Lezione Informatica Giuridica Avanzata del 18/3/2011
1. Corre%o
u(lizzo
delle
risorse
informa(che
sul
luogo
di
lavoro
Avv.
Prof.
Pierluigi
Perri
–
Ca%edra
di
Informa(ca
Giuridica
Avanzata
Lezione
del
18/03/2011
2. Le
fon(
rilevan(
• Legisla(ve
– Legge
300/70
– D.Lgs.
196/03
• Giurisprudenziali
– Cass.
10
luglio
2009,
n.
16196
2
3. Il
potere
di
controllo
• Come
ricorda
la
Cassazione
(Sent.
16196/09
dep.
10
luglio
2009)
le
norme
poste
dagli
ar%.
2
e
3
della
legge
20
maggio
1970
n.
300,
a
tutela
della
libertà
e
dignità
del
lavoratore,
delimitano
la
sfera
d intervento
di
persone
preposte
dal
datore
di
lavoro
a
difesa
dei
suoi
interessi
[…]
ma
non
escludono
il
potere
dell imprenditore
ai
sensi
degli
ar%.
2086
e
2104
c.c.,
di
controllare
dire%amente
o
mediante
la
propria
organizzazione
gerarchica
o
anche
a%raverso
personale
esterno
l adempimento
delle
prestazioni
lavora(ve,
e
ciò
indipendentemente
dalle
modalità
del
controllo,
che
può
avvenire
anche
occultamente
senza
che
vi
os(no
[…]
il
divieto
di
cui
all art.
4
della
stessa
legge
n.
300
del
1970,
riferito
esclusivamente
all uso
di
apparecchiature
per
il
controllo
a
distanza .
4. I
termini
del
problema
/1
• Lo
Statuto
dei
lavoratori
prevede
in
termini
generali
ed
assolu(
un
divieto
di
u(lizzare
impian(
audiovisivi
e
altre
apparecchiature
o
tecnologie
per
finalità
di
controllo
a
distanza
dell'aVvità
dei
lavoratori
(art.
4,
L.
300/1970)
5. I
termini
del
problema
/2
• Tu%avia
il
medesimo
ar(colo
prevede
che,
qualora
determinate
tecnologie
di
controllo
a
distanza
siano
richieste
da
esigenze
organizza(ve
e
produVve
ovvero
dalla
sicurezza
del
lavoro
(c.d.
controllo
preterintenzionale),
queste
possano
essere
u(lizzate
previo
accordo
con
le
RSA
o
con
la
commissione
interna,
ovvero,
in
dife%o
di
accordo,
su
istanza
del
datore
di
lavoro,
con
provvedimento
dell'Ispe%orato
del
lavoro.
6. I
termini
del
problema
/3
• L'esigenza,
in
ul(ma
analisi,
è
quella
di
riuscire
a
conseguire
un
adeguato
bilanciamento
tra:
• le
legiVme
istanze
di
libertà,
autonomia
e
riservatezza
del
lavoratore
nello
svolgimento
delle
proprie
mansioni
• le
necessità
di
controllo
del
datore
di
lavoro
finalizzate
ad
un'efficiente
organizzazione
dell'aVvità
produVva
7. Tecnologie.
Controllo.
Rischi
• Come
incidono
le
tecnologie
tecnologie
informa(che
e
telema(che
su
tale
bilanciamento?
• Per
un
verso
esse
consentono
un
maggiore
controllo,
anche
indire%o,
da
parte
del
datore
di
lavoro,
sull'aVvità
svolta
da
dipenden(
e
collaboratori
• So%o
un
diverso
profilo,
d'altra
parte,
esse
espongono
a
rischi
sempre
maggiori
l'azienda
in
relazione
ad
u(lizzi
non
autorizza(,
illeci(
o
semplicemente
a
condo%e
impruden(
da
parte
del
lavoratore
8. Tentazioni
tecnologiche…
• Al
di
là
di
possibili
comportamen(
fraudolen(,
la
disponibilità
della
posta
ele%ronica
e,
magari,
di
un
collegamento
veloce
alla
Rete
possono
cos(tuire
per
dipenden(
e
personale
dell’azienda
una
forte
tentazione
a
prendersi
“una
pausa”
dal
lavoro
per
inviare,
ad
esempio,
un’e-‐mail
di
cara%ere
privato,
per
chiacchierare
con
qualche
amico
tramite
programmi
di
instant
messaging
o
per
navigare
sui
propri
si(
preferi(.
9. …e
rischi
connessi
• alcune
di
queste
aVvità,
oltre
una
certa
misura,
possono
distrarre
il
dipendente
dal
proprio
lavoro
a
scapito
della
produVvità
aziendale
e
della
qualità
stessa
del
lavoro
prestato
• altre,
ben
più
seriamente,
possono
comprome%ere
la
sicurezza
dei
sistemi
informa(ci
e
telema(ci
aziendali,
come
nel
caso
di
virus,
dialer
o
trojan
che
si
insinuino
in
tali
sistemi
a
causa
di
una
malaccorta
navigazione
su
si(
web
non
fida(
o
perché
veicola(
tramite
la
posta
ele%ronica
• altre,
ancora,
possono
integrare
comportamen(
illeci(
la
cui
responsabilità
può
coinvolgere
anche
il
datore
di
lavoro
10. Comportamen(
a
rischio
• u(lizzo
della
posta
ele%ronica
aziendale
o
di
altri
strumen(
(e.g.
programmi
di
file
sharing,
blog,
etc.)
per
scopi
personali
o
comunque
extralavora(vi
• installazione
non
autorizzata
di
sogware
• d o w n l o a d i n g
o
u p l o a d i n g
d i
c o n t e n u (
(potenzialmente)
illeci(
• navigazione
su
si(
estranei
all'aVvità
lavora(va
• diffusione
di
documen(
aziendali
riserva(
• etc.
11. I
rischi
per
l azienda
• I
rischi
per
l'azienda
sono
molteplici
e
si
possono
sostanzialmente
ricondurre
a
due
insiemi:
•
rischi
economici
– compromissione
della
sicurezza
aziendale
– perdita
(o
perdita
di
controllo)
sui
da(
– danni
ai
sistemi
informa(ci
e
telema(ci
– etc.
•
rischi
legali
– responsabilità
civile
(2049
c.c.)
– responsabilità
da
illecito
penale
– Responsabilità
ex
D.Lgs.
231/01
12. Il
conce%o
di
controllo
difensivo
• Secondo
la
Cassazione
è
lecita
l aVvità
di
controllo
del
datore
di
lavoro
quando
rientri
nei
c.d.
controlli
difensivi ,
ossia
quei
controlli
dire5
ad
accertare
comportamen6
illeci6
dei
lavoratori
quando
tali
comportamen6
riguardino
[…]
l esa;o
adempimento
delle
obbligazioni
discenden6
dal
rapporto
di
lavoro
e
non
la
tutela
di
beni
estranei
al
rapporto
stesso.
12
13. E
gli
altri
controlli?
• Secondo
l art.
4
legge
300/70
E'
vietato
l'uso
di
impian6
audiovisivi
e
di
altre
apparecchiature
per
finalità
di
controllo
a
distanza
dell'a5vità
dei
lavoratori
salvo
che
ques(
ul(mi
siano
richies6
da
esigenze
organizza6ve
e
produ5ve
ovvero
dalla
sicurezza
del
lavoro
nel
qual
caso
potranno
essere
installa(
soltanto
previo
accordo
con
le
rappresentanze
sindacali
aziendali,
oppure,
in
mancanza
di
queste,
con
la
commissione
interna.
In
dife;o
di
accordo,
su
istanza
del
datore
di
lavoro,
provvede
l'Ispe;orato
del
lavoro,
de;ando,
ove
occorra,
le
modalità
per
l'uso
di
tali
impian6.
13
14. La
posizione
del
Garante
privacy
• Nel
Provvedimento
denominato
“Linee
guida
del
Garante
per
posta
ele%ronica
e
internet”,
pubblicato
in
Gazze%a
Ufficiale
n.
58
del
10
marzo
2007,
si
è
formalizzata
l’esigenza
di
prescrivere
ai
datori
di
lavoro
alcune
misure,
necessarie
o
opportune,
per
conformare
alle
disposizioni
vigen(
il
tra%amento
di
da(
personali
effe%uato
per
verificare
il
corre%o
u(lizzo
nel
rapporto
di
lavoro
della
posta
ele%ronica
e
della
rete
Internet.
15. Pun(
essenziali
del
Provvedimento
•
Spe%a
ai
datori
di
lavoro
assicurare
la
funzionalità
e
il
corre%o
impiego
degli
strumen(
informa(ci
da
parte
dei
lavoratori,
definendone
le
modalità
d’uso
nell’organizzazione
dell’aVvità
lavora(va,
tenendo
conto
della
disciplina
in
tema
di
diriV
e
relazioni
sindacali;
•
Spe%a
sempre
ai
datori
di
lavoro
ado%are
idonee
misure
di
sicurezza
per
assicurare
la
disponibilità
e
l’integrità
di
sistemi
informa(vi
e
di
da(,
nonché
per
prevenire
u(lizzi
indebi(
che
possono
essere
fonte
di
responsabilità;
16. Pun(
essenziali
del
Provvedimento
/2
•
L’u(lizzo
di
Internet
da
parte
dei
lavoratori
può
formare
ogge%o
di
analisi,
profilazione
e
integrale
ricostruzione
della
navigazione
sul
Web.
I
servizi
di
posta
ele%ronica
sono
parimen(
susceVbili
di
controlli
che
possono
giungere
fino
alla
conoscenza
da
parte
del
datore
di
lavoro
del
contenuto
della
corrispondenza;
•
Le
informazioni
così
tra%ate
contengono
da(
personali
anche
sensibili
riguardan(
lavoratori
o
terzi,
iden(fica(
o
iden(ficabili;
•
Grava
sul
datore
di
lavoro
l’onere
di
indicare
in
ogni
caso,
chiaramente
e
in
modo
par(colareggiato,
quali
siano
le
modalità
di
u(lizzo
degli
strumen(
messi
a
disposizione
ritenute
corre%e
e
se,
in
che
misura
e
con
quali
modalità
vengano
effe%ua(
controlli.
17. L importanza
dell informa(va
•
All'onere
del
datore
di
lavoro
di
prefigurare
e
pubblicizzare
una
policy
interna
rispe%o
al
corre%o
uso
dei
mezzi
e
agli
eventuali
controlli,
si
affianca
il
dovere
di
informare,
comunque,
gli
interessa(.
•
Rispe%o
a
eventuali
controlli
gli
interessa(
hanno
infaV
il
diri%o
di
essere
informa(
preven(vamente,
e
in
modo
chiaro,
sui
tra%amen(
di
da(
che
possono
riguardarli.
•
Le
finalità
da
indicare
possono
essere
connesse
a
specifiche
esigenze
organizza(ve,
produVve
e
di
sicurezza
del
lavoro,
quando
comportano
un
tra%amento
lecito
di
da(
(art.
4,
secondo
comma,
l.
n.
300/1970
);
possono
anche
riguardare
l'esercizio
di
un
diri%o
in
sede
giudiziaria.
•
Devono
essere
tra
l'altro
indicate
le
principali
cara%eris(che
dei
tra%amen(,
nonché
il
sogge%o
o
l'unità
organizza(va
ai
quali
i
lavoratori
possono
rivolgersi
per
esercitare
i
propri
diriV.
18. Redazione
di
una
policy
•
A
seconda
dei
casi,
andrebbe
ad
esempio
specificato:
•
se
determina(
comportamen(
non
sono
tollera(
rispe%o
alla
navigazione
in
Internet
(ad
es.,
l’u(lizzo
di
sogware
peer-‐to-‐peer),
oppure
rela(vamente
all’archiviazione,
stampa
e
copia
di
file
nella
rete
interna;
•
in
quale
misura
è
consen(to
u(lizzare,
anche
per
ragioni
personali,
servizi
di
posta
ele%ronica
o
di
rete,
anche
qualora
ciò
possa
avvenire
solo
da
determinate
postazioni
di
lavoro
o
caselle
oppure
ricorrendo
a
sistemi
di
webmail,
indicandone
le
modalità
e
l’arco
temporale
di
u(lizzo
(ad
es.,
fuori
dall’orario
di
lavoro
o
durante
le
pause,
o
consentendone
un
uso
moderato
anche
durante
l’orario
lavora(vo);
•
quali
informazioni
sono
memorizzate
temporaneamente
e
chi,
anche
tra
gli
eventuali
soggeV
esterni,
vi
può
accedere
legiVmamente;
19. Redazione
di
una
policy
/2
•
se
e
quali
informazioni
sono
eventualmente
conservate
per
un
periodo
più
lungo,
in
forma
centralizzata
o
meno;
•
se,
e
in
quale
misura,
il
datore
di
lavoro
si
riserva
di
effe%uare
controlli
in
conformità
alla
legge,
anche
saltuari
o
occasionali,
indicando
le
ragioni
legiVme,
specifiche
e
non
generiche,
per
cui
verrebbero
effe%ua(
e
le
rela(ve
modalità,
precisando
anche
se,
in
caso
di
abusi
singoli
o
reitera(,
verranno
inoltra(
preven(vi
avvisi
colleVvi
o
individuali
ed
effe%ua(
controlli
nomina(vi
o
su
singoli
disposi(vi
e
postazioni;
•
quali
conseguenze,
anche
di
(po
disciplinare,
il
datore
di
lavoro
si
riserva
di
trarre
qualora
consta(
che
la
posta
ele%ronica
e
la
rete
Internet
sono
u(lizzate
indebitamente.
20. Esempio
A
seconda
dei
casi,
andrebbe
ad
esempio
specificato:
1. se
determina(
comportamen(
non
sono
tollera(
rispe%o
alla
navigazione
in
Internet
(ad
es.,
l u(lizzo
di
soFware
peer-‐to-‐peer),
oppure
rela(vamente
all archiviazione,
stampa
e
copia
di
file
nella
rete
interna;
2. in
quale
misura
è
consen(to
u(lizzare,
anche
per
ragioni
personali,
servizi
di
posta
ele%ronica
o
di
rete,
anche
qualora
ciò
possa
avvenire
solo
da
determinate
postazioni
di
lavoro
o
caselle
oppure
ricorrendo
a
sistemi
di
webmail,
indicandone
le
modalità
e
l arco
temporale
di
u(lizzo
(ad
es.,
fuori
dall orario
di
lavoro
o
durante
le
pause,
o
consentendone
un
uso
moderato
anche
durante
l orario
lavora(vo);
3. quali
informazioni
sono
memorizzate
temporaneamente
e
chi,
anche
tra
gli
eventuali
soggeV
esterni,
vi
può
accedere
legiVmamente;
20
21. 4. se
e
quali
informazioni
sono
eventualmente
conservate
per
un
periodo
più
lungo,
in
forma
centralizzata
o
meno;
5. se,
e
in
quale
misura,
il
datore
di
lavoro
si
riserva
di
effe%uare
controlli
in
conformità
alla
legge,
anche
saltuari
o
occasionali,
indicando
le
ragioni
legiVme,
specifiche
e
non
generiche,
per
cui
verrebbero
effe%ua(
e
le
rela(ve
modalità,
precisando
anche
se,
in
caso
di
abusi
singoli
o
reitera(,
verranno
inoltra(
preven(vi
avvisi
colleVvi
o
individuali
ed
effe%ua(
controlli
nomina(vi
o
su
singoli
disposi(vi
e
postazioni;
6. quali
conseguenze,
anche
di
(po
disciplinare,
il
datore
di
lavoro
si
riserva
di
trarre
qualora
consta(
che
la
posta
ele%ronica
e
la
rete
Internet
sono
u(lizzate
indebitamente.
21
22. Controlli
non
consen((
•
Le
linee
guida
del
Garante
individuano
alcuni
controlli
che
non
sono
consen((,
in
quanto
mediante
ques(
si
potrebbe
ricostruire
minuziosamente
l’aVvità
dei
dipenden(.
Ad
esempio:
•
le%ura
e
registrazione
sistema(ca
dei
messaggi
di
posta
ele%ronica
ovvero
dei
rela(vi
da(
esteriori,
al
di
là
di
quanto
tecnicamente
necessario
per
ges(re
il
servizio
e-‐mail;
•
riproduzione
ed
eventuale
memorizzazione
sistema(ca
degli
indirizzi
o
delle
pagine
web
visualizzate
dal
lavoratore;
•
le%ura
e
registrazione
dei
cara%eri
inseri(
tramite
la
tas(era
o
analogo
disposi(vo;
•
analisi
occulta
di
computer
porta(li
affida(
in
uso.
23. Limi(
nei
controlli
•
Secondo
la
disciplina
del
Codice
privacy,
un
controllo
è
lecito
solo
qualora
vengano
rispe%a(
i
principi
di
per(nenza
e
non
eccedenza.
•
Il
datore
di
lavoro
può,
tu%avia,
ado%are
eventuali
misure
che
consentano
la
verifica
di
comportamen(
anomali,
ma
solo
nel
caso
in
cui
un
evento
dannoso
o
una
situazione
di
pericolo
non
sia
stata
impedita
mediante
la
preven(va
adozione
di
accorgimen(
tecnici.
•
Deve
inoltre
essere
sempre
preferito
un
controllo
preliminare
su
da(
aggrega(,
riferi(
all’intera
stru%ura
lavora(va
o
a
sue
aree,
in
modo
da
preservare
la
riservatezza
del
singolo
pur
consentendo
lo
svolgimento
di
un’aVvità
di
controllo.
•
In
nessun
caso,
infine,
si
potranno
esercitare
controlli
prolunga(,
costan(
o
indiscrimina(.
24. Quanto
conservare
i
da(?
• Le
linee
guida
del
Garante
contengono
previsioni
anche
in
merito
alla
conservazione
indiscriminata
(ovvero:
per
un
tempo
indefinito)
delle
informazioni
rela(ve
ai
comportamen(
“ele%ronici”
dei
dipenden(,
ritenendola
illegiVma
e
lesiva
della
privacy.
• A
tal
fine,
i
sistemi
sogware
dovrebbero
essere
programma(
e
configura(
in
modo
da
cancellare
periodicamente
ed
automa(camente,
a%raverso
ad
esempio
procedure
di
sovrascri%ura
dei
file
di
log
(quei
file
che
tengono
il
diario
di
tu%e
le
aVvità
di
un
sistema
e
dei
suoi
uten(
e
servizi),
i
da(
personali
rela(vi
agli
accessi
ad
Internet
e
al
traffico
telema(co,
la
cui
conservazione
non
sia
necessaria.
• In
par(colare,
secondo
il
Garante,
in
assenza
di
par(colari
esigenze
tecniche
o
di
sicurezza,
la
conservazione
temporanea
dei
da(
rela(vi
all’uso
degli
strumen(
ele%ronici
dovrebbe
essere
gius(ficata
da
una
finalità
specifica
e
comprovata
e
limitata
al
tempo
necessario,
e
predeterminato,
a
raggiungerla.