Il trattamento dei dati e le misure minime di sicurezza nelle aziende

1. Le linee guida del Garante per l'utilizzo sul lavoro della posta elettronica e di internet. Il trattamento dei dati e le misure minime di sicurezza nelle aziende Dott. Luca Zenarolla

2. Provvedimento a carattere generale 1 marzo 2007 • Aumento reclami, segnalazioni quesiti riguardo al trattamento di dati personali effettuati da datori di lavoro riguardo all'uso, da parti di dipendenti, di internet e delle e-mail; • Le richieste di intervento riguardano provvedimenti disciplinari irrogati dal datore di lavoro ai dipendenti Dott. Luca Zenarolla

3. Due recenti esempi di ricorsi al Garante A) Provvedimento 02/02/2006 Contestazione disciplinare per accessi a internet non autorizzati effettuati sul posto di lavoro. B) Provvedimento 18/05/2006 Contestazione disciplinare e successivo licenziamento del dipendente per utilizzo per fini personali di strumenti informatici aziendali Dott. Luca Zenarolla

4. Decisione su ricorso febbraio '06 I fatti: • ricorrente: addetto accettazione in una casa di cura. • navigazione in internet durante orario di lavoro, pur senza essere autorizzato alla navigazione. • trattamento di dati sensibili senza consenso e previa informativa. Dott. Luca Zenarolla

5. Decisione su ricorso febbraio '06 La difesa del datore: • il lavoratore per le sue mansioni non doveva accedere ad internet • No consenso per per far valere i propri diritti (art. 24 D.Lgs. 196/03). Dott. Luca Zenarolla

6. Decisione su ricorso febbraio '06 La decisione dell'Authority: • Sistema informatico mal configurato • Mancanza di informativa • Trattamento eccessivo e non indispensabile Dott. Luca Zenarolla

7. Decisione su ricorso maggio '06 I fatti: • Controlli alla presenza del dipendente e dell'amministratore del sistema informatico. • Individuazione due cartelle con file musicali e pornografici. • Trattamento di dati sensibili senza consenso e previa informativa. Dott. Luca Zenarolla

8. Decisione su ricorso maggio '06 La difesa del datore: • Linee guida aziendali e divieto utilizzazione strumenti aziendali per fini personali • Modalità di controllo in linea con i principi di correttezza. Dott. Luca Zenarolla

9. Decisione su ricorso maggio '06 La decisione dell'Authority: • Mancanza informativa: linee guida vietano uso personale, ma non informano dei controlli. • Trattamento eccessivo e non indispensabile. Dott. Luca Zenarolla

10. Due recenti esempi di ricorsi al Garante • In entrambi i casi il Garante riconosce la fondatezza nel merito dei provvedimenti del datore • MA • I ricorsi vengono accolti dall'Authority Dott. Luca Zenarolla

11. Due recenti esempi di ricorso al Garante Conseguenze dell'accoglimento: • Blocco del trattamento dei dati da parte del datore • Condanna del datore al pagamento delle spese e dei diritti del procedimento a favore del dipendente Dott. Luca Zenarolla

12. Come evitare il ripetersi di questi paradossi? • Applicare in azienda le Linee Guida del Garante per posta elettronica e internet. Dott. Luca Zenarolla

13. Linee guida per internet e la posta elettronica Obblighi del datore di lavoro: • Adottare idonee misure di sicurezza (disponibilità e integrità sistema informativi)‏ • Garantire il corretto impiego delle risorse • Bilanciare le misure con i diritti dei lavoratori Dott. Luca Zenarolla

14. Linee guida per internet e la posta elettronica Utilizzo della posta elettronica e della rete Internet: • Misure necessarie • Misure opportune Dott. Luca Zenarolla

15. Linee guida per internet e la posta elettronica Le attività di controllo sono “trattamenti di dati personali”. Principi applicabili: • Principio di necessità (art. 3 D.Lgs. 196/03)‏ • Principio di correttezza (art. 11, c. 1, lett. a D.Lgs. 196/03)‏ • Modalità (art. 11, c. 1, lett. b D.Lgs. 196/03)‏ Dott. Luca Zenarolla

16. Le singole misure Il Disciplinare interno (misura obbligatoria)‏ • Onere di indicare al lavoratore il corretto utilizzo degli strumenti • Comportamenti vietati • Informazioni eventualmente registrate • Controlli effettuati Dott. Luca Zenarolla

17. Le singole misure I controlli vietati (misura obbligatoria)‏ • lettura e registrazione sistematica delle e-mail; • memorizzazione sistematica dei siti web visualizzati dal lavoratore; • registrazione dei caratteri digitati su tastiera • analisi occulta di computer portatili affidati in uso. Dott. Luca Zenarolla

18. Le singole misure I controlli consentiti: • Esigenze produttive, organizzative, garanzia della sicurezza sul lavoro • Adozione di opportune misure preventive Dott. Luca Zenarolla

19. Le singole misure Misure preventive per la navigazione web: • Individuazione categorie di siti attinenti alle prestazioni lavorative • Configurazione dei sistemi per prevenire operazioni incompatibili con l'attività lavorativa (installazione programmi p2p, download di file o software con particolari caratteristiche)‏ Dott. Luca Zenarolla

20. Le singole misure Misure preventive per la posta elettronica: • Implementazione indirizzi condivisi tra più lavoratori (es. ufficiovendite@società.it) • Implementazione funzionalità di sistema per gestire il caso di assenze (ad es., per ferie o attività di lavoro fuori sede) dei singoli lavoratori • Predisposizione di un avvertimento circa la natura non personale dei messaggi Dott. Luca Zenarolla

21. Le singole misure Graduazione dei controlli: • Controllo preliminare su dati aggregati o anonimi • Avvisi generalizzati • Controlli su base individuale • Conservazione dei log file Dott. Luca Zenarolla

22. La giurisprudenza... • Cass. Sezione Lavoro 13/09/06, n. 19554: Licenziamento per giusta causa del dipendente che comunica a terzi le credenziali di autenticazione • Tribunale Perugia, 20/02/06: La verifica effettuata dal datore sul Pc del dipendente per verificarne l'eventuale abuso è un lecito controllo di tipo difensivo Dott. Luca Zenarolla

23. STUDIO LEGALE RIEMVicolo Chiuso, 533170 - PordenoneTel. 0434 28056 Fax 0434 246429 mail info@studiolegaleriem.it Dott. Luca Zenarolla