Il controllo sul traffico Internet dei dipendenti

Secondo uno Studio della Forrester Research, gli imprenditori considerano il controllo del traffico internet generato dai dipendenti tramite le risorse tecnologiche aziendali come una pratica necessaria per proteggere segreti industriali e finanziari.

Il rilevamento è stato realizzato utilizzando un campione di circa 1500 aziende statunitense ed inglesi, con un numero di impiegati superiore a 1000, e da esso è emerso che molti imprenditori (quattro su dieci) hanno addirittura organizzato una task force interna per tenere sotto controllo il comportamento dei dipendenti quando navigano in rete utilizzando la connessione aziendale.

Secondo la Reuters, i dipendenti non vengono informati del controllo operato dal datore di lavoro e non si rendono quindi conto di essere schedati, mentre, al contrario, sono solitamente convinti di potersi esprimere liberamente, potendo contare sul relativo anonimato garantito dalla Rete.

In Italia l’attività di controllo del traffico è considerata lecita, a condizione che dell’esistenza di tale controllo i dipendenti siano informati e che esso non si spinga fino a prendere conoscenza del contenuto delle comunicazioni, soprattutto nel caso in cui si tratti di conversazioni o posta elettronica.

Secondo un rapporto del Governo Inglese, i rischi connessi allo svolgimento dell’attività imprenditoriale comportano la necessità di controllare i dipendenti, che diversamente potrebbero in breve minare la vita di un’azienda, coinvolgendola in illeciti perpetrati tramite Internet (con il relativo danno di immagine) ovvero approfittando delle tecnologie aziendali per condurre azioni di spionaggio industriale.

Viene auspicata l’introduzione di filtri che consentano l’accesso ai soli siti necessari alla vita dell’azienda o comunque innocui, una sorta di blocco preventivo che consenta l’utilizzo delle sole informazioni utili o dannose.

In sostanza, si paventa una situazione futura analoga a quella statunitense, che consente in controllo indiscriminato del dipendente quando utilizza tecnologie aziendali.

Occorre però tenere presente che la regolamentazione riguardante il trattamento dati personali, in Inghilterra e negli Stati Uniti è radicalmente diversa rispetto alla nostra. Per molti aspetti probabilmente migliore, ma certamente meno orientata alla riservatezza di quanto non lo sia quella italiana.

Che poi vi siano sistematiche violazioni della nostra normativa da parte delle grandi aziende e nessuno intervenga per sanzionarle, questo è un altro discorso. Ma la norma esiste, e può essere invocata quando necessario.

Le ultime pronunce dell’Autorità Garante per la riservatezza dei dati personali vietano alle aziende di prendere cognizione del contenuto delle comunicazioni e transazioni operate dai dipendenti, anche quando utilizzino tecnologie aziendali. Per contro, è ammesso il controllo dei messaggi di posta elettronica che pervengono alla mailbox aziendale del dipendente, sul presupposto che si tratta comunque di comunicazioni attinenti il rapporto di lavoro che il datore ha diritto di conoscere.

Il dipendente, in effetti, non dovrebbe utilizzare la posta elettronica per ricevere le proprie e-mail personali, dato che si tratta di un bene, per quanto immateriale, che gli viene affidato per finalità lavorative, e deve essere quindi sottoposto agli stessi limiti e condizioni del telefono aziendale o della vettura aziendale.

Ogni utilizzo privato costituisce un abuso, per quanto tollerato. Ove il dipendente faccia, pertanto, uso per fini privati della propria mailbox aziendale, può considerare il proprio comportamento come tollerato dal titolare ma certamente non potrà successivamente invocare una eventuale tutela della riservatezza ove lo stesso datore di lavoro, nel consultare la posta aziendale, prenda anche cognizione del contenuto dei messaggi personali del dipendente.

Negli Stati Uniti la convinzione che l’uso non regolamentato di Internet possa costituire una minaccia per la produttività aziendale ha spinto la maggior parte delle aziende a porre in essere sistemi di controllo e monitoraggio dell’attività on line dei dipendenti.

Con provvedimenti, anche disciplinari, che difficilmente in Italia potrebbero essere tollerati, le amministrazioni statunitensi hanno di fatto posto fine all’uso indiscriminato di Internet, procedendo finanche al licenziamento dei soggetti che per troppo tempo avevano utilizzato la postazione di lavoro per navigare più che per lavorare.

Si aggiunga che, secondo le stime, molte aziende conservano la corrispondenza pervenuta nelle mailboxes aziendali, e quindi, necessariamente, anche i messaggi privati dei dipendenti pervenuti su dette caselle di posta elettronica, ed utilizzano sistemi di analisi della navigazione che consente di ricostruire l’attività svolta in rete dai dipendenti.

Benché il rischio maggiore, per le aziende, derivi dal coinvolgimento in procedimenti aventi ad oggetto violazione di diritti d’autore, illeciti perpetrati tramite la rete, sottrazione di segreti industriali, sono soprattutto i contenuti pornografici ad essere considerati indecorosi per l’immagine aziendale.

Ma cosa succede in Italia? Recentemente il Garante per la Riservatezza dei dati personali, nella nuova composizione che ha sostituito la precedente Autorithy presieduta dal Prof. Stefano Rodotà, in esito al ricorso di un dipendente nei confronti di un’azienda resasi responsabile di controlli ritenuti eccessivamente invasivi, ha emesso un provvedimento destinato a chiarire ulteriormente le regole da tener presenti per le future applicazioni della normativa.

Il ricorrente aveva ricevuto dalla struttura presso cui prestava servizio, una contestazione di addebiti  riguardante accessi ad Internet non autorizzati effettuati dal luogo di lavoro, basata, essenzialmente, sulla rilevazione dei files temporanei e dei cookies generati dalla propria postazione.

Non avendo ricevuto riscontro alla richiesta di cancellazione di tali dati che lo riguardavano (alcuni anche di natura sensibile), aveva presentato un esposto al Garante, rilevando la violazione della normativa in materia di trattamento dati personali.

Secondo la tesi del dipendente, la resistente aveva trattato tali dati senza alcun consenso e senza informare preventivamente i lavoratori dell’esistenza di tale controllo, in violazione dell’art. 4 dello Statuto dei Lavoratori e della normativa relativa al trattamento dei dati personali.

Veniva inoltre rilevato un trattamento indebito ed inutile, rispetto alla finalità perseguita, di dati sensibili e di altra natura, essendo invece sufficienti, ai fini della contestazione, il solo controllo del traffico generato e ben potendosi, quindi, operare in altro modo, meno invasivo.

L’impresa resistente, invitata dal Garante a rendere le proprie controdeduzioni, aveva precisato che l’intero procedimento disciplinare che aveva riguardato il dipendente aveva tratto origine da una serie di illeciti perpetrati tramite la connessione aziendale, della quale non era autorizzato a fruire neppure per ragioni di lavoro (motivo per cui non era stato avvisato del controllo in essere), culminati con il download di virus informatici che avevano danneggiato la rete aziendale.

Secondo la tesi difensiva, la società non era obbligata a raccogliere il consenso, non richiesto ex art. 24 del Codice della Privacy (D.Lgs. 196/2003) per la tutela di interessi giuridicamente rilevanti, e ciò, sia rispetto al rapporto di lavoro in essere e alla sua risoluzione, sia rispetto alla tutela del patrimonio e dell’attività aziendale, ritenendo inapplicabile, al caso di specie, la tutela di cui all’art. 4, L. 300/1970, vertendosi in ipotesi di controllo che non riguarda l’attività lavorativa, ma una condotta illecita del lavoratore scoperta a posteriori e quindi senza un controllo invasivo che potesse ledere la dignità del dipendente. Un “controllo difensivo” legittimato dalla necessità di tutelare l’immagine ed il patrimonio aziendale da  indebite aggressioni e da eventuali danni cagionati dall’attività illecita dei dipendenti, per questo fonte di illecito extracontrattuale e non riconducibile al rapporto di lavoro.

