di Pierluigi Perri – perri@ictlex.com – ICTLEX BRIEFS 1-06
Il concetto, in sintesi
- Le risorse di comunicazione aziendali sono concesse in mero uso al dipendente dal datore di lavoro, che quindi ha il diritto di controllare l’uso che viene fatto;
- I controlli diretti a proteggere l’azienda e a individuare abusi sono – secondo la Corte di cassazione – del tutto leciti;
- Il controllo sull’uso delle risorse internet è facilmente strumentalizzabile sia dal datore di lavoro, sia dal dipendente;
- Per prevenire contenzioso strumentale è opportuno adottare una procedura che arrivi all’identificazione fisica dell’autore dell’illecito, solo dopo avere eseguito analisi di traffico quantitative (cioè anonime) sulla base delle quali i dipendenti, nella loro generalità, sono stati invitati a “rientrare nei ranghi”;
- È comunque obbligatorio fornire una informativa corretta, per evitare il ricorso al Garante per i dati personali.
Il concetto, in teoria
Le modalità di esecuzione dei controlli attuabili dal datore di lavoro sulle attività internet dei propri dipendenti sono regolate dalla L. 300/70 (Statuto dei lavoratori), dal DLGV 196/03 (Codice in materia di dati personali) e – in giurisprudenza – dalla sentenza della Corte di Cassazione n. 4746/2002.
La complessità delle variabili in gioco – tutela dei diritti dei lavoratori, protezione dei beni aziendali, adempimento alle prescrizioni in materia di sicurezza sul lavoro – richiede una valutazione da compiersi caso per caso.
L’art. 4 della legge 300/70 stabilisce: È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori.
Il comma successivo attenua la rigidità di quanto appena enunciato, prevedendo che gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.
Un primo punto sul quale porre attenzione per verificare la liceità o meno dei controlli difensivi del datore di lavoro, quindi, poggia sulla valutazione delle “esigenze organizzative e produttive”, restando comunque necessario il dialogo con le rappresentanze sindacali aziendali.
Dal punto di vista del trattamento dei dati personali, è innanzi tutto necessario capire se il datore di lavoro debba richiedere il consenso ai dipendenti per poterne controllare le attività internet.
Se l’obiettivo dei controlli – cioè la finalità del trattamento – è solo e solamente la gestione della sicurezza, allora il consenso al trattamento dei dati non è richiesto perché:
– è pacifico che la sicurezza di una rete dipende essenzialmente dalla possibilità di sapere da “cosa” è attraversata;
– il monitoraggio del traffico di rete è una misura di sicurezza;
– pertanto – pur nel rispetto delle garanzie – il monitoraggio di una rete è lecito se non addirittura obbligatorio, in quanto “misura di sicurezza”.
La correttezza di questo approccio è confermata dalla sentenza della Corte di Cassazione 3 aprile 2002 n. 4746, che addirittura pone al di fuori dell’ambito di applicazione dell’art. 4 della legge 300/70 i controlli difensivi, intesi quali controlli diretti ad accertare condotte illecite del lavoratore.
Dunque, se l’obiettivo è “scovare” un dipendente infedele – e, in definitiva, proteggere l’azienda – il datore di lavoro può indagare anche senza rispettare le prescrizioni dello Statuto dei lavoratori e, almeno parzialmente, del Codice dei dati personali. E questo anche se i controlli in questione dovessero riguardare l’internet.
Anche il Garante per i dati personali si è allineato a questa impostazione con la decisione 2 febbraio 2006.
In questa decisione l’Autorità ha stabilito la liceità dei controlli sull’uso dei computer aziendali da parte del datore di lavoro, a condizione che i dipendenti siano stati preventivamente informati dell’esistenza, tipologia e modalità esecutive della sorveglianza.
Il concetto, in pratica
Una volta fornita una informativa preventiva e dettagliata, la procedura di controllo dell’uso delle risorse di comunicazione può essere strutturata in sei fasi:
- Fase 1: analisi aggregata (cioè anonima) del traffico di rete e rilevazione della tipologia di utilizzo (es: 10% email, 30% file audio, 40% accesso a risorse estranee alle mansioni);
- Fase 2: emanazione di una circolare con la quale si invitano i dipendenti a “rientrare nei ranghi”, annunciando un ulteriore controllo;
- Fase 3: ripetizione del controllo, analizzando le tipologie di impiego da parte delle singole strutture aziendali e verifica dei risultati;
- Fase 4: emanazione, se i risultati sono ancora non accettabili, di una ulteriore circolare che annuncia controlli personalizzati;
- Fase 5: nuova analisi anonima per verificare la situazione;
- Fase 6: controllo individualizzato in caso di permanere di una situazione non conforme.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte