PRIVACY E MONITORAGGIO DEGLI ACCESSI AD INTERNET
(16/10/2006)
Andrea Sitzia - Cortellazzo & Soatto Area Legale (Articolo estratto da "C&S informa n.6 -2006").
Il datore di lavoro può disporre, oggi, di molte forme di vigilanza e controllo, ciascuna delle quali presenta specifici problemi di carattere pratico-giuridico.
Le forme più attuali di vigilanza, in ordine alle quali si impone una riflessione sulle problematiche coinvolte dall’interazione della normativa sulla privacy e dalla legislazione giuslavoristica in tema di potere di controllo, sono, indubbiamente, il controllo della posta elettronica e la sorveglianza sull’accesso e navigazione in Internet.
Il punto centrale della complessa tematica, sotto il profilo squisitamente giuslavoristico, concerne l’applicabilità o no dell’art. 4 St. lav. ai controlli tecnologici.
L’art. 4 St. lav. individua, a dire il vero, due differenti fattispecie. Il primo comma, infatti, prevede un divieto assoluto ed inderogabile, con assistito da sanzione penale (art. 38 St. lav.), di installazione ed uso di impianti audiovisivi e di altre apparecchiature esclusivamente destinate al controllo dell’attività dei lavoratori, mentre il secondo contempla un divieto flessibile, nel senso che consente espressamente, a determinate condizioni, l’installazione di apparecchiature di controllo e di impianti “che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro”, anche quando possa derivarne – al di là delle intenzioni del datore di lavoro – una possibilità di controllo a distanza dell’attività dei lavoratori.
In questo caso, definito di “controllo preterintenzionale”, per differenziarlo da quello intenzionale di cui al primo comma, il requisito indispensabile per la legittimità dell’installazione, oltre alle indicate esigenze aziendali, è che l’imprenditore raggiunga un accordo con le rappresentanze sindacali aziendali costituite nell’unità produttiva interessata oppure, in difetto di accordo, ottenga l’autorizzazione del Servizio ispettivo della Direzione provinciale del lavoro competente per territorio.
Il problema dell’operatività dell’art. 4 St. lav. nel nuovo contesto tecnologico è di estrema importanza, avendo un’immediata ricaduta sul piano pratico-operativo: sul piano processuale civilistico è stata infatti ritenuta inutilizzabile, sia a fini disciplinari che a fini risarcitori, la prova di eventuali inadempimenti del lavoratore raccolta in violazione del divieto in esame.
Sul punto non si è ancora formata una ricostruzione unitaria, parendo la dottrina e la giurisprudenza attestate su posizioni contrastanti.
La dottrina maggioritaria ritiene che per la legislazione italiana gli strumenti che consentono il monitoraggio delle e mail così come degli accessi a Internet siano in primo luogo strumenti di controllo a distanza, consentendo al datore di lavoro di controllare e ricostruire l’attività dei lavoratori, potremmo dire in modo nemmeno troppo metaforico, minuto per minuto; a fronte di tale premessa si sostiene che i controlli tecnologici andrebbero attivati rispettando la procedura codeterminativa (accordo con le r.s.a. o autorizzazione amministrativa) di cui all’art. 4 St. lav.
Rimane allo stato minoritaria la pur autorevole dottrina di segno opposto, secondo cui l’art. 4 St. lav. è una norma dettata in riferimento a sistemi di controllo estrinseci ed eventuali rispetto alla prestazione di lavoro, con conseguente inapplicabilità alla strumentazione informatica e telematica, essendo quest’ultima, prima ancora che sistema di controllo della prestazione, uno strumento essenziale di produzione.
L’Autorità garante per la protezione dei dati personali è intervenuta sulla questione con provvedimento del 2.2.2006, accogliendo il ricorso presentato da un ex dipendente di una società che chiedeva all’Autorità di vietare a quest’ultima l’uso, anche a fini processuali, dei dati relativi alla navigazione in Internet compiuta dal dipendente stesso nel periodo in cui prestava la propria attività lavorativa presso tale società.
La fattispecie esaminata dal Garante nasce dalla contestazione da parte di un ex dipendente di una società dell’uso da parte della società stessa di dati sugli accessi ad internet effettuati nel corso del rapporto di lavoro; in base a tali dati la società aveva promosso nei confronti del dipendente un procedimento disciplinare conclusosi con il suo licenziamento. In particolare, la rilevazione dei collegamenti del lavoratore, dal proprio computer aziendale, a siti internet estranei alla sua prestazione, è stata posta a fondamento (non esclusivo) del suo licenziamento.
In sintesi il Garante ha affermato che:
• l’accertamento della navigazione, da parte del lavoratore, nella rete aziendale, mediante il computer assegnatogli dall’impresa, implica un trattamento di dati personali;
• poiché, per l’esercizio della sua prestazione lavorativa, il dipendente non aveva bisogno della rete internet, l’azienda avrebbe potuto limitare la propria attività ispettiva all’accertamento della circostanza che il dipendente aveva utilizzato la rete, senza indagare in merito ai siti ai quali il dipendente si era collegato e alla durata del collegamento;
• l’azienda ha illegittimamente rilevato dati sensibili del lavoratore, perché la tipologia di siti visitata nel caso in esame rivela le opinioni religiose e sindacali ed i gusti sessuali del lavoratore, posto che numerosi file fanno riferimento a siti Internet a contenuto pornografico.
In considerazione di quanto sopra il Garante ha ritenuto violate, da parte del datore di lavoro, due norme del Codice Privacy ed in particolare:
1) l’art. 13 nella parte in cui impone all’azienda di fornire all’interessato un’informativa relativa al trattamento dei dati previa rispetto all’effettuazione del trattamento medesimo;
2) l’art. 11 laddove impone di trattare i dati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite.
Il provvedimento del febbraio 2006 si esprime anche sulla portata della deroga all’obbligo di richiesta del consenso al trattamento dei dati sensibili prevista quando il trattamento sia necessario per far valere o difendere un diritto in sede giudiziaria. Sul punto l’azienda aveva argomentato che la disciplina in materia esime dall’obbligo di richiedere il consenso in presenza della legittima esigenza di far valere i propri diritti anche ai fini della loro tutela in giudizio (nello specifico consistenti nella risoluzione del rapporto di lavoro del dipendente, della tutela del patrimonio aziendale e della finalità di tutela della salute del cittadino perseguita dalla società convenuta, operante nel campo della sanità – si trattava di una Casa di cura).
Il Garante, al riguardo, ha affermato che, per i dati sensibili la deroga all’obbligo di richiesta del consenso vi può essere solo quando sia indispensabile e laddove sia necessario far valere o difendere in giudizio un diritto di pari rango rispetto a quello dell’interessato (art. 26, co. 4, lett. c, del Codice). Nello specifico il Garante ha ritenuto non sussistere il requisito prescritto dalla legge posto che nel caso di specie “sono stati fatti valere solo diritti legati allo svolgimento del rapporto di lavoro”.
La giurisprudenza formatasi in materia di controlli tecnologici, stante l’evidente novità della questione, è ancora piuttosto esigua. Nell’ambito della stessa emerge comunque un orientamento incline a riconoscere con un certo margine di liberalità i controlli del datore di lavoro aventi ad oggetto l’accesso ad Internet e l’utilizzo della posta elettronica aziendale da parte dei propri dipendenti, cui si oppone un orientamento maggiormente restrittivo che sembra, allo stato, vada via via consolidandosi nel tempo.
Da una parte, infatti, parte della giurisprudenza ritiene che “Il comportamento del lavoratore, consistito in un collegamento quotidiano alla rete Internet per più ore al giorno in assenza di effettive necessità lavorative, costituisce un rilevante inadempimento degli obblighi di diligenza e integra una giusta causa di licenziamento; il datore di lavoro può fornire la prova dei collegamenti contestati, oltre che mediante testimoni, anche attraverso l’allegazione dei dati forniti dal provider circa gli accessi alla rete provenienti da ogni singola postazione di lavoro” (Tribunale di Milano 8 giugno 2001).
Una tale posizione è stata avvalorata da una certa apertura segnata da una sentenza di cassazione (Cass civ., Sez. lavoro, 3 aprile 2002, n. 4746), secondo la quale: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dei lavoratori ex art. 4 St. lav., è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dall’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate o, appunto, gli apparecchi di rilevazione di telefonate ingiustificate; l’abuso del telefono aziendale può costituire giustificato motivo soggettivo di licenziamento indipendentemente dall’entità del danno creato al datore di lavoro”.
In senso contrario si sono peraltro espresse le più recenti pronunzie di merito, ed in particolare la Corte d’Appello di Milano, con sentenza 30 settembre 2005, n. 668, ove si legge che “in caso di controllo dei collegamenti a siti internet in via continuativa mediante strumenti informatici centralizzati non accessibili ai lavoratori, deve essere applicato l’art. 4 dello Statuto dei lavoratori” e la Corte d’Appello di Catania, 24 dicembre 2005, la quale ha ritenuto che: “l’installazione degli apparati di controllo elettronico va concordata con tutte le rappresentanze sindacali aziendali presenti nell’impresa che intende introdurre l’apparecchiatura di controllo. In mancanza di questo accordo si può ricorrere all’autorizzazione dell’Ispettorato del lavoro. Qualora il datore di lavoro non raggiunga l’intesa con i sindacati e non ottenga la predetta autorizzazione si espone, oltre che al ricorso del singolo lavoratore sottoposto a controlli, al ricorso per repressione della condotta antisindacale”.
Emerge, dunque, che la dottrina e la giurisprudenza nazionali, a differenza di quanto accade in altri Paesi ove, come ad esempio negli Stati Uniti, sono già state elaborate precise linee guida, non hanno ancora definito in modo certo e univoco l’ambito di legittimità dei controlli tecnologici operati dal datore di lavoro.
Ragioni di prudenza dovrebbero comunque indurre le aziende a rispettare, oltre , com’è ovvio, lealle norme in materia di privacy, la procedura imposta dall’art. 4 St. lav., garantendosi, per questa via, la piena utilizzabilità processuale dei risultati dei controlli compiuti sulla posta elettronica e sugli accessi ad Internet dei singoli dipendenti.
(16/10/2006)
Andrea Sitzia - Cortellazzo & Soatto Area Legale (Articolo estratto da "C&S informa n.6 -2006").
Il datore di lavoro può disporre, oggi, di molte forme di vigilanza e controllo, ciascuna delle quali presenta specifici problemi di carattere pratico-giuridico.
Le forme più attuali di vigilanza, in ordine alle quali si impone una riflessione sulle problematiche coinvolte dall’interazione della normativa sulla privacy e dalla legislazione giuslavoristica in tema di potere di controllo, sono, indubbiamente, il controllo della posta elettronica e la sorveglianza sull’accesso e navigazione in Internet.
Il punto centrale della complessa tematica, sotto il profilo squisitamente giuslavoristico, concerne l’applicabilità o no dell’art. 4 St. lav. ai controlli tecnologici.
L’art. 4 St. lav. individua, a dire il vero, due differenti fattispecie. Il primo comma, infatti, prevede un divieto assoluto ed inderogabile, con assistito da sanzione penale (art. 38 St. lav.), di installazione ed uso di impianti audiovisivi e di altre apparecchiature esclusivamente destinate al controllo dell’attività dei lavoratori, mentre il secondo contempla un divieto flessibile, nel senso che consente espressamente, a determinate condizioni, l’installazione di apparecchiature di controllo e di impianti “che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro”, anche quando possa derivarne – al di là delle intenzioni del datore di lavoro – una possibilità di controllo a distanza dell’attività dei lavoratori.
In questo caso, definito di “controllo preterintenzionale”, per differenziarlo da quello intenzionale di cui al primo comma, il requisito indispensabile per la legittimità dell’installazione, oltre alle indicate esigenze aziendali, è che l’imprenditore raggiunga un accordo con le rappresentanze sindacali aziendali costituite nell’unità produttiva interessata oppure, in difetto di accordo, ottenga l’autorizzazione del Servizio ispettivo della Direzione provinciale del lavoro competente per territorio.
Il problema dell’operatività dell’art. 4 St. lav. nel nuovo contesto tecnologico è di estrema importanza, avendo un’immediata ricaduta sul piano pratico-operativo: sul piano processuale civilistico è stata infatti ritenuta inutilizzabile, sia a fini disciplinari che a fini risarcitori, la prova di eventuali inadempimenti del lavoratore raccolta in violazione del divieto in esame.
Sul punto non si è ancora formata una ricostruzione unitaria, parendo la dottrina e la giurisprudenza attestate su posizioni contrastanti.
La dottrina maggioritaria ritiene che per la legislazione italiana gli strumenti che consentono il monitoraggio delle e mail così come degli accessi a Internet siano in primo luogo strumenti di controllo a distanza, consentendo al datore di lavoro di controllare e ricostruire l’attività dei lavoratori, potremmo dire in modo nemmeno troppo metaforico, minuto per minuto; a fronte di tale premessa si sostiene che i controlli tecnologici andrebbero attivati rispettando la procedura codeterminativa (accordo con le r.s.a. o autorizzazione amministrativa) di cui all’art. 4 St. lav.
Rimane allo stato minoritaria la pur autorevole dottrina di segno opposto, secondo cui l’art. 4 St. lav. è una norma dettata in riferimento a sistemi di controllo estrinseci ed eventuali rispetto alla prestazione di lavoro, con conseguente inapplicabilità alla strumentazione informatica e telematica, essendo quest’ultima, prima ancora che sistema di controllo della prestazione, uno strumento essenziale di produzione.
L’Autorità garante per la protezione dei dati personali è intervenuta sulla questione con provvedimento del 2.2.2006, accogliendo il ricorso presentato da un ex dipendente di una società che chiedeva all’Autorità di vietare a quest’ultima l’uso, anche a fini processuali, dei dati relativi alla navigazione in Internet compiuta dal dipendente stesso nel periodo in cui prestava la propria attività lavorativa presso tale società.
La fattispecie esaminata dal Garante nasce dalla contestazione da parte di un ex dipendente di una società dell’uso da parte della società stessa di dati sugli accessi ad internet effettuati nel corso del rapporto di lavoro; in base a tali dati la società aveva promosso nei confronti del dipendente un procedimento disciplinare conclusosi con il suo licenziamento. In particolare, la rilevazione dei collegamenti del lavoratore, dal proprio computer aziendale, a siti internet estranei alla sua prestazione, è stata posta a fondamento (non esclusivo) del suo licenziamento.
In sintesi il Garante ha affermato che:
• l’accertamento della navigazione, da parte del lavoratore, nella rete aziendale, mediante il computer assegnatogli dall’impresa, implica un trattamento di dati personali;
• poiché, per l’esercizio della sua prestazione lavorativa, il dipendente non aveva bisogno della rete internet, l’azienda avrebbe potuto limitare la propria attività ispettiva all’accertamento della circostanza che il dipendente aveva utilizzato la rete, senza indagare in merito ai siti ai quali il dipendente si era collegato e alla durata del collegamento;
• l’azienda ha illegittimamente rilevato dati sensibili del lavoratore, perché la tipologia di siti visitata nel caso in esame rivela le opinioni religiose e sindacali ed i gusti sessuali del lavoratore, posto che numerosi file fanno riferimento a siti Internet a contenuto pornografico.
In considerazione di quanto sopra il Garante ha ritenuto violate, da parte del datore di lavoro, due norme del Codice Privacy ed in particolare:
1) l’art. 13 nella parte in cui impone all’azienda di fornire all’interessato un’informativa relativa al trattamento dei dati previa rispetto all’effettuazione del trattamento medesimo;
2) l’art. 11 laddove impone di trattare i dati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite.
Il provvedimento del febbraio 2006 si esprime anche sulla portata della deroga all’obbligo di richiesta del consenso al trattamento dei dati sensibili prevista quando il trattamento sia necessario per far valere o difendere un diritto in sede giudiziaria. Sul punto l’azienda aveva argomentato che la disciplina in materia esime dall’obbligo di richiedere il consenso in presenza della legittima esigenza di far valere i propri diritti anche ai fini della loro tutela in giudizio (nello specifico consistenti nella risoluzione del rapporto di lavoro del dipendente, della tutela del patrimonio aziendale e della finalità di tutela della salute del cittadino perseguita dalla società convenuta, operante nel campo della sanità – si trattava di una Casa di cura).
Il Garante, al riguardo, ha affermato che, per i dati sensibili la deroga all’obbligo di richiesta del consenso vi può essere solo quando sia indispensabile e laddove sia necessario far valere o difendere in giudizio un diritto di pari rango rispetto a quello dell’interessato (art. 26, co. 4, lett. c, del Codice). Nello specifico il Garante ha ritenuto non sussistere il requisito prescritto dalla legge posto che nel caso di specie “sono stati fatti valere solo diritti legati allo svolgimento del rapporto di lavoro”.
La giurisprudenza formatasi in materia di controlli tecnologici, stante l’evidente novità della questione, è ancora piuttosto esigua. Nell’ambito della stessa emerge comunque un orientamento incline a riconoscere con un certo margine di liberalità i controlli del datore di lavoro aventi ad oggetto l’accesso ad Internet e l’utilizzo della posta elettronica aziendale da parte dei propri dipendenti, cui si oppone un orientamento maggiormente restrittivo che sembra, allo stato, vada via via consolidandosi nel tempo.
Da una parte, infatti, parte della giurisprudenza ritiene che “Il comportamento del lavoratore, consistito in un collegamento quotidiano alla rete Internet per più ore al giorno in assenza di effettive necessità lavorative, costituisce un rilevante inadempimento degli obblighi di diligenza e integra una giusta causa di licenziamento; il datore di lavoro può fornire la prova dei collegamenti contestati, oltre che mediante testimoni, anche attraverso l’allegazione dei dati forniti dal provider circa gli accessi alla rete provenienti da ogni singola postazione di lavoro” (Tribunale di Milano 8 giugno 2001).
Una tale posizione è stata avvalorata da una certa apertura segnata da una sentenza di cassazione (Cass civ., Sez. lavoro, 3 aprile 2002, n. 4746), secondo la quale: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dei lavoratori ex art. 4 St. lav., è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dall’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate o, appunto, gli apparecchi di rilevazione di telefonate ingiustificate; l’abuso del telefono aziendale può costituire giustificato motivo soggettivo di licenziamento indipendentemente dall’entità del danno creato al datore di lavoro”.
In senso contrario si sono peraltro espresse le più recenti pronunzie di merito, ed in particolare la Corte d’Appello di Milano, con sentenza 30 settembre 2005, n. 668, ove si legge che “in caso di controllo dei collegamenti a siti internet in via continuativa mediante strumenti informatici centralizzati non accessibili ai lavoratori, deve essere applicato l’art. 4 dello Statuto dei lavoratori” e la Corte d’Appello di Catania, 24 dicembre 2005, la quale ha ritenuto che: “l’installazione degli apparati di controllo elettronico va concordata con tutte le rappresentanze sindacali aziendali presenti nell’impresa che intende introdurre l’apparecchiatura di controllo. In mancanza di questo accordo si può ricorrere all’autorizzazione dell’Ispettorato del lavoro. Qualora il datore di lavoro non raggiunga l’intesa con i sindacati e non ottenga la predetta autorizzazione si espone, oltre che al ricorso del singolo lavoratore sottoposto a controlli, al ricorso per repressione della condotta antisindacale”.
Emerge, dunque, che la dottrina e la giurisprudenza nazionali, a differenza di quanto accade in altri Paesi ove, come ad esempio negli Stati Uniti, sono già state elaborate precise linee guida, non hanno ancora definito in modo certo e univoco l’ambito di legittimità dei controlli tecnologici operati dal datore di lavoro.
Ragioni di prudenza dovrebbero comunque indurre le aziende a rispettare, oltre , com’è ovvio, lealle norme in materia di privacy, la procedura imposta dall’art. 4 St. lav., garantendosi, per questa via, la piena utilizzabilità processuale dei risultati dei controlli compiuti sulla posta elettronica e sugli accessi ad Internet dei singoli dipendenti.
Lo Studio
L'Attività
La struttura
Network
Professionisti
Dove siamo
News
Links
Intranet
Contattaci
Convegni
Corsi
Opportunitą di lavoro
Scarica brochure
[English]