privacy pone precisi limiti alle novità del Jobs Act in base alle quali pc, email e smartphone sono strumenti informatici che l’impresa può utilizzare senza procedure sindacali. Il provvedimento dell’Autorità n.303 del 13 luglio 2016 rappresenta di fatto la prima interpretazione autorevole delle modifiche all’articolo 4 dello Statuto dei Lavoratori previste dall’articolo 23 del dlgs 151/2015, attuativo del Jobs Act.

Il provvedimento del Garante fornisce dettagli sulle tipologie di software che non rientrano tra le misure di controllo lecite. Al bando, dunque, i sistemi che consentono: «operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale», perché «idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili». Il Garante ha stabilito che MAC Address e indirizzi IP sono da considerarsi dati personali.

Si tratta infatti di elementi che consentono l’identificazione univoca del pc e delle attività di chi lo usa. L’indirizzo IP consente di identificare una connessione, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) «associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l’indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando».

Possono invece essere considerati strumenti di lavoro (leciti), a titolo esemplificativo:

il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale);

altri servizi della rete aziendale, fra cui anche il collegamento a siti internet;

sistemi e misure che consentono il fisiologico e sicuro funzionamento della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso);

altri strumenti utili al conseguimento di una elevata sicurezza della rete aziendale: sistemi di protezione perimetrale, firewall, in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni, IPS/IDS, agenti su base statistica o con il ricorso a sorgenti informative esterne.

In ultima analisi, non possono essere considerati strumenti di lavoro ma di controllo a distanza del dipendente, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete. Pertanto, è illecito il trattamento dei dati così raccolti.

L’Autorità fa presente che, anche in caso di utilizzi di videosorveglianza ”mobile” da parte di organi di pubblica sicurezza o di altri soggetti pubblici, bisogna rendere una idonea informativa ai dipendenti ma anche alla cittadinanza.

Il Garante ricorda che il datore di lavoro deve sempre e comunque salvaguardare la libertà e la dignità dei lavoratori: oltre a fornire una informativa completa ai dipendenti in ordine alle consentite modalità di utilizzo degli strumenti aziendali e l’indicazione puntuale delle tipologie di eventuali controlli che possono essere effettuati anche su base individuale. Va tenuto presente anche che, in caso di cessazione del rapporto di lavoro, gli account riconducibili all’ex dipendente devono essere disattivati: non è consentita l’adozione di sistemi informatici di reindirizzamento della posta a terze persone.

Nel corso del 2015 il Garante è stato più volte chiamato a pronunciarsi riguardo alla pubblicazione online, sui siti istituzionali degli enti pubblici, di dati, atti o provvedimenti contenenti dei dati personali riferiti ai lavoratori. Elemento discriminante tra gli interessi opposti delle parti risulta essere, al riguardo, l’osservanza del principio di pertinenza e non eccedenza dei dati pubblicati rispetto al rispetto degli obblighi dettati in materia dal legislatore.

Particolare attenzione va riservata al trattamento dei dati relativi a soggetti disabili e alla pubblicazione dei dati relativi ai compensi percepiti dai soggetti che ricoprono incarichi di consulenza o collaborazione con gli enti pubblici: per questi ultimi è prevista la pubblicazione obbligatoria dei dati riguardanti i compensi ma non quelli relativi ai dati reddituali. Tale ultima ipotesi è ammessa esclusivamente nel caso di soggetti che ricoprono incarichi politici.

Lavoro: Garante Privacy no a forme invasive di controllo verso i dipendenti

"Un più profondo monitoraggio di impianti e strumenti non deve tradursi in una indebita profilazione delle persone che lavorano". È chiara l'opinione del Garante per la Privacy sui cambiamenti che il Jobs Act sta introducendo in tema di controllo dei dipendenti nelle aziende pubbliche e private. E' il monito del Garante privacy, Antonello Soro, nella Relazione annuale esposta a Montecitorio. "È auspicabile che il decreto legislativo all'esame delle Camere - ha sottolineato Soro - sappia ordinare i cambiamenti resi possibili dalle innovazioni in una cornice di garanzie che impediscano forme ingiustificate e invasive di controllo, nel rispetto della delega e dei vincoli della legislazione europea. Un più profondo monitoraggio di impianti e strumenti non deve tradursi in una indebita profilazione delle persone che lavorano". Occorre sempre di più coniugare l'esigenza di efficienza delle imprese con la tutela dei diritti", ha insistito il Garante.

Sul tema è intervenuto anche Laura Boldrini. "Mi auguro che nelle prossime settimane di dibattito parlamentare si possa davvero aprire un confronto che faccia chiarezza sui dubbi emersi in questi giorni", afferma la presidente della Camera Boldrini alla presentazione della relazione alle Camere dell'Autorithy della privacy in relazione ai decreti attuativi del Jobs Act. Le parole di Soro vengono immediatamente riprese da Sel. "Ora che anche il Garante della privacy Antonello Soro si è espresso in maniera molto netta contro il controllo a distanza dei lavoratori contenuto in uno dei decreti attuativi del Jobs Act all'esame delle Camere il parlamento sani una scelta sbagliata del governo che rischia di mettere in discussione un diritto fondamentale. Ecco cosa succede quando si indeboliscono i diritti e si smantella pezzo dopo pezzo lo Statuto dei Lavoratori", ha attaccato il capogruppo di Sel a Montecitorio Arturo Scotto.

Mettere paletti alle novità sul controllo a distanza del dipendente da parte del datore di lavoro previste dal Jobs Act. A chiederlo, dopo le proteste dei sindacati, le precisazioni del ministero e i dubbi dei giuslavoristi che paventano il rischio Grande Fratello, ora è lo stesso Garante per la privacy, Antonello Soro. Che presentando la sua relazione annuale al Parlamento ha auspicato che il decreto legislativo che consente all’azienda di controllare gli strumenti elettronici del dipendente anche senza accordo sindacale “sappia ordinare i cambiamenti resi possibili dalle innovazioni in una cornice di garanzie che impediscano forme ingiustificate e invasive di controllo, nel rispetto della delega e dei vincoli della legislazione europea”.

“Un più profondo monitoraggio di impianti e strumenti non deve tradursi in una indebita profilazione delle persone che lavorano”, ha aggiunto Soro. Anche perché “nei rapporti di lavoro il crescente ricorso alle tecnologie nell’organizzazione aziendale, i diffusi sistemi di geolocalizzazione e telecamere intelligenti hanno sfumato la linea – un tempo netta – tra vita privata e lavorativa”.

A ben vedere, sottolinea Soro nella relazione, è questo il tema fondamentale nel rapporto tra i cittadini e quella che battezza "Infosfera" e cioè il web. Perché "tutto ruota intorno a una raccolta onnivora di dati, ma nella società digitale noi siamo i nostri dati". E molto spesso questi dati si traducono in soldi, che vanno principalmente ai grandi player internazionali come Google e le altre piattaforme - basti pensare a Facebook, che però il Garante non nomina.

Sempre connessi, regaliamo al web i nostri dati sensibili e dunque anche noi stessi, profilati in base ad "algoritmi che orientano non solo settori rilevanti dell'economia, della politica, della finanza, ma sempre di più le nostre scelte quotidiane". Per questo l'Autorità rivendica di essere stato il primo Garante europeo a dare prescrizioni a Google per rendere la sua privacy policy "conforme alle norme italiane" con tanto di visita speciale a Mountain View per un primo monitoraggio. E, sempre su Google, la concretizzazione anche in Italia del diritto all'oblio su Internet (ma il 73% delle richieste di cancellare articoli o pagine web è stato respinto, dice la relazione).

L'obiettivo è dare "un freno reale al dilagare senza condizioni del potere delle piattaforme" e "rimuovere l'asimmetria informativa e l'opacità" di queste. Il riferimento è ancora una volta a Google, contro la quale pesa una procedura di infrazione della Commissione europea per abuso di posizione dominante.