Privacy: posta elettronica e smartphone in uso ai dipendenti
Il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale. È un comportamento illecito.
Pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, il datore di lavoro deve, in ogni caso, salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa.
La stessa, in tema di controlli a distanza, non consente di effettuare attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.
Questi i punti cardine della privacy.
Sul punto recenti pronunciamenti del Garante della Privacy sono occasione per ribadire le regole.
In sintesi:
– è onere del datore di lavoro informare* con precisione il lavoratore sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione e sul trattamento dei dati (su come può utilizzare gli strumenti aziendali e sui controlli a cui potrà andare incontro);
* è necessaria una attenta policy aziendale per informare i lavoratori sul corretto utilizzo dei mezzi a loro disposizione, evitando che si creino aspettative di confidenzialità rispetto ad alcuni strumenti.
– non è permesso configurare il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per un tempo non proporzionato allo scopo della raccolta;
– non è consentita alcuna procedura che permetta l’accesso al contenuto dei messaggi se, in linea con la policy aziendale, possano avere anche carattere privato.
Le linee guida sulla conservazione.
I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente (attraverso procedure di sovraregistrazione come, ad esempio, la cd. rotazione dei log file ) i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria.
In assenza di particolari esigenze tecniche o di sicurezza, la conservazione temporanea dei dati relativi all’uso degli strumenti elettronici deve essere giustificata da una finalità specifica e comprovata e limitata al tempo necessario –e predeterminato– a raggiungerla (v. art. 11, comma 1, lett. e), del Codice ).
Un eventuale prolungamento dei tempi di conservazione va valutato come eccezionale e può aver luogo solo in relazione:
– ad esigenze tecniche o di sicurezza del tutto particolari; – all’indispensabilità del dato rispetto all’esercizio o alla difesa di un diritto in sede giudiziaria; – all’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria.
In questi casi, il trattamento dei dati personali (tenendo conto, con riguardo ai dati sensibili, delle prescrizioni contenute nelle autorizzazioni generali nn. 1/2005 e 5/2005 adottate dal Garante) deve essere limitato alle sole informazioni indispensabili per perseguire finalità preventivamente determinate ed essere effettuato con logiche e forme di organizzazione strettamente correlate agli obblighi, compiti e finalità già esplicitati.
|
Oltre la policy
Un caso trattato vedeva l’azienda informare il dipendente su una prassi aziendale di trattamento dei dati, effettuato dalla società attraverso smartphone in uso ai dipendenti, che, in realtà, non è lecita.
La prevista facoltà per il titolare di accedere da remoto all’area ove sono archiviati i documenti creati nel corso dell’attività lavorativa e cancellarli, nonché la facoltà di accedere, raccogliere, conservare (senza individuare tempi di conservazione proporzionati allo scopo della raccolta), comunicare e cancellare le informazioni comunque presenti all’interno del dispositivo (dunque, in ipotesi, anche di natura privata), in occasione del verificarsi di eventi genericamente indicati ed in assenza della predisposizione di alcuna procedura di garanzia, non è conforme ai principi di liceità, necessità, pertinenza e non eccedenza dei trattamenti.
In caso di cessazione di rapporto di lavoro l’account con il nome dell’ex dipendente non può continuare ad esistere:
– l’indirizzo mail del dipendente cessato deve essere chiuso;
– per evitare di perdere comunicazioni aziendali, il datore di lavoro è tenuto ad informare i terzi della chiusura dell’indirizzo (può attivare sistemi automatici che informino i terzi e forniscano loro indirizzi alternativi a cui rivolgersi con riferimento all’attività professionale del datore di lavoro)*;
– non può essere disposto l’inoltro automatico dei messaggi che arrivano a tale indirizzo nella casella di posta di un altro dipendente ancora in servizio.
*in un provvedimento, un comportamento specifico censurato dal Garante con l’ammonimento che all’azienda è vietato mantenere attive le caselle e-mail fino a
sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere sarebbero state visionate non dai legittimi destinatari ma da altri soggetti.
Apparecchiature preordinate al controllo a distanza
Con riguardo al principio secondo cui occorre perseguire finalità determinate, esplicite e legittime, il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro.
Ma occorre rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica.
Il trattamento dei dati che ne consegue è illecito, a prescindere dall’illiceità dell’installazione stessa. Ciò, anche quando i singoli lavoratori ne siano consapevoli.
In particolare, non può ritenersi consentito il trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire l’attività di lavoratori.
É il caso, ad esempio:
– della lettura e della registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
– della riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
– della lettura e della registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
– dell’analisi occulta di computer portatili affidati in uso.
A parte eventuali responsabilità civili e penali, i dati trattati illecitamente non sono utilizzabili.
Norme e prassi
Linee guida del Garante per posta elettronica e internet (Gazzetta Ufficiale n. 58 del 10 marzo 2007)
Garante della Privacy, con provvedimento n. 547 del 22 dicembre 2016
Garante della Privacy, con provvedimento n. 547 del 22 dicembre 2016