Lezione 8 Abuso di internet e di posta elettronica in azienda I vincoli al controllo
La problematica…. Lintroduzione dellinformatica in azienda, in particolare nei processi produttivi modifica i rapporti interni tra componenti dellimpresa.modifica i rapporti interni Gli strumenti informatici forniscono modalità ulteriori di esercizio del potere di controllo che, insieme al potere direttivo e a quello disciplinare, è riconosciuto al datore di lavoro.strumenti informatici Il diritto dellimpresa al controllo del corretto utilizzo delle strutture aziendali deve trovare nuove forme di coordinamento con i limiti allesercizio di tale potere, stabiliti nel nostro ordinamento.diritto dellimpresa al controllo allesercizio di tale potere
Cosa cambia nei processi produttivi? Riduzione dei tempi di esecuzione (da cui deriva laumento del numero degli atti soggetti al controllo) Aumento delle procedure automatizzate (che si sottraggono ad un controllo puntuale) Maggiore autonomia dei dipendenti Maggiore visibilità dei dipendenti (sia verso lesterno che allinterno dellazienda) …….
Rischi Uso di internet e posta elettronica: i rischi per lazienda Labuso o luso non consapevole degli strumenti di comunicazione telematica determinano una serie di rischi: Rischi commerciali Rischi legali Rischi di sicurezza Rischi di perdita di immagine
Entro quale limite limprenditore è responsabile del comportamento del dipendente? Responsabilità indiretta Art cc I padroni e i committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nellesercizio delle incombenze a cui sono adibiti Responsabilità in eligendo e in vigilando Art. 43 cp Il delitto (...) è colposo o contro lintenzione quando levento, anche se preveduto non è voluto dallagente e si verifica a causa di negligenza, imprudenza o imperizia, ovvero per inosservanza di leggi, regolamenti, ordini o discipline
Rischi Rischi commerciali compromissione di aree di business responsabilità contrattuali nei confronti dei terzi
Rischi Rischi legali Violazione di norme di legge: download abusivo di software accesso a siti dai contenuti illeciti diffamazione in rete spamming upload dei dati
Rischi Rischi di sicurezza
Rischi Rischi di perdita di immagine luso dellindirizzo aziendale comporta la spendita del nome dellazienda con conseguenti danni di immagine: nel caso di illeciti e/o reati nel caso di errori
Introduzione Le soluzioni Adozione di tecnologie di controllo Misure organizzative (protocollo elettronico, archivi organizzati e accessibili) Strumenti contrattuali Policy interne Formazione Etc.
Gli strumenti che consentono il controllo Internet Registrazione dei log di accesso/connessione Registrazione dei log di navigazione Strumenti che impediscono laccesso a determinati siti Strumenti che impediscono laccesso a determinati siti e al contempo registrano i tentativi di accesso Posta elettronica Registrazione dei dati delle.mail (data, ora, mittente destinatario) Registrazione del contenuto delle.mail Strumenti che impediscono il download di certi file Strumenti che impediscono la ricezione o linvio di e.mail che contengono determinate parole
Il diritto dellimpresa al controllo del corretto utilizzo delle strutture e degli strumenti aziendali *Art cc Limprenditore è il capo dellimpresa e da lui dipendono gerarchicamente i suoi collaboratori *Art cc Limprenditore è tenuto ad adottare nellesercizio dellimpresa le misure, che secondo la particolarità del lavoro, lesperienza e la tecnica, sono necessarie a tutelare lintegrità fisica e la personalità morale dei prestatori di lavoro *Art cc Il prestatore di lavoro (…) deve osservare le disposizioni per lesecuzione e per la disciplina del lavoro impartite dallimprenditore e dai collaboratori di questo dai quali gerarchicamente dipende. *Art cc I padroni e i committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nellesercizio delle incombenze a cui sono adibiti. *Norme che impongono ladozione di misure di sicurezza dei sistemi (ad esempio la normativa in materia di computer crimes o quella a tutela della sicurezza dei dati personali)
Sentenza Cassazione 18 febbraio 1997 n Lo statuto dei lavoratori non esclude il potere dellimprenditore, ex art e 2104 c.c., di controllare direttamente e mediante la propria organizzazione interna il corretto adempimento delle prestazioni lavorative e, quindi, di accertare mancanze specifiche dei dipendenti commesse o in corso di esecuzione, e ciò indipendentemente dalle modalità di controllo, che può avvenire anche in maniera occulta senza che vi ostino nè il principio di buona fede nellesecuzione dei rapporti, nè il divieto di cui allarticolo 4 riferito esclusivamente alluso di apparecchiature per il controllo a distanza.
I limiti al potere di controllo Statuto dei lavoratori articolo 4 articolo 8 Per i lavoratori pubblici articolo 55 del decreto legislativo 29/93 che richiama lo Statuto dei lavoratori Normativa a tutela dei dati personali Normativa a tutela della corrispondenza
Statuto dei lavoratori: articolo 4 E vietato luso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dellattività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede lispettorato del lavoro dettando, ove occorra, le modalità per luso di tali impianti.
Cosa stabilisce larticolo 4? Divieto assoluto di installazione ed uso di apparecchiature esclusivamente destinate al controllo dellattività dei lavoratori Divieto derogabile di installazione di apparecchiature che rispondono ad esigenze produttive, organizzative o di sicurezza e che rendono possibile il controllo dellattività dei lavoratori
Interpretazioni giurisprudenziali relative allarticolo 4 Il divieto sussiste anche: quando il controllo è discontinuo, a meno che non si esaurisca nel momento in cui in cui il lavoratore consapevole si presti ad essere controllato (Trib. Milano ) quando i lavoratori sono stati preavvertiti (Cass del ) Il divieto non sussiste: (!) quando comporta il controllo della condotta illecita del dipendente e non lattività lavorativa svolta dal lavoratore (Cass del )
Condizioni alla deroga del divieto 1)Il sistema deve essere necessario per ragioni organizzative, produttive o di sicurezza del lavoro Per i lavoratori del settore privato: 2)Accordo con le rappresentanze sindacali o in mancanza con la commissione interna. Se non si raggiunge laccordo, il datore di lavoro può chiedere lintervento dellIspettorato del lavoro Per i lavoratori del settore pubblico: 2)Delibera di Giunta, sentiti gli organismi rappresentativi dei dipendenti
Statuto dei lavoratori: articolo 8 E fatto divieto al datore di lavoro, ai fini dellassunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dellattitudine professionale del lavoratore.
Normativa a tutela dei dati personali Obbligo di informativa Consenso (quando richiesto o per il trattamento di dati sensibili) Autorizzazione del Garante per il trattamento di dati sensibili Rispetto dei principi di cui allarticolo 3 di necessità del trattamento e allarticolo 11di pertinenza e non eccessività dei dati Artt. 113 e 114 TU Privacy
Articoli 113 e 114 TU Privacy art. 113 (Raccolta di dati e pertinenza) Resta fermo quanto disposto dallart. 8 della legge 300/70 art. 114 (Controllo a distanza) Resta fermo quanto disposto dallart. 4 della legge 300/70
Normativa a tutela della corrispondenza Articolo 15 della Costituzione La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili (…) Articoli 616 e 618 c.p.(estratto) E reato prendere cognizione del contenuto di una corrispondenza chiusa diretta ad altri, sottrarre una corrispondenza chiusa o aperta, distruggerla, rivelarne il contenuto. Per corrispondenza si intende anche quella informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza
Legittimità degli strumenti che consentono il controllo Sulla base delle considerazioni fatte, si verificano uno per uno gli strumenti che consentono il controllo del lavoratore e se ne individuano le condizioni perché il loro ricorso sia legittimo
Internet StrumentiRiferimento normativo rilevante Condizioni di legittimità Registrazione dei log di connessione Art. 4 SL Legge 675/96 Accordo con i sindacati Informativa e consenso Registrazione dei log di navigazione Art. 4 SL + 675/96 Art. 8 SL Accordo con i sindacati,Informativa e Consenso Divieto Strumenti che impediscono laccesso a determinati siti Si tratta di strumenti legittimi se si limitano ad impedire laccesso Strumenti che registrano i tentativi di accedere ai siti vietati Art. 4 SL + 675/96 Art. 8 SL Accordo con i sindacati,Informativa e Consenso Divieto
Sentenza Tribunale Milano 14 giugno 2001 Integra gli estremi della giusta causa di licenziamento il comportamento di una dipendente che, al posto di svolgere la prestazione lavorativa, effettua per più giorni collegamenti Internet di circa due ore ciascuno come dimostrato dai dati del provider nonché dal fatto che le connessioni internet scompaiono quasi del tutto nei giorni di assenza della dipendente stessa.
Aspetti di rilievo della fattispecie 1.il servizio internet veniva fornito da un provider 2.in un primo periodo non vi era possibilità di rilevare quale computer fosse collegato alla rete. La prova viene desunta dalla coincidenza del venir meno dei collegamenti allassenza della lavoratrice dallufficio 3.in un secondo periodo, il datore di lavoro chiede al provider di rilevare i collegamenti delle singole macchine. I log evidenziano che i collegamenti avvenivano dal computer della lavoratrice.
Questioni aperte la sentenza non pone il problema della legittimità della rilevazione dei log, anche perchè marginale rispetto alla vicenda (solo in un secondo tempo i dati di connessione sono associati a computer determinati e quindi a persone identificate) la fattispecie solleva però la questione della legittimità della rilevazione dei log da parte di un soggetto terzo, linternet provider.
Sentenza Cassazione del 13 settembre 2002 Può rinvenirsi la fattispecie del peculato duso nel caso del dipendente pubblico che usi illegittimamente il telefono dufficio, ricorrendone per fini privati oltre i margini della normale tolleranza
Aspetti di rilievo della fattispecie Rapporto tra PA e dipendente pubblico Il decreto del Ministro della funzione pubblica del 31 marzo 1994 stabilisce che "salvo casi eccezionali dei quali informa il dirigente dellufficio, il dipendente non utilizza le linee telefoniche dellufficio per effettuare chiamate personali". Le chiamate effettuate erano 64 in due mesi
Questioni aperte La sentenza nulla dice a proposito della legittimità della registrazione del numero e della durata delle telefonate. Sulla legittimità di tali registrazioni si è pronunciata la giurisprudenza meno recente che condiziona a quanto stabilito dallarticolo 4 dello statuto dei lavoratori
.....la legittimità delle registrazioni dei centralini telefonici luso di un elaboratore con funzioni di centralino telefonico, quando in tal modo è possibile rilevare analiticamente i dati relativi a ogni singola telefonata effettuata dai dipendenti e quando è possibile per alcuni utenti inserirsi nelle telefonate di altri mediante la cosiddetta «intrusione» (Pretura Milano, 9 novembre 1984); limpiego di un centralino telefonico automatico atto a rilevare e a registrare, tramite una stampante, tutta una serie di dati, quali il numero dellapparecchio interno chiamante, il numero dellutente esterno, la data, lora e il minuto dinizio, la durata e il numero degli scatti di ogni singola conversazione, e con possibilità di inclusione diretta in linea (Pretura Milano, 4 ottobre 1988); accordo con le rappresentanze sindacali
Cassazione 4746 del 3 aprile 2002 Ai fini della operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dellattività dei lavoratori ex art. 4 legge 300/70, è necessario che il controllo riguardi lattività lavorativa, mentre devono ritenersi certamente fuori dallambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cd controlli difensivi) quali, ad esempio, i sistemi di controllo dellaccesso ad aree riservate o, appunto, gli apparecchi di rilevazione di telefonate ingiustificate. Sentenza
Questioni aperte La sentenza esclude lapplicazione dellarticolo 4 ai cosiddetti controlli difensivi, quelli volti a rilevare i comportamenti illeciti. Così facendo, però, pare consentire anche i controlli sui comportamenti leciti. Il che è in evidente contrasto con larticolo 4 che dice è vietato luso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dei lavoratori (...) Se il ragionamento della Cassazione fosse coerente, quando troverebbe applicazione larticolo in questione?
Posta elettronica StrumentiRiferimento normativo rilevante Condizioni di legittimità Registrazione dei dati di e.mail (data,mittente destinatario) Art. 4 SL Legge 675/96 Accordo con i sindacati Informativa e consenso Attenzione: tutela dei terzi Registrazione del contenuto delle.mail Artt. 616 e 618 cp Art. 8 SL Divieto (?) Strumenti che impediscono la ricezione di certi file Si tratta di strumenti legittimi se si limitano a fare quanto indicato Strumenti che impediscono la ricezione di e.mail che contengono determinate parole Si tratta di strumenti legittimi se si limitano a fare quanto indicato
Le posizioni della dottrina Ma la posta che giunge nella mailbox aziendale è da considerarsi corrispondenza tutelata ai sensi dellarticolo 15 Cost. anche nei confronti del datore di lavoro? Due posizioni in dottrina: 1.Si, sempre. 2.Si, ma solo con riferimento alla posta privata
Ordinanza Tribunale Milano GUP 10 maggio 2002 Laccesso da parte di terzi alla casella di posta elettronica aziendale in uso al lavoratore sebbene protetta da codici identificativi, non costituisce violazione della sfera privata del lavoratore, non essendo in tal caso configurabile un diritto allutilizzo esclusivo e privato.
Aspetti di rilievo della fattispecie Durante un periodo di assenza per ferie della dipendente, la sua responsabile entra nella casella di posta allo scopo dichiarato di accedere alle e. mail relative alla clientela In quelloccasione, rileva come la dipendente ricevesse e inviasse anche e.mail attinenti progetti estranei allattività lavorativa Per tale ragione, il datore di lavoro procede al licenziamento della dipendente
Questioni aperte Punti salienti della ordinanza la funzione svolta dagli identificativi è solo quella di proteggere i predetti strumenti dallaccesso di persone estranee alla società. Infatti, si dice, è consentito lo scambio di password Il riferimento alla normativa a tutela dei dati personali è inconferente con la questione La casella di posta elettronica è da considerarsi equiparata ai normali strumenti di lavoro dellimpresa e quindi in uso ai dipendenti per le sole attività aziendali Aspetti problematiciLo scambio di password non è ammesso dal dpr 318/99 Affermazione apodittica. La questione non è affrontata dallordinanza In quanto strumenti di lavoro, si pone il problema del controllo a distanza del lavoratore, che lordinanza non affronta
I rapporti con i fornitori dei servizi di telecomunicazione Tutto quanto detto, presuppone che il server sia gestito dal datore di lavoro. Nel caso in cui sia gestito da un terzo, agli obblighi suddetti si aggiungono quelli che legittimano lattività in questione quando effettuata da un estraneo al rapporto di lavoro.
Condizioni di legittimità del controllo da parte del fornitore di servizi di telecomunicazione decr.leg. 196/03 art. 123dpr 445/00 I dati personali relativi al traffico sono cancellati o resi anonimi se non sono più necessari alla trasmissione della comunicazione. E consentita la conservazione per la fatturazione o per i pagamenti dellinterconnessione. Ai fini della commercializzazione di servizi di telecomunicazione, propri o altrui, il fornitore di un servizio di telecomunicazioni accessibile al pubblico può trattare i dati solo se labbonato o lutente ha dato il proprio consenso. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche.
Bibliografia Per un approfondimento della problematica si veda Andrea Stanchi Privacy, rapporto di lavoro, monitoraggio degli accessi ad Internet, monitoraggio delle e.mail e normative di tutela contro il controllo a distanza. Appunti per una riflessione interpretativa in Lordinanza 10 giugno 2002 del tribunale di Milano può essere consultata in