Il Codice della privacy e lo Statuto dei lavoratori:
• non permettono l’uso da parte del datore di sistemi software che consentono, con modalità non percepibili dall’utente e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore, operazioni di monitoraggio, filtraggio, controllo e tracciatura costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica;
• permettono il controllo preterintenzionale dei lavoratori, nel rispetto dello Statuto dei lavoratori.
Controllo intenzionale
E’ vietata l’installazione di programmi informatici che abbiano la finalità esclusiva di monitorare la prestazione lavorativa.
Dunque, non si possono installare programmi informatici che permettono la tracciabilità della navigazione in internet, come la memorizzazione degli indirizzi IP nonché delle informazioni relative all’accesso ai servizi internet.
Controllo preterintenzionale
Il controllo preterintenzionale, ammesso, è quello attraverso l’utilizzo di programmi informatici con controllo incidentale della navigazione, per esigenze:
• organizzative e produttive;
• di sicurezza del lavoro;
• di tutela del patrimonio aziendale.
È necessario, prima di installare tali sistemi, cercare un accordo con le RSU/RSA*.
*se le RSA/RSU non sono presenti in azienda o se l’accordo sindacale non si riesca a trovare si può chiedere l’autorizzazione alla Direzione Territoriale del Lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni Territoriali del Lavoro, al Ministero del Lavoro e delle Politiche Sociali.
Le linee guida a garanzia degli interessati
I controlli da parte del datore di lavoro per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i principi di pertinenza e non eccedenza.
I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad internet e al traffico telematico, la cui conservazione non sia necessaria.
L’Autorità prescrive ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli.
Infatti, l’utilizzo di Internet da parte dei lavoratori può formare oggetto di analisi, profilazione e integrale ricostruzione mediante elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle informazioni. I servizi di posta elettronica sono parimenti suscettibili (anche attraverso la tenuta di log file di traffico e-mail e l’archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza.
Ma il Garante vieta:
• la lettura e la registrazione sistematica delle e-mail;
• il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori.
Per il principio di correttezza, l’eventuale trattamento dei dati deve essere ispirato ad un canone di trasparenza, in forza del quale è da escludere un controllo informatico all’insaputa dei lavoratori. Si dovrà informare comunque gli interessati, ai sensi dell’art. 13 del Codice della Privacy.
Si raccomanda, pertanto:
• l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica (da pubblicizzare adeguatamente nella rete interna o mediante affissioni sui luoghi di lavoro, con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, e da sottoporre ad aggiornamento periodico);
• l’adozione ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori.
Per la navigazione internet è opportuno ad esempio:
• individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
• utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.
Se tali misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità: prima si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole; poi, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.
Il datore di lavoro deve, comunque, specificare quali conseguenze, anche di tipo disciplinare, si riservi di trarre qualora constati che la posta elettronica o la rete internet sono utilizzate indebitamente.
Strumenti di lavoro
La nuova formulazione dell’art. 4 della Legge n. 300/1970 rende non necessario ricercare l’accordo sindacale o chiedere l’autorizzazione in caso di strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.
Non possono essere considerati strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, sistemi software che consentono, con modalità non percepibili dall’utente (c.d. in background ) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica.
Norme e prassi
Statuto dei lavoratori – Legge n. 300 del 20 maggio 1970
Codice della privacy – Decreto legislativo n. 196 del 30 giugno 2003
Garante per la privacy – Linee Guida per posta elettronica e internet del 2007
Garante per la privacy – Provvedimento n. 303 del 13 luglio 2016