Viviamo in un mondo digitale con confini sempre più labili tra dispositivi personali e dispositivi aziendali. Così come si amplificano la richieste di competenze da parte degli utilizzatori delle tecnologie così aumentano i possibili comportamenti non corretti da parte di aziende e dipendenti, comportamenti che incidono non solo sulla sicurezza e la privacy ma che possono coinvolgere entrambe le parti in azioni legali. In questo articolo sull’utilizzo dei dispositivi digitali e risorse informatiche aziendali vedremo cosa è consentito fare al dipendente e cosa è vietato all’azienda.
Ricordiamo prima di proseguire che il lavoratore al momento della sottoscrizione del contratto di lavoro ha il diritto di verificare come e da chi i dati relativi alla sua attività saranno raccolti e trattati, in modo tale da prestare un consenso effettivamente informato. La dichiarazione di consenso può prevedere, ad esempio, specifiche autorizzazioni che saranno proprie di una policy sulla sicurezza aziendale personalizzata, che deve essere letta con cura e molta attenzione. Policy che se ben strutturata dovrebbe indicare al momento della cessazione del rapporto anche tutti gli obblighi a carico del datore di lavoro in merito alla restituzione al dipendente dei dati raccolti che formano il suo profilo e la sua identità digitale.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Ricordiamo ancora una volta l’importanza di una Policy sulla Sicurezza Informatica [ click qui ], documento nel quale sono contenute tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici. La definizione di poche e semplici regole è utile per due motivi:
- Rende edotto il dipendente del rischio di coinvolgere l’Azienda, qualora tramite tali strumenti vengano commessi dei reati;
- Pone le basi giuridiche per poter infliggere sanzioni disciplinari, quali l’ammonimento o la sospensione dal lavoro, sino al licenziamento.
Volendo fornire un testo di facile consultazione vi elencheremo in modo sintetico i vari punti di divieto per l’azienda e quelli consentiti al dipendente per ciascuno dei dispositivi digitali e risorse informatiche aziendali che trovate di seguito presentati :
Utilizzo del Cellulare Aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda
Lista dei divieti per l’azienda sull’uso del telefono cellulare da parte dei suoi dipendenti :
- E’ vietato all’azienda fornire ai propri dipendenti un telefono aziendale senza un’informativa contenente la policy di utilizzo e la nomina del responsabile del trattamento.
- E’ vietato all’azienda effettuare controlli sulle SIM aziendali per contestazioni disciplinari. Le informazioni sul traffico telefonico possono essere analizzate solo se necessarie, pertinenti e non eccedenti gli scopi dichiarati (provvedimento del garante n.3 del 11.01.2018). In presenza di “consumi anomali“, la società provvederà a rilevarne le cause e, ove necessario, evidenzierà al proprio interno l’esigenza di contenere i costi aziendali, ma i dati dei dipendenti non potranno essere trattati a fini disciplinari.
- E’ vietato all’azienda effettuare controlli sulle SIM aziendali oltre un periodo di 6 mesi ( tempo massimo per la conservazione dei dati ). Viene parimenti affermato un principio di necessità del trattamento in base al quale le informazioni sul traffico telefonico possono essere analizzate solo se necessarie, pertinenti e non eccedenti gli scopi dichiarati. Tali requisiti ricorrono nel caso delle chiamate in uscita ma sono da escludersi per le chiamate in entrata senza specifici addebiti e in caso di tariffe flat.
- In caso di realtà medio/grandi per effettuare qualsiasi tipo di controllo sui telefoni aziendali è vietato all’azienda definire una policy unilaterale ma dovrà prima aver stipulato uno specifico accordo sindacale nel rispetto della disciplina di settore.
- Non è lecito per l’azienda conoscere il numero telefonico completo della persona che chiama il suo dipendente, i dettagli della chiamata in entrata ed i paese di provenienza della chiamata. C’è, ovviamente, un’eccezione che può giustificare la richiesta di queste informazioni e riguarda il caso in cui comportino una spesa eccessiva per l’azienda, documentata in bolletta. Ad ogni modo, i dati andrebbero trattati solo per questioni legate all’organizzazione e alla tutela del patrimonio aziendale, escludendo qualsiasi altra possibile finalità di utilizzo.
- Anche se l’azienda ha messo a punto un sistema di addebito e di tariffazione separata per le chiamate effettuate dal cellulare aziendale per uso privato, su queste ultime è vietato all’azienda raccogliere i dati relativi ai numeri di telefono in entrata o in uscita.
- Non è lecito all’azienda effettuare backup del dispositivo in cloud senza definire modalità e tipologia dei dati salvati. Relativamente alla conservazione dei dati contenuti nel singolo dispositivo ed in backup occorre che gli stessi, se conservati in cloud, rispettino quanto stabilito dalla legge in merito al trasferimento dei dati verso paesi UE e Extra-UE. Inoltre è vietato il trattamento di dati personali del dipendente ricavati da file e documenti acquisiti nell’ambito di operazioni di backup. Relativamente alla tipologia dei dati salvati, il datore di lavoro può avere accesso alle applicazioni installate sul device, ma non è permesso nessun accesso al contenuto delle applicazioni stesse.
Lista di ciò che è consentito al dipendente a cui è stato assegnato un telefono aziendale :
- E’ lecito effettuare chiamate personali mantenendo tuttavia un uso equilibrato del telefono. L’uso eccessivo del telefono aziendale per scopi privati può comportare il licenziamento (l’onere della prova ricordiamo che spetta al datore di lavoro e non al dipendente).
- E’ lecito installare applicazioni non aziendali sul telefono solo se dichiarato nel regolamento interno o nella policy aziendale consegnata al momento del ritiro del telefono. Ricordarsi sempre che il telefono aziendale è uno strumento di lavoro e che tutti i log dell’attività svolta con l’utilizzo di strumenti informatici aziendali potrebbero essere oggetto di indagine degli organi di polizia. Tutte le applicazioni installate in modo autonomo possono essere soggette a vulnerabilità dirette o indirette ed essere di nocumento alle risorse aziendali messe a disposizione del dipendente, per cui potrebbe essere chiamato a risponderne.
Computer / Tablet Aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda
Lista dei divieti per l’azienda :
- L’azienda non può accedere ai file del dipendente ( * ), ma può conservarli per un periodo massimo 6 mesi per far valere i suoi diritti. Il diritto alla riservatezza dei lavoratori deve essere bilanciato con la possibilità per le imprese di tutelarsi nell’ambito di eventuali procedimenti penali. (*) i datori di lavoro possono soltanto aprire archivi identificati dai dipendenti come personali purchè alla presenza del dipendente o dopo che questi siano stati informati. Tuttavia, la Corte di Strasburgo ha aggiunto che gli archivi creati da un dipendente si presumono essere “aziendali” (dunque contenenti dati da utilizzare per finalità lavorative) a meno che il dipendente non li abbia identificati come “personali” ( ad esempio il lavoratore dovrebbe creare una cartella sul suo computer dal nome “nome e cognome + mie file privati” ), così da impedire al datore di lavoro di accedervi in assenza del dipendente medesimo.
- L’azienda può monitorare il corretto svolgimento dei compiti assegnati e il regolare utilizzo degli strumenti dati in dotazione, ma deve sempre essere salvaguardata “la libertà e la dignità” del lavoratore (come indicato dal Garante per la Privacy).
- Il datore di lavoro può controllare il contenuto dei pc aziendali, anche senza il permesso dei dipendenti che li utilizzano per lavorare, purché ciò non sia finalizzato al mero controllo a distanza della sua attività lavorativa e solo se il lavoratore è stato informato della possibilità di un controllo.
- La condotta del dipendente che mette in cattiva luce l’azienda o i colleghi sui social, deve essere contestata nell’immediato (entro 3 mesi), diversamente non giustifica il licenziamento ed è illecita. E’ legittimo il licenziamento basato su un uso improprio dei social network, come postare fotografie scattate durante l’orario di lavoro accompagnate da commenti offensivi nei confronti dell’azienda. Se interessati ad approfondire l’argomento “Contenziosi tra Aziende e Dipendenti per l’utilizzo improprio del computer e degli strumenti informatici aziendali” [ click qui ]
Lista di ciò che è consentito al dipendente :
- Se le policy aziendali lo consentono, il dipendente può tenere sul computer aziendale anche materiale privato ( per garantire che sia visto come tale il lavoratore dovrebbe creare una cartella sul suo computer dal nome “nome e cognome + mie file privati” ), senza tuttavia che questo occupi la maggioranza della memoria disponibile del dispositivo. Naturalmente, trattandosi di uno strumento aziendale e non personale, il datore di lavoro, nell’effettuare eventuali controlli sul computer, potrebbe accedere anche al materiale privato dei propri dipendenti. Si tratta di una condotta del tutto legittima se il dipendente era stato preventivamente informato di tale possibilità, fermo restando l’obbligo per il datore di lavoro di rispettare i principi propri della normativa sulla privacy.
- Se le policy aziendali lo consentono curare l’osservanza di backup periodici del suo materiale privato e non quello dell’azienda. Pertanto, il lavoratore che copi dei file aziendali, con modalità idonee a farli fuoriuscire dalla “sfera di controllo” del datore di lavoro commette certamente un illecito disciplinarmente, rilevante a prescindere dal successivo utilizzo di tali dati e dalla dimostrazione di una specifica finalità illecita. La violazione dei dati aziendali, e dunque l’inadempimento del dipendente ai suoi obblighi fondamentali, si configura indipendentemente dal fatto che gli stessi siano protetti da password o meno e, quindi, espressamente considerati come riservati da parte dell’azienda. Pertanto, la circostanza che il lavoratore abbia libero accesso a determinati dati aziendali è del tutto irrilevante, e non lo autorizza a copiarli nè a trasferirli in qualunque modo.
Email Aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda
Lista dei divieti per l’azienda :
Intermezzo promozionale ... continua la lettura dopo il box:
- E’ vietato all’azienda raccogliere i dati contenuti nelle e-mail inviate dall’account aziendale di un proprio dipendente, senza aver preventivamente fornito adeguata informativa al dipendente stesso circa modalità e finalità di tale attività di raccolta e conservazione dati ; ad esempio è stato ritenuto illecito, e conseguentemente vietato, il trattamento effettuato da una società mediante la raccolta e la successiva produzione in giudizio di alcune e-mail scambiate tra determinati dipendenti e tra questi e terze persone, senza aver previamente adottato un disciplinare o strumento analogo sull’utilizzo della posta elettronica aziendale e senza aver fornito una specifica informativa ai dipendenti.
- Quando cessa il rapporto di lavoro l’azienda deve prima disattivare l’account di posta del lavoratore informando i clienti con sistemi automatici che l’account è stato disattivato e fornendo i nuovi recapiti di posta elettronica a cui indirizzare le nuove comunicazioni dirette all’azienda. Poi deve cancellare l’account non essendo consentito mantenerlo giacché come chiarisce il Garante il trattamento risulterebbe illecito per violazione degli artt. 11, comma 1, lett. a) e b), e 13 del Codice.
- E’ vietato all’azienda continuare a mantenere attive le caselle e-mail dei dipendenti licenziati oltre i sei mesi dopo la cessazione del contratto e comunque senza dare agli ex dipendenti la possibilità di consultarle o in alternativa informare i mittenti che le lettere non saranno più visionate dai legittimi destinatari ma da altri soggetti. L’Autorità Garante ha chiarito che gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione e contestuale adozione di messaggi automatici che informino i terzi mittenti che quell’indirizzo non è più attivo (provv. n. 456 del 30.7.2015 e n. 136 del 5.3.2015). Il Garante ha dichiarato illegittimo il trattamento dei dati personali effettuato da una società che aveva solo attivato un redirect verso altre caselle di posta lasciando attivi gli account di dipendenti licenziati, in violazione degli artt. 11, comma 1, lett. a) e b) e 13 del Codice, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) (L’autority si è così espressa : “Il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale”)
- E’ vietato all’azienda conservare le email aziendali di un dipendente oltre il periodo necessario alla finalità del trattamento. Il Garante della Privacy con il provvedimento n. 8159221 del 29 marzo 2018 ancora una volta si è espresso in materia di controllo della posta elettronica dei dipendenti, vietando ad una Spa la conservazione estesa oltre il periodo necessario alla finalità del trattamento e il controllo sistematico delle email aziendali dei dipendenti, operazioni che venivano peraltro effettuate senza opportuna informativa ai lavoratori e in violazione della normativa sui dati personali e di quella sul lavoro. La conservazione delle mail, effettuata in modo massivo e sistematico, la loro memorizzazione per un periodo esteso e la possibilità per il datore di lavoro di accedere al contenuto delle stesse per finalità astrattamente individuate (ad es. difesa in giudizio, perseguimento di un interesse legittimo) a livello effettivo si trasforma, dice il Garante, in controllo dell’attività dei dipendenti; controllo vietato dalla disciplina di settore che non autorizza, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate. Il datore di lavoro, infatti, può vigilare sull’esatto adempimento della prestazione lavorativa e sulle modalità di utilizzo degli strumenti aziendali quali anche gli account di posta elettronica, ma sempre nel rispetto della libertà e la dignità dei dipendenti. Le email, ha ribadito il Garante nel suo provvedimento, non possono essere conservate per un periodo illimitato in vista di un eventuale futuro contenzioso: la conservazione deve riferirsi a questioni giudiziarie pendenti o a situazioni precontenziose e non a situazioni ipotetiche e generiche.
- E’ vietato all’azienda l’accesso all’account aziendale di un dipendente in epoca successiva al licenziamento. Un eventuale accesso che non si riferisca a questioni giudiziarie pendenti o a situazioni precontenziose si configura come attività illecita da parte dell’azienda non essendo consona alla legittima aspettativa di riservatezza della corrispondenza del lavoratore : al termine del rapporto di lavoro la casella di posta elettronica riferita al dipendente specifico deve essere disattivata ed eliminata e al suo posto devono essere attivati i sistemi sopra riportati.
Lista di ciò che è consentito al dipendente :
- il lavoratore al momento della sottoscrizione del contratto di lavoro ha il diritto / dovere di verificare come e da chi i dati relativi alla sua attività saranno raccolti e trattati, in modo tale da prestare un consenso effettivamente informato. La dichiarazione di consenso (quel “foglio aggiuntivo” che normalmente viene consegnato assieme alla lettera di assunzione) può prevedere, ad esempio, specifiche autorizzazioni ed anche la revoca automatica al momento della cessazione del rapporto, con obbligo a carico del datore di lavoro di restituire al lavoratore i dati raccolti che formano il suo profilo e la sua identità digitale.
- Il dipendente può scaricare la propria memoria digitale relativa alle sue email e conservarla su un supporto esterno. L’accesso ai propri dati attraverso il sistema è consentito in costanza di rapporto di lavoro con la conseguenza che non potrà essere ritenuta abusiva né illecita la conservazione di copia. Attenzione però a non eseguire un backup sulla propria pennetta usb dei dati appartenenti alla società, anche se precedentemente trattati, utilizzati e, anzi, creati per suo conto. Questo è vietato e considerato come accesso abusivo a sistema informatico.
- A seguito di licenziamento, se il lavoratore non ha potuto fare una copia dei suoi dati nella casella di posta e questi siano importanti per impugnare il licenziamento stesso, il lavoratore può richiedere tramite un avvocato il ripristino dell’accesso ai dati nel rispetto della Carta Costituzionale (art. 24) in modo da garantire il diritto di difesa. Ed inoltre, la casella di posta elettronica protetta da password personalizzata rappresenta il domicilio informatico del lavoratore, garantito dall’art. 14 della Costituzione e dagli artt. 614 e 615 del codice penale.
Lista di ciò che è NON è consentito al dipendente :
- Al lavoratore non è consentita la reintegrazione nel possesso della casella di posta elettronica se l’azienda decide di non assegnare più una casella di posta al dipendente. Rimane invece il diritto di recupero della posta inviata e/o ricevuta da parte del dipendente. Grava comunque sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano state le violazioni commesse dal dipendente tali per cui gli è stato interdetto l’accesso o giustificare la scelta di un cambio di mansione (se vi sono altri elementi che possono far pensare al mobbing) ove il nuovo ruolo non necessita più di un accesso email. E’ tuttavia vietato all’azienda continuare a mantenere attive le caselle email bloccate ai dipendenti senza informare uffiicialmente i mittenti che le lettere non saranno più visionate dai legittimi destinatari ma da altri soggetti ( tramite ad esempio una risposta automatica ai messaggi email ricevuti ). Ricordiamo infatti che spetta all’azienda al momento dell’assunzione indicare le corrette modalità di utilizzo degli strumenti messi a disposizione e se, in che misura e come vengano effettuati controlli e definite azioni lecite o illecite. Per fare chiarezza sull’argomento in termini giuridici aggiungiamo che la titolarità di un account di posta elettronica aziendale ha origine nel rapporto contrattuale con il fornitore del servizio (l’azienda) , e non si esplica in quel potere di fatto sulla cosa di cui all’art. 1140 c.c. che legittima la proposizione dell’azione possessoria di cui all’art. 1168 c.c. Per posta elettronica aziendale si deve intendere il servizio di account-e-mail, pagato dal datore di lavoro, che, nella maggior parte dei casi, è costruito dal nome della società dello stesso datore di lavoro posto di seguito al simbolo della cosiddetta chiocciola “@”. Al giorno d’oggi l’utilizzo della posta elettronica appare imprescindibile per quasi tutte le attività lavorative, tanto da assurgere a vero e proprio strumento di lavoro, che il datore di lavoro mette a disposizione del proprio dipendente o collaboratore a fini esclusivamente aziendali e che, pertanto, viene fornito unicamente per lo svolgimento delle mansioni cui esso è preposto.
Geolocalizzazione GPS sull’auto aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda
Lista dei divieti per l’azienda :
- È vietata l’installazione di un sistema di geolocalizzazione sulle automobili aziendali se determina un monitoraggio continuo e il conducente è identificabile. Se non determina un monitoraggio continuo e non identifica il conducente viene richiesto comunque all’azienda di posizionare sul dispositivo di localizzazione un’icona che dovrà indicare quando e se la localizzazione è attiva ed il sistema dovrà infine essere configurato in modo tale da oscurare la posizione geografica dei dipendenti dopo un periodo di inattività dell’operatore sul monitor della centrale operativa. A maggiore tutela dei lavoratori inoltre i dati raccolti dal sistema potranno essere consultati solo dal personale autorizzato (centrale operativa e sviluppo software) tramite apposite credenziali di accesso, soprattutto relativamente all’estrazione dei predetti dati. A tutela dei lavoratori dipendenti questi dati non potranno essere usati per il controllo dei lavoratori o per scopi disciplinari.
- Se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per massimo cinque anni. I dati trattati in caso di sinistri, saranno conservati per il termine ritenuto necessario per la ricezione e la valutazione della denuncia di sinistro da parte del personale. I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione. Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.
- “l’attività di indagine volta a seguire i movimenti di un soggetto ed a localizzarlo, controllando a distanza la sua presenza in un dato luogo ed in un determinato momento attraverso il sistema di rilevamento satellitare (GPS) , costituisce una forma di pedinamento eseguita con strumenti tecnologici, NON ASSIMILABILE ad ATTIVITÁ DI INTERCETTAZIONE” (cfr. Cass. Pen., 27 novembre 2012, n. 48279)
Lista di ciò che è consentito al dipendente :
- Il dipendente ha il diritto di essere informato preventivamente sul sistema di raccolta dati e assicurarsi che siano predisposte dall’azienda tutte le misure che consentano ai lavoratori di accedere ai dati trattati per la visione o l’eventuale modifica se non corretti.