Controlli a distanza su computer e email:
La riforma dell’art. 4 dello Statuto dei Lavoratori ha modificato la normativa sui controlli a distanza su computer e email dei lavoratori e pertanto si pensa alla introduzione di un codice di condotta per i dipendenti dedicato proprio all’utilizzo della rete e delle email.
È questo l’argomento trattato da un articolo pubblicato oggi (16.11.2015) sul Sole 24 Ore (Firma: Giampiero Falasca; Titolo: “Su internet l’azienda dà le regole”) che vi proponiamo.
Ecco l’articolo.
Con la riforma dell’articolo 4 dello Statuto dei lavoratori, le aziende si stanno interrogando sull’opportunità di rivedere le policy applicabili ai controlli sulle email e sul computer dei dipendenti.
Il Jobs act non sembra aver introdotto stravolgimenti su questa materia, perché la nuova normativa regola solo il momento dell’installazione degli impianti di controllo, mentre non tocca il principio – sancito dal Codice della privacy – secondo il quale le indagini fatte sulla posta elettronica e sull’uso di internet sono lecite solo se è stato preventivamente adottato e diffuso un codice disciplinare interno ad hoc, tramite il quale sono portate a conoscenza dei lavoratori le regole aziendali.
Le regole interne
Il codice di condotta – che dovrebbe essere affisso con le modalità previste dall’articolo 7 dello Statuto dei lavoratori o con strumenti equivalenti – serve a far venire meno l’aspettativa di segretezza della email aziendale e di internet, e a chiarire che l’utilizzo di questi strumenti deve essere strettamente funzionale all’esecuzione della prestazione di lavoro.
Il codice di condotta deve, in particolare, specificare i seguenti aspetti:
l’uso che i lavoratori possono fare del computer aziendale in loro dotazione;
i limiti entro i quali è consentito o tollerato un uso privato del computer in dotazione;
i limiti di utilizzo da parte del dipendente della posta aziendale, e in particolare la possibilità o meno di un suo utilizzo per scopi privati;
i siti internet la cui consultazione è vietata, perché sono considerati non correlati con la prestazione lavorativa;
le conseguenze disciplinari applicabili in caso di uso contrario alla policy interna della posta elettronica e di internet.
L’informativa
La diffusione del codice di condotta non basta a legittimare i controlli: il datore di lavoro deve rispettare l’ulteriore obbligo, previsto dall’articolo 13 del Codice della privacy, di informare i lavoratori sulle finalità e sulle modalità con le quali i loro dati saranno trattati (si veda l’articolo in basso).
L’informativa costituisce la condizione di legittimità per poter raccogliere e trattare i dati personali dei dipendenti tramite strumenti telematici. La centralità di questo documento è stata rafforzata dalla nuova stesura dell’articolo 4 dello Statuto dei lavoratori, che subordina l’utilizzabilità delle informazioni raccolte alla preventiva consegna dell’informativa.
I limiti ai controlli
Anche dopo aver compiuto questi adempimenti, il datore di lavoro non può effettuare controlli indiscriminati sulle email aziendali e sull’uso di internet: i controlli possono, infatti, essere svolti solo se sono giustificati da una finalità lecita, quale ad esempio la tutela di un diritto esercitabile in via giudiziaria (ad esempio la repressione di una condotta illecita del dipendente). Inoltre, non possono essere effettuati controlli prolungati, costanti o indiscriminati; devono essere preferiti, quando possibile, controlli anonimi e su dati aggregati, e le indagini devono essere circoscritte a specifiche aree di lavoro. Infine, devono essere cancellati periodicamente e automaticamente i dati relativi agli accessi a Internet e al traffico telematico.
Il Garante della privacy ha reso attuali questi concetti generali tramite diverse prescrizioni concrete, con le quali sono state individuale le forme di controllo che sono ammissibili e quelle che invece non possono essere svolte.
Sono state definite illecite la registrazione massiva di tutte le email in uscita, il monitoraggio costante dei siti internet visitati o la copia di tutti i file salvati dal dipendente tramite la porta Usb: queste attività possono essere svolte solo in presenza di motivi specifici e gli accertamenti non devono essere sistematici, indiscriminati e preventivi.
La violazione di questi criteri ha conseguenze importanti: oltre ai risvolti penali, il datore di lavoro non può legittimamente usare le informazioni raccolte in violazione delle regole.
