Conoscere la privacy: il controllo che può esercitare il datore di lavoro

Il tema della privacy in ambito lavorativo è tanto importante quanto delicato.
L’avvento della tecnologia digitale ha portato una trasformazione radicale, una vera e propria “rivoluzione digitale” alla pari di ciò che fece la rivoluzione industriale nell’800.
La tecnologia digitale, ha inoltre costretto il legislatore a continui e non semplici, interventi di aggiornamento sulle norme esistenti.
Nel contesto lavorativo, vi sono due contrapposti diritti meritevoli di tutela:
– Il diritto del datore di lavoro al controllo del corretto esercizio della prestazione lavorativa e della tutela dell’immagine aziendale;
– Il diritto del lavoratore alla sua riservatezza.
La linea di confine tra le informazioni riguardanti l’attività lavorativa e la sfera personale e privata del lavoratore (e di terzi), è tracciata con difficoltà.
La gestione del rapporto lavorativo, infatti, risulta da sempre particolarmente delicata.
Il quadro normativo di riferimento è ampio, e la Costituzione indica il principio generale che fa da guida in ambito economico, secondo cui l’iniziativa economica, sia pubblica che privata, è libera, purché siano rispettate la libertà e la dignità umana.
In termini di protezione dei dati, bisogna prendere in considerazione le principali fonti normative in ambito di trattamento dati personali, ovvero il Regolamento Europeo 2016/679 GDPR e il Codice Privacy 196/2003 novellato dal d.lgs 101/2018.
I principi che il datore di lavoro deve rispettare nel trattamento dei dati dei lavoratori:
– liceità. Il trattamento non deve essere contrario a disposizioni di legge;
– correttezza. Il trattamento deve perseguire uno scopo determinato, esplicito e legittimo ed i dati devono essere trattati in modalità compatibile con tale finalità;
– trasparenza. Devono essere chiari ed espliciti gli scopi e le modalità di trattamento ed è necessario comunicare queste informazioni in modo comprensibile e facilmente accessibile;
– proporzionalità. Il trattamento deve essere proporzionato allo scopo che si intende raggiungere (vedi anche i principi di privacy by design e privacy by default);
– sicurezza. I trattamenti devono essere effettuati con modalità e strumenti adeguati onde non mettere in pericolo i diritti e le libertà dell’interessato.
All’interno del regolamento 2016/679 è contenuto un articolo che fa espresso riferimento al trattamento dati nell’ambito dei rapporti di lavoro.
L’art. 88, infatti, pone una riserva di legge in capo agli Stati membri, i quali possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà, con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. L’articolo, al secondo comma, indica quali sono i diritti che intende tutelare, e cioè: la dignità umana, gli interessi legittimi e i diritti fondamentali degli interessati, in particolare per quanto concerne la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale che svolge un’attività economica comune, ed i sistemi di monitoraggio sul posto di lavoro.
Ma analizziamo nel dettaglio operativo quale sia uno tra gli elementi particolarmente interessati da quest’azione legislativa.
I pc, i tablet ed i cellulari, sono ormai necessari per poter accedere alla rete internet e lavorare ovunque risulti più comodo, non limitando la vita lavorativa esclusivamente al classico ufficio.
Il datore di lavoro, spesso, mette a disposizione del lavoratore, un indirizzo di posta elettronica personale del dipendente. Tutti questi utili strumenti, benché facilitino e migliorino molto la vita del lavoratore, possono trasformarsi in strumenti di controllo dell’attività lavorativa del dipendente e, potenzialmente, invadere la sfera privata della persona.
In base ai principi di correttezza e trasparenza, il datore di lavoro deve indicare in modo chiaro quali sono le modalità di utilizzo degli strumenti messi a disposizione del lavoratore, e in che misura e con quali modalità vengono effettuati i controlli.
Un disciplinare interno dovrebbe essere adottato e pubblicizzato adeguatamente.
Le linee guida in materia di posta elettronica e internet pubblicate dal Garante, dovrebbe, ad esempio, essere specificato:
– se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di filemusicali), oppure alla tenuta di file nella rete interna;
– in quale misura è consentito utilizzare, anche per ragioni personali, servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle, oppure ricorrendo a sistemi di webmail, indicandone le modalità e l´arco temporale di utilizzo (ad es., fuori dall´orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
– quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all´esterno) vi può accedere legittimamente;
– se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log);
– se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime, specifiche e non generiche, per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema), e le relative modalità (precisando se, in caso di abusi singoli o reiterati, verranno inoltrati preventivi avvisi collettivi o individuali, ed effettuati controlli nominativi, o su singoli dispositivi e postazioni);
– quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di adottare qualora constati che la posta elettronica e la rete Internet fossero utilizzate indebitamente;
– le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell´attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all´attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
– se sono utilizzabili modalità di uso personale di mezzi, con pagamento o fatturazione a carico dell´interessato;
– quali misure sono adottate per particolari realtà lavorative, nelle quali debba essere rispettato l´eventuale segreto professionale cui siano tenute specifiche figure professionali;
– le prescrizioni interne sulla sicurezza dei dati e dei sistemi.
Sarebbe opportuno, inoltre, individuare a quali lavoratori è accordato l’utilizzo della posta elettronica e l’accesso a internet.
E’ consigliabile inoltre individuare le categorie di siti ritenuti correlati o non correlati con la prestazione lavorativa, o l’utilizzo di filtri che prevengano determinate operazioni, il trattamento di dati in forma anonima tale da evitare l’identificazione degli utenti, la conservazione dei dati per il tempo strettamente necessario al perseguimento delle specifiche finalità.
Il contenuto dei messaggi di posta elettronica, degli allegati e dei file, sono protetti da garanzie di segretezza tutelati, anche a livello costituzionale, attraverso gli artt. 2 e 15 della costituzione.
Nell’ambito lavorativo, non è semplice qualificare l’utilizzo della posta elettronica da parte del lavoratore.
In questo contesto è intervenuta la Corte di Cassazione con la sentenza n. 13057 del 31 marzo 2016 stabilendo che, giacché l’account di posta elettronica fornito al dipendente è protetto da password e quindi privato, l’accesso indiscriminato e illimitato al contenuto della casella da parte del superiore rappresenti reato ex art. 615 c.p., e cioè “accesso abusivo ad un sistema informatico o telematico”, con la conseguenza che ogni accesso abusivo rappresenta il presupposto per la contestazione del reato di “interferenze illecite nella vita privata”.
Ciò non significa che il datore di lavoro non possa in nessun caso svolgere un controllo nei confronti delle mail inviate e ricevute dal dipendente. Come stabilito anche dalla Corte Europea , il datore di lavoro può effettuare dei controlli a patto che il lavoratore sia informato di tale possibilità e delle modalità con le quali verranno effettuati.
In ultimo è tornato sul tema il Garante della privacy nel 2018 , stabilendo che, in assenza di idonee informazioni ex art. 13 GDPR,con particolare riferimento ai possibili controlli, alle tempistiche di conservazione e alle finalità di trattamento, non è possibile operare un accesso illimitato e massivo dei messaggi inviati e ricevuti dai dipendenti. Al fine quindi di poter operare un controllo per determinate e specifiche finalità, quale può essere ad esempio l’esercizio di un diritto in sede giudiziaria, il Titolare dovrà necessariamente informare gli interessati preventivamente, come prescritto dall’art. 13 del GDPR, con riferimento alla modalità con cui verrà effettuato il controllo ed alle finalità. È altrettanto importante indicare i tempi di conservazione delle mail sui server, soprattutto se essi sono custoditi dall’azienda titolare del trattamento. Nel caso in cui detentore del server sia un Responsabile esterno, le modalità di trattamento dovranno essere definite nel contratto tra il Titolare ed il Responsabile.

Scarica la sentenza della Cassazione n. 13057 del 2016