Controllo e-mail e smartphone aziendali: divieto del Garante per la Privacy

Il Garante per la Privacy, con Nota 17 febbraio 2017, n. 424, ribadisce che sono vietati i controlli indiscriminati su e-mail e smartphone aziendali.

Per il datore di lavoro accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale è un comportamento illecito.
I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.

Il datore di lavoro non può accedere indiscriminatamente alle email dei dipendenti, ai dati personali contenuti nello smartphone o nel tablet, né tanto meno intervenire da remoto sui contenuti del device in dotazione al lavoratore: lo ribadisce il Garante della Privacy vietando l’utilizzo di dati trattati in violazione alle norme di legge.

In primo luogo, la policy sul trattamento dei dati va comunicata al dipendente con specifica informativa, dettagliando modalità e finalità dell’attività di raccolta e conservazione dei dati. Ci sono poi regole precise da seguire nel trattamento e conservazione dei dati, che devono sempre uniformarsi al principio di correttezza e non possono prevedere attività  di controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

Altre violazioni: configurazione del sistema di posta elettronica in modo da conservare copia della corrispondenza anche dopo la cessazione del rapporto di lavoro per un tempo non proporzionato (anni): dopo la cessazione del rapporto gli account di posta devono essere rimossi, previa disattivazione degli stessi e contestuale adozione di sistemi automatici per informare i terzi e fornire loro indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.

Non è conforme ai principi di necessità, pertinenza e non eccedenza la conservazione per anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche.

In generale, le norme sul controllo a distanza, anche dopo le modifiche del Jobs Act, contenute nell’articolo 23 del decreto legislativo 151/2015, non consentono di effettuare attività idonee a realizzare (anche indirettamente) il monitoraggio massivo, prolungato e indiscriminato dell’attività del lavoratore.

Il datore di lavoro è sempre tenuto a salvaguardare la libertà e la dignità del lavoratore e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore.

Il Garante considera illecita anche la mancata disattivazione della mail aziendale dopo la fine del rapporto di lavoro  e l'eccessiva durata  del periodo di conservazione sui server aziendali dei dati e dei contenuti delle comunicazioni elettroniche intrattenute dal dipendente.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali e delle  eventuali verifiche da parte del lavoro da server remoti.

Controllo a distanza dei lavoratori dipendenti: non si possono monitorare email e navigazione web

I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.

L’utilizzo di software che controllino in modo continuo l’attività online dei dipendenti (tramite posta elettronica, navigazione web etc.) sono una violazione dei diritti dei lavoratori: il Garante Privacy pone precisi limiti alle novità del Jobs Act in base alle quali pc, email e smartphone sono strumenti informatici che l’impresa può utilizzare senza procedure sindacali. Il provvedimento dell’Autorità n.303 del 13 luglio 2016 rappresenta di fatto la prima interpretazione autorevole delle modifiche all’articolo 4 dello Statuto dei Lavoratori previste dall’articolo 23 del dlgs 151/2015, attuativo del Jobs Act.

Il provvedimento del Garante fornisce dettagli sulle tipologie di software che non rientrano tra le misure di controllo lecite. Al bando, dunque, i sistemi che consentono: «operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale», perché «idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili». Il Garante ha stabilito che MAC Address e indirizzi IP sono da considerarsi dati personali.

Si tratta infatti di elementi che consentono l’identificazione univoca del pc e delle attività di chi lo usa. L’indirizzo IP consente di identificare una connessione, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) «associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l’indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando».

Possono invece essere considerati strumenti di lavoro (leciti), a titolo esemplificativo:

il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale);

altri servizi della rete aziendale, fra cui anche il collegamento a siti internet;

sistemi e misure che consentono il fisiologico e sicuro funzionamento della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso);

altri strumenti utili al conseguimento di una elevata sicurezza della rete aziendale: sistemi di protezione perimetrale, firewall, in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni, IPS/IDS, agenti su base statistica o con il ricorso a sorgenti informative esterne.

In ultima analisi, non possono essere considerati strumenti di lavoro ma di controllo a distanza del dipendente, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete. Pertanto, è illecito il trattamento dei dati così raccolti.

L’Autorità fa presente che, anche in caso di utilizzi di videosorveglianza ”mobile” da parte di organi di pubblica sicurezza o di altri soggetti pubblici, bisogna rendere una idonea informativa ai dipendenti ma anche alla cittadinanza.

Il Garante ricorda che il datore di lavoro deve sempre e comunque salvaguardare la libertà e la dignità dei lavoratori: oltre a fornire una informativa completa ai dipendenti in ordine alle consentite modalità di utilizzo degli strumenti aziendali e l’indicazione puntuale delle tipologie di eventuali controlli che possono essere effettuati anche su base individuale. Va tenuto presente anche che, in caso di cessazione del rapporto di lavoro, gli account riconducibili all’ex dipendente devono essere disattivati: non è consentita l’adozione di sistemi informatici di reindirizzamento della posta a terze persone.

Nel corso del 2015 il Garante è stato più volte chiamato a pronunciarsi riguardo alla pubblicazione online, sui siti istituzionali degli enti pubblici, di dati, atti o provvedimenti contenenti dei dati personali riferiti ai lavoratori. Elemento discriminante tra gli interessi opposti delle parti risulta essere, al riguardo, l’osservanza del principio di pertinenza e non eccedenza dei dati pubblicati rispetto al rispetto degli obblighi dettati in materia dal legislatore.

Particolare attenzione va riservata al trattamento dei dati relativi a soggetti disabili e alla pubblicazione dei dati relativi ai compensi percepiti dai soggetti che ricoprono incarichi di consulenza o collaborazione con gli enti pubblici: per questi ultimi è prevista la pubblicazione obbligatoria dei dati riguardanti i compensi ma non quelli relativi ai dati reddituali. Tale ultima ipotesi è ammessa esclusivamente nel caso di soggetti che ricoprono incarichi politici.

Lavoratori dipendenti: quando è legale il controllo a distanza

L'articolo 4 della legge n. 300 del 1970 "Statuto dei lavoratori" stabiliva che è fatto divieto all'imprenditore di utilizzare sistemi che consentano il controllo a distanza dell'attività lavorativa dei dipendenti; è tuttavia ammessa la possibilità di installare sistemi che abbiano finalità organizzative o produttive (come nel caso dei telefoni elettronici, dei computer e dei tesserini magnetici) e che consentano anche il controllo a distanza dei lavoratori, a condizione che venga preventivamente (cioè prima dell'installazione) raggiunto un accordo con le Rappresentanze Sindacali Aziendali circa le modalità di utilizzo di tali apparecchiature. In mancanza di accordo con le RSA, su richiesta del datore di lavoro, deve essere l'Ispettorato provinciale del Lavoro a stabilire le modalità di uso delle apparecchiature elettroniche.

La sentenza emessa dalla Corte dei diritti umani il 12 gennaio 2016 conferma il Jobs Act in tema di controllo a distanza. I Giudici di Strasburgo hanno infatti stabilito che, in determinate condizioni, il datore di lavoro ha il diritto di monitorare il dipendente durante l’attività lavorativa quando questo utilizza strumenti per svolgere le proprie mansioni; nel caso in cui riscontri violazioni può utilizzare le informazioni raccolte ai fini del licenziamento.

Il Jobs Act ha innovato la disciplina dei controlli a distanza, affermando l’obbligo del preventivo accordo sindacale o, in mancanza, dell’autorizzazione amministrativa non si applica nel caso di strumenti utilizzati per eseguire la prestazione o per rilevare accessi/presenze. Per definire l’ambito applicativo della norma occorre verificare se lo strumento sia utilizzato per eseguire la prestazione; infatti soltanto per tali strumenti il controllo è affrancato dal preventivo accordo sindacale o dalla autorizzazione amministrativa.

In realtà, un’importante novità rispetto alla norma precedente è che adesso, accanto ai requisiti oggettivi, per l’installazione di audiovisivi o apparecchi di controllo a distanza si aggiungono le esigenze di tutela del patrimonio aziendale. Si tratta dunque dei controlli difensivi, diretti all'accertamento di comportamenti illeciti diversi dal mero inadempimento della prestazione lavorativa: la legge di fatto recepisce un orientamento giurisprudenziale espresso in diverse sentenze.

Per l’installazione, tuttavia, resta confermato l’obbligo di accordo sindacale o autorizzazione del Direzione Territoriale del Lavoro competente, su istanza dell’impresa.

Una novità operativa riguarda il caso dell‘impresa con più unità produttive in diverse province o regioni: in questo caso è necessario un accordo con le associazioni sindacali nazionali oppure l’autorizzazione del Ministero del Lavoro. Commentano i Consulenti del Lavoro: «questa introduzione consente di ovviare alle criticità rappresentate dalla normativa previgente che, in assenza di indicazioni specifiche, imponeva il ricorso alle diverse realtà locali, sindacali o amministrative».

Tutto questo comporta la possibilità di acquisire informazioni sull'attività lavorativa, suscettibili di valutazioni anche sotto il profilo disciplinare. E’ uno dei nodi più complessi e controversi del decreto. Per i Consulenti del Lavoro, ai sensi del terzo ed ultimo comma del nuovo articolo 4 dello Statuto, le informazioni raccolte in conseguenza dell’installazione legittima di un impianto possono essere  utilizzate per qualsiasi fine connesso al rapporto di lavoro (anche per i rilievi di natura disciplinare). Al lavoratore deve comunque essere data adeguata informazione sulle modalità d’uso da parte dell’azienda degli strumenti tecnologici e sull'effettuazione di controlli, rispettando le indicazioni del codice della privacy.

In assenza dell'accordo serve l'autorizzazione della Direzione territoriale del lavoro o, nel secondo caso, del ministero del Lavoro. Questa disposizione «non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze». E i dati raccolti possono essere utilizzati «a tutti i fini connessi al rapporto di lavoro, a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli» sempre «nel rispetto del Codice sulla privacy.

Lavoro dipendente: i controlli a distanza non soggetti ad accordo sindacale

Il Jobs Act ha innovato la disciplina dei controlli a distanza, contenuta nel nuovo comma 2 dell’art. 4 della legge n. 300/1970. L’obbligo del preventivo accordo sindacale o, in mancanza, dell’autorizzazione amministrativa non si applica nel caso di strumenti utilizzati per eseguire la prestazione o per rilevare accessi/presenze. Per definire l’ambito applicativo della norma occorre verificare se lo strumento sia utilizzato per eseguire la prestazione; infatti soltanto per tali strumenti il controllo è affrancato dal preventivo accordo sindacale o dalla autorizzazione amministrativa.

La sentenza emessa dalla Corte dei diritti umani il 12 gennaio 2016 conferma il Jobs Act in tema di controllo a distanza. I Giudici di Strasburgo hanno infatti stabilito che, in determinate condizioni, il datore di lavoro ha il diritto di monitorare il dipendente durante l’attività lavorativa quando questo utilizza strumenti per svolgere le proprie mansioni; nel caso in cui riscontri violazioni può utilizzare le informazioni raccolte ai fini del licenziamento.

Secondo il nuovo art. 4 dello Statuto dei Lavoratori il datore di lavoro può  installare, previo accordo sindacale, strumenti dai quali derivi anche la possibilità di controllo a distanza, esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale; inoltre ha piena libertà decisionale per quanto riguarda gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (computer, device mobili, ecc.) e quelli di registrazione di accessi e presenze; le informazioni così raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice Privacy.

E’ importante sottolineare come la Corte abbia tenuto conto che, l’accesso all’account personale (e non quello aziendale) del dipendente era giustificato dalla convinzione che questi stesse utilizzando lo strumento per svolgere proprie mansioni. Su tali presupposti i giudici di Strasburgo hanno ritenuto ragionevole e giustificato porre in essere un’attività di controllo volta a verificare che i dipendenti stiano svolgendo correttamente il proprio lavoro. Anche perché il monitoraggio riguardava il solo strumento di lavoro, ossia le comunicazioni sul Yahoo Messenger. I Giudici quindi hanno concluso che il controllo del datore di lavoro è stato svolto all’interno di determinati limiti ed è stato proporzionato.

Le ragioni dell’azienda
L’azienda aveva politiche lavorative scritte, chiare e comunicate a tutti i dipendenti;

l’azienda ha il diritto di controllare il corretto svolgimento dell’attività lavorativa dei dipendenti se tale verifica è circoscritta e proporzionata;

l’attività di controllo, quando i dipendenti hanno accesso a Internet deve prevedere le minacce al sistema IT aziendale.

Le ragioni del lavoratore
La sentenza sarebbe forse potuta essere diversa se il dipendente avesse provato in giudizio che:

la propria condotta non aveva comportato danni (sotto molteplici profili) all’azienda;
il comportamento assunto trovava giustificazione in termini personali ed economici (es.: un cellulare costava troppo);

l’attività di controllo dell’azienda era stata svolta senza garanzie e i dati personali erano stati diffusi in maniera non giustificata.

Conclusioni
Sicuramente, l’atteggiamento dei Tribunali a seguito dell’adozione di normative quali il Jobs Act permettono ai datori di lavoro di avere maggiore libertà in tema di controllo dei dipendenti. Ma è fondamentale sottolineare che questo sarà possibile sempre, solo e soltanto quando l’impresa si metta in condizioni strutturali e imprenditoriali tali da rendere il controllo giustificato, circoscritto e proporzionato.

L’articolo 23 del d.lgs n. 151/2015  modifica l’articolo 4 dello  Statuto dei Lavoratori,  per rimodulare la fattispecie integrante il divieto dei controlli a distanza, nella consapevolezza di dover tener conto, nell’attuale contesto produttivo, oltre agli impianti audiovisivi, anche degli altri strumenti «dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori» e di quelli «utilizzati dal lavoratore per rendere la prestazione lavorativa».

Nella sua formulazione originaria l’articolo 4  stabiliva un divieto assoluto di utilizzo di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Al secondo comma, invece, il divieto cadeva, soltanto a condizione che il datore di lavoro avesse osservato quanto ivi tassativamente previsto, in quanto era stabilito che gli impianti e le apparecchiature di controllo «che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori»  potevano essere installati previo accordo con le Rappresentanze Sindacali presenti in Azienda o, in caso di mancato accordo, previa autorizzazione della DTL territorialmente competente.

La Corte di Cassazione ha recentemente confermato che le garanzie poste in materia di divieto di controlli a distanza dal secondo comma dell’articolo 4 dello Statuto si applicano ai controlli difensivi, volti ad accertare comportamenti illeciti dei lavoratori «quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso», stabilendo che sono legittimi quei controlli diretti ad accertare comportamenti illeciti del lavoratore e lesivi del patrimonio aziendale.

Lo scopo della norma  è quello di adeguare, da un lato, l’esigenza afferente all’organizzazione del lavoro e della produzione posta in essere dal datore e, dall’altro, il diritto del prestatore a non vedere sottoposto ad un controllato a distanza lo svolgimento delle sue attività nel luogo di lavoro, «individuando una precisa procedura esecutiva e gli stessi soggetti partecipi»).

Per quanto riguarda l’installazione e l’utilizzo degli strumenti di cui al primo comma, è stata confermata una procedura di co gestione fra datore di lavoro e Rappresentanze Sindacali (RSU o RSA) – che trova luogo tramite un Accordo con le rappresentanze sindacali presenti nelle diverse unità produttive dell’azienda ai fini  dell’installazione e dell’utilizzo dell’impianto di controllo – preliminare rispetto all’installazione degli strumenti, il cui esito negativo porta il datore a richiedere l’autorizzazione amministrativa della DTL competente.
L’installazione e l’impiego di tali strumenti necessitano della esclusiva sussistenza di esigenze organizzative e produttive, di sicurezza  del  lavoro di tutela del patrimonio aziendale, costituendo, queste, i presupposti per la stipula preventiva dell’Accordo sindacale o dell’autorizzazione della DTL.

Inoltre, tutte le informazioni raccolte con i mezzi di controllo devono essere utilizzati nel rispetto della disciplina sulla privacy. Gli accordi sindacali con Rsu e Rsa restano invece indispensabili per gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori, che «possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale». In alternativa, se l'impresa ha più unità produttive in diverse province o regioni, l'accordo si fa con i sindacati comparativamente più rappresentativi sul piano nazionale.

In assenza dell'accordo serve l'autorizzazione della Direzione territoriale del lavoro o, nel secondo caso, del ministero del Lavoro.

Questa disposizione, come prosegue la nuova norma, tuttavia, «non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze». E i dati raccolti possono essere utilizzati «a tutti i fini connessi al rapporto di lavoro, a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli» sempre «nel rispetto del Codice sulla privacy.