Menu
+
Chiudi
online-privacy-surveillance1

Ecco perchè il datore di lavoro non può (sempre) spiare le tue email nonostante il Jobs Act

Anche dopo la pronuncia della Corte di Strasburgo il dipendente può invocare il rispetto della privacy

Avvocato digitale, è commissario d’esame per Privacy Officer per conto di TUV e Consulente Privacy certificata. Digital Champion per il Comune di Camogli, in passato è stata senior associate di due grandi studi legali internazionali: Gianni, Origoni & Partners e Baker & McKenzie a Milano, dove ha coordinato i dipartimenti di Diritto della Privacy nell’ambito di Information Technology. Si occupa di Privacy dal 1997 e di Diritto dell’informatica dal 2003. Prof A.C. all’università Ca’ Foscari a Venezia dal 2007, è docente in Master Universitari, Seminari e Corsi in tutta Italia. Relatrice e moderatrice in materia di Diritto dell’informatica, privacy e cybercrime. È autrice per testate online e offline. In precedenza consulente in legal banking e Diritto finanziario per l’Associazione Nazionale di categoria Assoreti. Ha pubblicato con UTET, CEDAM, Fag, Ipsoa, Halley, Edizioni Tecna.

Il 12 gennaio 2016 la Corte europea dei diritti umani ha deciso la liceità del licenziamento in seguito al ricorso di un ingegnere romeno. Lo stesso veniva licenziato per inadempimento contrattuale, provato anche dall’utilizzo per fini personali, in orario di lavoro, della mail aziendale.

privacy

Credits: www.triridemtb.com

Più precisamente si trattava di un utilizzo, che risale al 2007, dello Yahoo Messenger aziendale, per scopi personali e per il quale il dipendente venne licenziato.

Secondo il Presidente dell’Autorità Garante per la Protezione dei dati personali Antonello Soro, che si è espresso sulla vicenda con un articolo sull’Huffington Post datato 13 gennaio 2016 e riportato sul sito dell’autorità stessa con la pronuncia,

la Corte si è limitata a ritenere non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali,

Equilibrio affermato dalla giurisdizione romena e non la completa liceità dei controlli delle mail da parte del datore di lavoro (come invece si legge su articoli di stampa sulla vicenda).

E questo perché:

1. l’azienda aveva informato i dipendenti delle condizioni d’uso della mail aziendale, che non ne consentivano l’utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l’aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;

2. il monitoraggio delle mail è stato limitato nel tempo e nell’oggetto, nonché strettamente proporzionato allo scopo di provare l’inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;

3. l’accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni (come da contratto avrebbe dovuto essere);

4. l’identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;

5. l’azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore; il contenuto delle comunicazioni non è stato oggetto di sindacato da parte datoriale nel giudizio, ma soltanto il carattere personale delle mail inviate nell’orario di lavoro, con conseguente riduzione della produttività del dipendente;

6. il dipendente non ha motivato la ragione dell’utilizzo della mail aziendale per fini personali.

La Corte ha dunque riaffermato, nel caso concreto, che

i controlli datoriali sull’attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell’adempimento contrattuale.

Essi devono essere inoltre limitati nel tempo e nell’oggetto; mirati (dunque non massivi) e fondati su presupposti (quali in particolare l’inefficienza dell’attività lavorativa del dipendente) tali da legittimarne l’esecuzione. Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.

Le leggi europee e quella italiana sulla privacy

La valutazione di cui sopra è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile scorso dallo stesso Consiglio d’Europa, che in particolare auspica la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici; l’assoluta residualità dei monitoraggi, con appositi sistemi informativi, sull’attività e il comportamento dei lavoratori in quanto tale. Ed è in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007, che prevedono obblighi per il datore di lavoro di informare i lavoratori delle condizioni di utilizzo della mail aziendale (e anche della stessa rete), dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.

Principi – sempre secondo il Presidente Soro – che restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act

E che valgono anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa (cioè quella dell’accordo sindacale o autorizzazione ministeriale) restano comunque soggetti alla disciplina del Codice privacy. E, in particolare, ai principi di necessità, finalità, legittimità e correttezza, proporzionalità e non eccedenza del trattamento, nonché all’obbligo di previa informativa del lavoratore e al divieto di profilazione, ribaditi proprio dalla Corte europea dei diritti umani, con la sentenza del 12 gennaio.

L’Autorità ha avuto modo di chiarire che sarà proprio il rispetto dei principi del Codice privacy il principale argine a un utilizzo pervasivo dei controlli sul lavoro.

Di conseguenza, anche dopo il Jobs Act, i controlli datoriali in Italia devono essere improntati al principio di gradualità nella loro ampiezza e tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file.

non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore,

E neppure la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

In questa prospettiva, continua il Garante, assai utile può essere l’adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto. Ed è significativo che tali soluzioni siano valorizzate dal nuovo Regolamento Ue sulla protezione dati sul quale ho già scritto numerosi articoli, che delinea il nuovo quadro giuridico europeo in una materia, come questa, su cui si giocano le sfide più importanti per le nostre democrazie.

Le novità introdotte dal Jobs Act

Sul tema voglio ricordare che sono ormai passati tre mesi da quando è stata pubblicata in Gazzetta Ufficiale l’attesa modifica, a cui si riferiva il Presidente Soro, nell’ambito del Jobs Act, del vecchio art. 4 dello Statuto dei Lavoratori (Legge 300 del 1970), concernente il controllo a distanza.
Una modifica intervenuta mediante l’art. 23 del Decreto Legislativo 151/2015 dal titolo gli “Impianti audiovisivi e altri strumenti di controllo” che ha stravolto dopo 45 anni, l’art. 4 dello Statuto dei lavoratori al fine di adeguare la precedente normativa all’evoluzione tecnologica, la quale, nonostante si riferisse agli impianti audiovisivi e ad un ampio concetto di apparecchiature (ora superato da un più moderno “strumenti”) si applicava anche agli attuali dispositivi, come pc, smartphone, tablet e gps, in uso ormai presso tutti i datori di lavoro.

Con il nuovo articolo 4 invece scompare il divieto assoluto di controllo a distanza con il quale si impediva in concreto l’installazione di apparecchiature preordinate al controllo dell’attività lavorativa.

Ora il divieto è sfumato. Il controllo a distanza è possibile purchè non sia lo scopo principe dell’installazione dei dispositivi. Gli scopi devono essere quelli organizzativi, produttivi e di sicurezza sul lavoro che c’erano anche prima, al comma due, del vecchio art. 4 che permetteva un controllo a distanza solo eventuale e incidentale.

La prima grande novità nei controlli a distanza

Si aggiunge, tra gli scopi, la tutela del patrimonio aziendale (come ad esempio la videosorveglianza per impedire furti o altri illeciti). Anche oggi rimangono gli obblighi di:

  1. informare i lavoratori (con un disciplinare interno ai sensi del Provvedimento del Garante del 1 marzo 2007, visto l’espresso richiamo al Codice Privacy, cioè il d. lgs 196/2003)
  2. accordo sindacale preventivo all’installazione o autorizzazione del Ministero del Lavoro.

La seconda grande novità nei controlli a distanza

I “controlli sugli strumenti utilizzati dal lavoratore per rendere l’attività lavorativa” (quali i pc, tablet, gps, smartphone, badge o altri controlli accessi e telefoni aziendali), sono ammessi senza l’accordo sindacale o l’autorizzazione ministeriale.

La terza grande novità nei controlli a distanza

Si precisa che le informazioni raccolte sia ai sensi del comma 1 (previo accordo sindacale o autorizzazione e relativi, per esclusione, a videosorveglianza e altri strumenti che non servano a rendere la prestazione lavorativa) sia ai sensi del comma 2 (quando si tratti di strumenti utilizzati dal lavoratore per rendere l’attività lavorativa e quindi senza procedura sindacale o autorizzatoria) possono essere usate per qualsiasi scopo connesso al rapporto di lavoro e quindi anche per i procedimenti disciplinari, compreso il licenziamento.

Ricapitolando…

A tale riguardo si evidenzia che prima di questo nuovo art. 4, tali informazioni, di default in Italia non erano utilizzabili per il licenziamento, ad esempio quando nell’accordo sindacale si stabilisse espressamente la non utilizzabilità.

In conclusione, riassumendo, il nuovo art. 4 permette il controllo a distanza (incidentale) con conseguente uso dei dati per tutti i fini connessi al rapporto di lavoro, (già contestato dal Garante perla protezione di dati personali) e quindi a fini anche disciplinari SENZA ACCORDO, qualora gli strumenti siano quelli utilizzati dal lavoratore per rendere l’attività lavorativa e ci sia il Disciplinare Interno elaborato ai sensi del Codice Privacy e il controllo NON sia sistematico.

Diversamente, qualora si tratti di dati relativi a videosorveglianza, cioè dati raccolti mediante dispositivi installati più per esigenze organizzative o di tutela del patrimonio aziendale che necessitano di procedura concertativa, l’uso dei dati, anche a fini disciplinari è permesso se espressamente consentito (o non oggetto di accordo nel qual caso prevale la legge) in presenza di solo Disciplinare Interno elaborato ai sensi del Codice Privacy.

Altri articoli di: Monica Gobbato

Monica Gobbato
Tutto su Monica

Potrebbero interessarti anche

in by Monica
+
+
Impostazioni Articolo
Dimensione dei caratteri
aA
aA
aA
Sfondo:
Giorno
Notte
Testo:
Moderno
Classico
Alta leggibilità
ok