Dalla successiva istruttoria emergeva che, in realtà, non vi erano limitazioni per l’accesso ad Internet nel computer dell’interessato (che quindi poteva collegarsi semplicemente attivando il browser necessario per la navigazione), che il controllo veniva operato a tempo indeterminato e non saltuariamente ed a campione, come sarebbe opportuno, e che i files sui quali si basava la contestazione erano stati prelevati direttamente dalla postazione di lavoro del dipendente, e non da un backup automatico come asserito dall’azienda.

Il Garante procedeva quindi, in data 2 febbraio 2006, ad accogliere il ricorso del dipendente, sostenendo la decisione con diversi motivi, di seguito sinteticamente riportati.

Innanzitutto il controllo viene giudicato dall’Autorità eccessivo rispetto alla finalità perseguita, ed operato in assenza di una preventiva opera di informazione nei confronti dei dipendenti interessati, in violazione dell’art. 11 del Codice, nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto al fine.

Non é stato ritenuto sufficiente, in tal senso, il manuale aziendale, che riportava unicamente di un controllo effettuato sul traffico di rete, mentre dall’istruttoria è emerso chiaramente che il datore di lavoro aveva avuto accesso al computer del dipendente e su di esso aveva prelevato i files temporanei della navigazione e i cookies memorizzati dai siti visitati, venendo così a conoscenza di molte più informazioni (anche di natura sensibile) rispetto a quelle acquisibili attraverso la semplice analisi del traffico di rete.

E’ risultato quindi evidente che l’interessato non era stato informato previamente dell’eventualità di tali controlli e del tipo di trattamento che sarebbe stato effettuato, mentre è apparso evidente che il controllo sarebbe stato possibile comunque attraverso altri strumenti, senza operare un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni.

La raccolta di tali informazioni si era estesa, indirettamente, anche al trattamento di alcuni dati sensibili, idonei a rivelare convinzioni religiose, opinioni sindacali, e preferenze sessuali dell’interessato, assolutamente inutili ai fini della contestazione di addebiti e gravemente invasive della riservatezza del dipendente.

Evidenzia il Garante che, “…sebbene i dati personali siano stati raccolti nell’ambito di controlli informatici volti a verificare l’esistenza di un comportamento illecito… …le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile” (art. 26, comma 4, lett. c), del Codice; autorizzazione n. 1/2004 del Garante). Tale indispensabilità, anche alla luce di quanto precedentemente osservato, non ricorre nel caso di specie”.

Manca, secondo il Garante, il bilanciamento di interessi necessario a giustificare tale tipologia di trattamento, che sarebbe stato ammissibile ove il diritto da tutelare in sede giudiziaria avesse riguardato interessi di pari rango rispetto a quelli del dipendente messi in gioco dal rilevamento, ma che si appalesa, viceversa, del tutto intollerabile, ove l’unico interesse, come nel caso di specie, sia quello di natura patrimoniale riconducibile all’utilizzo corretto delle risorse tecnologiche aziendali.

Ribadisce, in sostanza, il Garante, quanto già precedentemente statuito circa i controlli esercitabili sui lavoratori. Il trattamento è possibile a condizione che vi sia stata una preventiva e corretta informazione sulla tipologia delle operazioni svolte, sui dati raccolti e sui controlli effettivamente operati, ed a condizione che vengano rispettati comunque i principi sanciti dal codice della privacy, soprattutto in relazione al bilanciamento di interessi che deve necessariamente ispirare l’attività del titolare del trattamento.

Ben vengano i controlli, pertanto, ma a condizione che siano proporzionati alla finalità della raccolta ed elaborazione dei dati, e, soprattutto, che siano trasparenti nei confronti dei soggetti sottoposti a controllo e finalizzati esclusivamente al controllo difensivo da parte dell’azienda, e non alla schedatura dei dipendenti.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *