Lezione 9 La legittimità al controllo delluso di internet e della posta elettronica in azienda

La problematica…. Lintroduzione dellinformatica in azienda, in particolare nei processi produttivi modifica i rapporti interni tra componenti dellimpresa. Gli strumenti informatici forniscono modalità ulteriori di esercizio del potere di controllo che, insieme al potere direttivo e a quello disciplinare, è riconosciuto al datore di lavoro. Il diritto dellimpresa al controllo del corretto utilizzo delle strutture aziendali deve trovare nuove forme di coordinamento con i limiti allesercizio di tale potere, stabiliti nel nostro ordinamento.

Gli strumenti che consentono il controllo Internet Registrazione dei log di accesso/connessione Registrazione dei log di navigazione Strumenti che impediscono laccesso a determinati siti Strumenti che impediscono laccesso a determinati siti e al contempo registrano i tentativi di accesso Posta elettronica Registrazione dei dati delle.mail (data, ora, mittente destinatario) Registrazione del contenuto delle.mail Strumenti che impediscono il download di certi file Strumenti che impediscono la ricezione o linvio di e.mail che contengono determinate parole

Il diritto dellimpresa al controllo del corretto utilizzo delle strutture e degli strumenti aziendali *Art cc Limprenditore è il capo dellimpresa e da lui dipendono gerarchicamente i suoi collaboratori *Art cc Limprenditore è tenuto ad adottare nellesercizio dellimpresa le misure, che secondo la particolarità del lavoro, lesperienza e la tecnica, sono necessarie a tutelare lintegrità fisica e la personalità morale dei prestatori di lavoro *Art cc Il prestatore di lavoro (…) deve osservare le disposizioni per lesecuzione e per la disciplina del lavoro impartite dallimprenditore e dai collaboratori di questo dai quali gerarchicamente dipende. *Art cc I padroni e i committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nellesercizio delle incombenze a cui sono adibiti. *Norme che impongono ladozione di misure di sicurezza dei sistemi (ad esempio la normativa in materia di computer crimes o quella a tutela della sicurezza dei dati personali)

Il diritto dellimpresa Si rinviene nel nostro ordinamento, quindi, il diritto dellimpresa: -a scegliere gli strumenti di lavoro del lavoratore, sempre nel rispetto della sua sicurezza -a controllarne lutilizzo

Sentenza Cassazione 18 febbraio 1997 n Lo statuto dei lavoratori non esclude il potere dellimprenditore, ex art e 2104 c.c., di controllare direttamente e mediante la propria organizzazione interna il corretto adempimento delle prestazioni lavorative e, quindi, di accertare mancanze specifiche dei dipendenti commesse o in corso di esecuzione, e ciò indipendentemente dalle modalità di controllo, che può avvenire anche in maniera occulta senza che vi ostino nè il principio di buona fede nellesecuzione dei rapporti, nè il divieto di cui allarticolo 4 riferito esclusivamente alluso di apparecchiature per il controllo a distanza.

I limiti al potere di controllo Statuto dei lavoratori articolo 4 articolo 8 Per i lavoratori pubblici articolo 55 del decreto legislativo 29/93 che richiama lo Statuto dei lavoratori Normativa a tutela dei dati personali Normativa a tutela della corrispondenza

Statuto dei lavoratori: articolo 4 E vietato luso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dellattività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede lispettorato del lavoro dettando, ove occorra, le modalità per luso di tali impianti.

Cosa stabilisce larticolo 4? Divieto assoluto di installazione ed uso di apparecchiature esclusivamente destinate al controllo dellattività dei lavoratori Divieto derogabile di installazione di apparecchiature che rispondono ad esigenze produttive, organizzative o di sicurezza e che rendono possibile il controllo dellattività dei lavoratori

Interpretazioni giurisprudenziali relative allarticolo 4 Il divieto sussiste anche: quando il controllo è discontinuo, a meno che non si esaurisca nel momento in cui in cui il lavoratore consapevole si presti ad essere controllato (Trib. Milano ) quando i lavoratori sono stati preavvertiti (Cass del ) Il divieto non sussiste: (!) quando comporta il controllo della condotta illecita del dipendente e non lattività lavorativa svolta dal lavoratore (Cass del )

Condizioni alla deroga del divieto 1)Il sistema deve essere necessario per ragioni organizzative, produttive o di sicurezza del lavoro Per i lavoratori del settore privato: 2)Accordo con le rappresentanze sindacali o in mancanza con la commissione interna. Se non si raggiunge laccordo, il datore di lavoro può chiedere lintervento dellIspettorato del lavoro Per i lavoratori del settore pubblico: 2)Delibera di Giunta, sentiti gli organismi rappresentativi dei dipendenti

Statuto dei lavoratori: articolo 8 E fatto divieto al datore di lavoro, ai fini dellassunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dellattitudine professionale del lavoratore.

Normativa a tutela dei dati personali Obbligo di informativa Consenso (quando richiesto o per il trattamento di dati sensibili) Autorizzazione del Garante per il trattamento di dati sensibili Rispetto dei principi di cui allarticolo 3 di necessità del trattamento e allarticolo 11 di pertinenza e non eccessività dei dati Artt. 113 e 114 TU Privacy

Articoli 113 e 114 TU Privacy art. 113 (Raccolta di dati e pertinenza) Resta fermo quanto disposto dallart. 8 della legge 300/70 art. 114 (Controllo a distanza) Resta fermo quanto disposto dallart. 4 della legge 300/70

Normativa a tutela della corrispondenza Articolo 15 della Costituzione La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili (…) Articoli 616 e 618 c.p.(estratto) E reato prendere cognizione del contenuto di una corrispondenza chiusa diretta ad altri, sottrarre una corrispondenza chiusa o aperta, distruggerla, rivelarne il contenuto. Per corrispondenza si intende anche quella informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza

Legittimità degli strumenti che consentono il controllo Sulla base delle considerazioni fatte, si verificano uno per uno gli strumenti che consentono il controllo del lavoratore e se ne individuano le condizioni perché il loro ricorso sia legittimo

Internet StrumentiRiferimento normativo rilevante Condizioni di legittimità Registrazione dei log di connessione Art. 4 SL Decr. leg. 196/03 Accordo con i sindacati Informativa e consenso Registrazione dei log di navigazione Art. 4 SL + 196/03 Art. 8 SL Accordo con i sindacati,Informativa e Consenso Divieto Strumenti che impediscono laccesso a determinati siti Si tratta di strumenti legittimi se si limitano ad impedire laccesso Strumenti che registrano i tentativi di accedere ai siti vietati Art. 4 SL + 196/03 Art. 8 SL Accordo con i sindacati,Informativa e Consenso Divieto

Sentenza Tribunale Milano 14 giugno 2001 Integra gli estremi della giusta causa di licenziamento il comportamento di una dipendente che, al posto di svolgere la prestazione lavorativa, effettua per più giorni collegamenti Internet di circa due ore ciascuno come dimostrato dai dati del provider nonché dal fatto che le connessioni internet scompaiono quasi del tutto nei giorni di assenza della dipendente stessa.

Aspetti di rilievo della fattispecie 1.il servizio internet veniva fornito da un provider 2.in un primo periodo non vi era possibilità di rilevare quale computer fosse collegato alla rete. La prova viene desunta dalla coincidenza del venir meno dei collegamenti allassenza della lavoratrice dallufficio 3.in un secondo periodo, il datore di lavoro chiede al provider di rilevare i collegamenti delle singole macchine. I log evidenziano che i collegamenti avvenivano dal computer della lavoratrice.

Questioni aperte la sentenza non pone il problema della legittimità della rilevazione dei log, anche perchè marginale rispetto alla vicenda (solo in un secondo tempo i dati di connessione sono associati a computer determinati e quindi a persone identificate) la fattispecie solleva però la questione della legittimità della rilevazione dei log da parte di un soggetto terzo, linternet provider.

Sentenza Cassazione del 13 settembre 2002 Può rinvenirsi la fattispecie del peculato duso nel caso del dipendente pubblico che usi illegittimamente il telefono dufficio, ricorrendone per fini privati oltre i margini della normale tolleranza

Aspetti di rilievo della fattispecie Rapporto tra PA e dipendente pubblico Il decreto del Ministro della funzione pubblica del 31 marzo 1994 stabilisce che "salvo casi eccezionali dei quali informa il dirigente dellufficio, il dipendente non utilizza le linee telefoniche dellufficio per effettuare chiamate personali". Le chiamate effettuate erano 64 in due mesi

Questioni aperte La sentenza nulla dice a proposito della legittimità della registrazione del numero e della durata delle telefonate. Sulla legittimità di tali registrazioni si è pronunciata la giurisprudenza meno recente che condiziona a quanto stabilito dallarticolo 4 dello statuto dei lavoratori

.....la legittimità delle registrazioni dei centralini telefonici luso di un elaboratore con funzioni di centralino telefonico, quando in tal modo è possibile rilevare analiticamente i dati relativi a ogni singola telefonata effettuata dai dipendenti e quando è possibile per alcuni utenti inserirsi nelle telefonate di altri mediante la cosiddetta «intrusione» (Pretura Milano, 9 novembre 1984); limpiego di un centralino telefonico automatico atto a rilevare e a registrare, tramite una stampante, tutta una serie di dati, quali il numero dellapparecchio interno chiamante, il numero dellutente esterno, la data, lora e il minuto dinizio, la durata e il numero degli scatti di ogni singola conversazione, e con possibilità di inclusione diretta in linea (Pretura Milano, 4 ottobre 1988); accordo con le rappresentanze sindacali

Sentenza Cassazione Sez. lav. 8259/00 il Tribunale di Verona, seguendo un iter argomentativo lineare e corretto, ha ritenuto l'inammissibilità dell'unico mezzo di prova dedotto dalla società a fondamento della propria domanda, ed avente il seguente tenore: " vero che a seguito dell'installazione di telecamera a circuito chiuso risultava che la responsabile degli ammanchi era la predetta G. L., come da fotogramma che si produce", Ciò. in quanto detto mezzo di prova, oltre ad essere formulato in maniera generica ed implicante un giudizio non consentito ai testi, era diretto a fornire la dimostrazione di u fatto mediante uno strumento, il cui impiego per finalità di controllo a distanza dell'attività dei lavoratori era espressamente vietato dall'art. 4 statuto dei lavoratori. Detto art. 4, infatti, sancisce, al suo primo comma, il divieto di utilizzazione di mezzi di controllo a distanza, tra i quali, in primo luogo, gli impianti audiovisivi, sul presupposto - espressamente precisato nella "Relazione ministeriale" - che la vigilanza sul lavoro, ancorché necessaria nell'organizzazione produttiva, vada mantenuta in una dimensione "umana", e cioè non esasperata dall'uso di tecnologie che possono rendere la vigilanza stessa continua e anelastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro. Lo stesso articolo, tuttavia, al secondo comma, prevede che esigenze organizzative, produttive ovvero di sicurezza del lavoro possano richiedere l'eventuale installazione di impianti ed apparecchiature di controllo, dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori. In tal caso è prevista una garanzia procedurale a vari livelli, essendo la installazione condizionata all'accordo con le rappresentanze sindacali aziendali o con la commissione interna, ovvero, in difetto, all'autorizzazione dell'Ispettorato del lavoro. In tal modo il legislatore ha inteso contemperare l'esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro, o, se si vuole, della stessa collettività,. relativamente alla organizzazione, produzione e sicurezza del lavoro, individuando una precisa procedura esecutiva e gli stessi soggetti ad essa partecipi.

Cassazione 4746 del 3 aprile 2002 Ai fini della operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dellattività dei lavoratori ex art. 4 legge 300/70, è necessario che il controllo riguardi lattività lavorativa, mentre devono ritenersi certamente fuori dallambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cd controlli difensivi) quali, ad esempio, i sistemi di controllo dellaccesso ad aree riservate o, appunto, gli apparecchi di rilevazione di telefonate ingiustificate. Sentenza

Questioni aperte La sentenza esclude lapplicazione dellarticolo 4 ai cosiddetti controlli difensivi, quelli volti a rilevare i comportamenti illeciti. Così facendo, però, pare consentire anche i controlli sui comportamenti leciti. Il che è in evidente contrasto con larticolo 4 che dice è vietato luso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dei lavoratori (...) Se il ragionamento della Cassazione fosse coerente, quando troverebbe applicazione larticolo in questione?

Corte dei conti sez. Piemonte 1856/03 Per quanto concerne la prima censura, incentrata sul divieto di utilizzare, da parte del datore di lavoro, impianti audiovisivi ed altre apparecchiature finalizzate a svolgere un controllo a distanza dei lavoratori, con conseguente violazione della normativa a tutela della privacy, questi Giudici ritengono che la stessa debba essere disattesa. Il Collegio, infatti, non ravvisa nell'operato del Comune di Arona alcun comportamento invasivo preordinato al controllo recondito dell'attività del proprio dipendente, ma semplicemente l'impiego, con verifiche svolte ex post, di un tipo di software in uso a molte Pubbliche Amministrazioni in grado di registrare i dati inerenti agli accessi degli utenti collegati alla rete, non solo per finalità di repressione di comportamenti illeciti, ma anche per esigenze statistiche e di controllo della spesa. Del resto, non risulta che i controlli siano stati concomitanti all'attività lavorativa dell'odierno convenuto, ma sono stati disposti soltanto a posteriori, in funzione di significative e ripetute anomalie rappresentate da incursioni di virus provenienti da siti non istituzionali; l'utilizzabilità e l'efficacia nel presente giudizio dell'intero materiale probatorio raccolto, quindi, non può essere, ad avviso di questi Giudici, posta in discussione. Sulla specifica questione, il Collegio non condivide le conclusioni prospettate dalla difesa, relativamente all'asserita possibilità per la quale chiunque avrebbe potuto navigare in internet con il p.c. in dotazione all'odierno convenuto e la password avrebbe potuto essere conosciuta da altri soggetti, quali gli addetti al C.E.D., sul rilievo che, se ciò non si può certamente escludere in via di fatto, residua, tuttavia, un comportamento negligente, inescusabile e gravemente colposo del Dr. R.M., il quale, per sua espressa ammissione, si allontanava dal proprio ufficio per diverse ore al giorno lasciando il locale aperto ed il p.c. acceso, incustodito e con la parola chiave inserita. Il contegno serbato con sistematicità dal citato Dirigente, connotato dal mancato esercizio di quelle minime, possibili e semplici cautele procedimentali che la situazione richiedeva, da considerarsi oltremodo censurabile, poiché posto in essere da una figura lavorativa che ricopriva un ruolo di vertice nell'organigramma dell'Ente locale, depone a favore di una diretta imputabilità del danno, sotto il profilo eziologico, all'odierno convenuto.

Posta elettronica StrumentiRiferimento normativo rilevante Condizioni di legittimità Registrazione dei dati di e.mail (data,mittente destinatario) Art. 4 SL Decr. leg. 196/03 Accordo con i sindacati Informativa e consenso Attenzione: tutela dei terzi Registrazione del contenuto delle.mail Artt. 616 e 618 cp Art. 8 SL Divieto (?) Strumenti che impediscono la ricezione di certi file Si tratta di strumenti legittimi se si limitano a fare quanto indicato Strumenti che impediscono la ricezione di e.mail che contengono determinate parole Si tratta di strumenti legittimi se si limitano a fare quanto indicato

La posta aziendale è tutelata anche nei cfr del datore di lavoro? Il datore di lavoro è tenuto a conservare (e quindi conoscere) la corrispondenza aziendale (art codice civile) ha quindi diritto di accedere alla mail box aziendale per conoscere la corrispondenza aziendale ma se in essa è conservata anche la corrispondenza personale?

Ordinanza Tribunale Milano GUP 10 maggio 2002 Laccesso da parte di terzi alla casella di posta elettronica aziendale in uso al lavoratore sebbene protetta da codici identificativi, non costituisce violazione della sfera privata del lavoratore, non essendo in tal caso configurabile un diritto allutilizzo esclusivo e privato.

Aspetti di rilievo della fattispecie Durante un periodo di assenza per ferie della dipendente, la sua responsabile entra nella casella di posta allo scopo dichiarato di accedere alle e. mail relative alla clientela In quelloccasione, rileva come la dipendente ricevesse e inviasse anche e.mail attinenti progetti estranei allattività lavorativa Per tale ragione, il datore di lavoro procede al licenziamento della dipendente

Questioni aperte Punti salienti della ordinanza la funzione svolta dagli identificativi è solo quella di proteggere i predetti strumenti dallaccesso di persone estranee alla società. Infatti, si dice, è consentito lo scambio di password Il riferimento alla normativa a tutela dei dati personali è inconferente con la questione La casella di posta elettronica è da considerarsi equiparata ai normali strumenti di lavoro dellimpresa e quindi in uso ai dipendenti per le sole attività aziendali Aspetti problematiciLo scambio di password non è ammesso dal dpr 318/99 Affermazione apodittica. La questione non è affrontata dallordinanza In quanto strumenti di lavoro, si pone il problema del controllo a distanza del lavoratore, che lordinanza non affronta

Lutilizzo di strumenti che impediscono la ricezione di determinati file o di determinati messaggi Alcune questioni: 1.è legittimo impedire la ricezione di determinati messaggi? 1.diritto dellimpresa a regolare luso dello strumento 2.divieto di sottrarre la corrispondenza 2.è legittimo accedere alla corrispondenza per verificare la presenza di determinate parole o determinati contenuti? 1.divieto dellimpresa a regolare luso dello strumento 2.divieto di accedere al contenuto della corrispondenza 3.laccesso è effettuato da un software (non direttamente dal datore lavoro

Condizioni di legittimità del controllo da parte del fornitore di servizi di telecomunicazione decr.leg. 196/03 artt. 123 e 132dpr 445/00 (ora codice PA digitale) I dati personali relativi al traffico sono cancellati o resi anonimi quando non sono più necessari alla trasmissione della comunicazione. E consentita la conservazione per la fatturazione o per i pagamenti dellinterconnessione. Ai fini della commercializzazione di servizi di telecomunicazione, propri o altrui, il fornitore di un servizio di telecomunicazioni accessibile al pubblico può trattare i dati solo se labbonato o lutente ha dato il proprio consenso. Fermo restando quanto previsto dallarticolo 123 comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per 24 mesi, per finalità di accertamento e repressione dei reati (...) e per ulteriori 24 mesi per finalità di repressione dei delitti di cui allart. 407 comma 2 let. a) del cpp nonchè dei delitti in danno ai sistemi informatici e telematici Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche.