Accesso ai dati dei dipendenti da parte dei datori di lavoro

Pubblicato sul blog di InnovatoriPA

Vi riporto il testo del mio articolo inserito nella newsletter dell’Associazione Italiana della Comunicazione Pubblica e Istituzionale, relativo all’accesso ai dati dei dipendenti da parte del datore di lavoro.

Il Garante della Privacy si è pronunciato nuovamente sull’accesso da parte di un’azienda ai dati personali di un dipendente contenuti su strumenti informatici aziendali. L’esito, coerente con una linea di condotta ribadita dallo stesso Garante a più riprese, permette di trarre conclusioni piuttosto interessanti.

Il Garante è intervenuto a seguito di un reclamo sporto da una dipendente, che aveva ricevuto dall’azienda per cui lavorava una contestazione disciplinare per indebito utilizzo degli strumenti aziendali messi a disposizione esclusivamente per attività di carattere lavorativo. Dal provvedimento n. 139 del 7 aprile 2011 (v. documento web 1812154) si possono ricavare le seguenti condizioni al contorno:
1)    L’azienda aveva effettuato dei controlli “accidentali” sui backup di dati prodotti dai dipendenti e residenti sul server tramite gli strumenti aziendali messi loro a disposizione dall’azienda stessa;
2)    Da tali controlli era emerso che la reclamante aveva effettivamente prodotto dei documenti che comprovavano lo svolgimento, nei normali orari di lavoro, di attività di consulenza svolte a vantaggio di terzi;
3)    Sul backup erano presenti altri documenti prodotti dalla reclamante relativi alla propria sfera personale (“prenotazioni alberghiere, foto dei […] bambini e di famiglia ed anche dati sensibili quali referti medici”), i quali non erano stati trattati dall’azienda durante le fasi di verifica;
4)    Presso l’azienda era presente un regolamento che vietava espressamente l’utilizzo “per scopi e motivi personali di tutta l’attrezzatura e strumentazione aziendale”;
5)    L’accesso ai dati è stato svolto senza un’adeguata informativa preventiva ed esplicita al personale;
6)    Nella più recente versione del regolamento aziendale si dichiara che il personale “sistemistico” potrà avere accesso “in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica, nonché effettuare verifiche “sui siti internet acceduti dagli utenti”.

Il Garante ha riconosciuto che i trattamenti svolti dall’azienda non erano conformi alle norme di legge. A ben vedere, gli errori compiuti sono stati diversi.
Per verificare l’improprio utilizzo delle risorse aziendali, l’azienda ha visionato i files all’interno delle cartelle, mentre per rilevare l’irregolarità del comportamento sarebbe stato sufficiente verificare l’esistenza di cartelle di natura personale, al massimo rimarcando la dimensione di tali cartelle. L’entrare nel merito dei contenuti è un errore piuttosto comune, come rilevato altre volte in passato dallo stesso Garante (es. provv 1712856 del 24 febbraio 2010, provv 1299082 del 18 maggio 2006).
Un altro errore piuttosto diffuso è l’opinione che la redazione di un regolamento aziendale sia il lasciapassare che garantirà all’azienda di poter disporre liberamente dei dati gestiti attraverso le risorse informatiche aziendali (es. posta elettronica, dati residenti sulle postazioni, log degli accesi ad internet). Non è così. Un regolamento disciplina l’utilizzo che gli utenti possono fare di tali risorse, ma i controlli e la verifica di eventuali irregolarità devono comunque sottostare alle norme relative alla protezione dei dati personali. In particolare,  le “Linee guida per posta elettronica e internet” del 1° Marzo 2007 spiegano chiaramente che i controlli possono essere svolti non indiscriminatamente ma solo a fronte di specifici motivi contingenti (es. minacce alla sicurezza che non si è riusciti a debellare) e a seguito di un’informativa preventiva agli utenti in relazione alle verifiche che verranno effettuate.
Per questi motivi, il Garante, oltre ad aver proibito all’azienda ulteriori trattamenti dei dati relativi alla reclamante, le ha imposto di conformare il contenuto del regolamento aziendale alle linee guida indicate precedentemente e al provvedimento del 2008 sugli amministratori di sistema.

Le indicazioni di buona condotta che si possono trarre da questo provvedimento sono le seguenti:
a)    redigere un regolamento di utilizzo delle risorse informatiche conforme alla normativa vigente in tema di protezione dei dati personali (in particolare le “Linee guida per posta elettronica e internet” del 1° marzo 2007 e il provvedimento del 27 novembre 2008, recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), con la consapevolezza che non può essere una dichiarazione di legge marziale;
b)    evitare quando possibile di attuare controlli sui dati dei dipendenti: si rischia di incappare in violazioni della loro privacy o, peggio ancora, dello statuto dei lavoratori (qualora il controllo consenta di misurare l’operato e le attività lavorative del dipendente). Il Garante consiglia sempre di attuare dei sistemi di blocco preventivo (come nel caso del filtraggio dei contenuti delle pagine internet) anziché procedere a successive attività sanzionatorie;
c)    se è necessario attuare un controllo su dati e informazioni residenti sulle risorse informatiche aziendali e derivanti da attività di dipendenti, assicurarsi prima di fornire loro un’adeguata informativa preventiva, in cui siano esplicitate le motivazioni che rendono necessario tale controllo e le modalità con cui verrà effettuato;
d)    in caso si riscontrino dei dati di carattere personale riguardanti i dipendenti, non entrare nel merito dei contenuti, ma limitarsi alla mera rilevazione dell’esistenza di tali dati (es. una cartella con un nome che lasci trapelare la privatezza delle informazioni che contiene) ed eventualmente verificarne le dimensioni in termini di spazio disco occupato.

Non importa se il dipendente ha compiuto un illecito o non ha rispettato le policy aziendali: un controllo (trattamento) eccedente le finalità e le modalità sopra descritte rappresenta una violazione dei diritti del dipendente, quindi qualsiasi inadempienza riscontrata potrebbe poi non essere sanzionabile perché le prove sono state reperite in maniera non conforme alle norme di legge.

Annunci

Pubblicato il 13 luglio 2011, in Nella Rete con tag , , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: