fabio brucato area affari generali e legali ufficio per la privacy

““Linee guida Garante Privacy su Linee guida Garante Privacy su utilizzo Internet e posta elettronica e utilizzo Internet e posta elettronica e

Direttiva Brunetta 02/09”Direttiva Brunetta 02/09”

Fabio BrucatoFabio Brucato

Area Affari Generali e LegaliArea Affari Generali e Legali

Ufficio per la PrivacyUfficio per la Privacy

11

La problematica …La problematica …

Internet e posta elettronica sono ormai divenuti Internet e posta elettronica sono ormai divenuti essenziali ed imprescindibili strumenti di lavoro essenziali ed imprescindibili strumenti di lavoro anche nelle amministrazioni pubbliche.anche nelle amministrazioni pubbliche.

L’impiego massiccio di tali strumenti è peraltro L’impiego massiccio di tali strumenti è peraltro promosso e, in talune ipotesi, imposto, anche da promosso e, in talune ipotesi, imposto, anche da numerose normative, generali e di settore.numerose normative, generali e di settore.

L’utilizzo di tali strumenti potrebbe prestarsi ad L’utilizzo di tali strumenti potrebbe prestarsi ad abusi e utilizzi impropri.abusi e utilizzi impropri.

22

I rischi per il datore di lavoroI rischi per il datore di lavoro

Utilizzo di internet o della posta elettronica per Utilizzo di internet o della posta elettronica per fini personali ed extralavorativi…fini personali ed extralavorativi…

Utilizzo di internet o della posta elettronica per Utilizzo di internet o della posta elettronica per fini illeciti (accesso a siti aventi contenuti e/o fini illeciti (accesso a siti aventi contenuti e/o finalità vietati dalla legge, download di files finalità vietati dalla legge, download di files protetti dal diritto d’autore, diffusione di protetti dal diritto d’autore, diffusione di messaggi diffamatori, ecc.)…messaggi diffamatori, ecc.)…

Rischi per il sistema informatico (malwares, Rischi per il sistema informatico (malwares, saturazione della rete, perdita di dati, accessi alla saturazione della rete, perdita di dati, accessi alla rete non autorizzati)...rete non autorizzati)...

33

I rischi per il datore di lavoroI rischi per il datore di lavoro

Diffusione dei Diffusione dei malwares malwares in crescita costantein crescita costante: si : si calcola che, nel solo anno 2008, su internet siano calcola che, nel solo anno 2008, su internet siano circolati circa 15 milioni di circolati circa 15 milioni di malwaresmalwares, di cui quelli , di cui quelli circolati tra i mesi di gennaio e agosto sono pari circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti, e tali numeri alla somma dei 17 anni precedenti, e tali numeri sono destinati verosimilmente ad aumentare (dati sono destinati verosimilmente ad aumentare (dati riferiti a “Sicurezza, in una classifica i bug più riferiti a “Sicurezza, in una classifica i bug più pericolosi”, sito “Punto-informatico.it).pericolosi”, sito “Punto-informatico.it).

44

Gli obblighi reciprociGli obblighi reciprociI dipendenti hanno l’obbligo di:I dipendenti hanno l’obbligo di:

Non causare danni o pericoli ai beni e agli Non causare danni o pericoli ai beni e agli strumenti ad essi affidatistrumenti ad essi affidati

Non utilizzare a fini privati materiali o Non utilizzare a fini privati materiali o attrezzature di cui dispongono per ragioni attrezzature di cui dispongono per ragioni d’ufficiod’ufficio

I datori di lavoro devono:I datori di lavoro devono:

Informare specificamente i lavoratori circa attività Informare specificamente i lavoratori circa attività permesse e vietatepermesse e vietate

Rispettare il principio di proporzionalità, Rispettare il principio di proporzionalità, pertinenza e non eccedenza nelle eventuali pertinenza e non eccedenza nelle eventuali attività di controllo.attività di controllo.

55

… … cosa dice il Codice Civilecosa dice il Codice Civile::In applicazione di quanto disposto dagli In applicazione di quanto disposto dagli artt.artt. 2104 e 2105 2104 e 2105 c.c., l’utilizzo di tali indispensabili risorse deve avvenire c.c., l’utilizzo di tali indispensabili risorse deve avvenire nell’ambito dei nell’ambito dei doveri di diligenza, fedeltà e correttezzadoveri di diligenza, fedeltà e correttezza che che devono caratterizzare l’operato del lavoratore all’interno devono caratterizzare l’operato del lavoratore all’interno del rapporto di lavoro, in modo che siano adottate tutte le del rapporto di lavoro, in modo che siano adottate tutte le cautele e le precauzioni necessarie per evitare le possibili cautele e le precauzioni necessarie per evitare le possibili conseguenze dannose che un utilizzo non avveduto degli conseguenze dannose che un utilizzo non avveduto degli strumenti in questione può provocare.strumenti in questione può provocare.

Il datore di lavoro, a norma degli Il datore di lavoro, a norma degli artt. 2086 artt. 2086 c.c. può c.c. può riservarsi di riservarsi di controllare l’effettivo adempimento della controllare l’effettivo adempimento della prestazione lavorativa e il corretto utilizzo degli strumenti di prestazione lavorativa e il corretto utilizzo degli strumenti di lavorolavoro, rispettando, nell’esercizio di tali prerogative, la , rispettando, nell’esercizio di tali prerogative, la libertà e la dignità del lavoratore (art.4 L. 300/1970).libertà e la dignità del lavoratore (art.4 L. 300/1970).

66

… … e il codice di comportamento dei e il codice di comportamento dei dipendenti della P.A.dipendenti della P.A.

L’art.L’art. 10 del Codice di comportamento dei 10 del Codice di comportamento dei dipendenti delle PP.AA., allegato al C.C.N.L. del dipendenti delle PP.AA., allegato al C.C.N.L. del 22/01/2004, stabilisce che 22/01/2004, stabilisce che ““Il dipendente non Il dipendente non utilizza a fini privati materiale o attrezzature di cui utilizza a fini privati materiale o attrezzature di cui dispone per ragioni di ufficio”dispone per ragioni di ufficio”. . Tale disposizione, in Tale disposizione, in quanto richiamata dal Codice Disciplinare del quanto richiamata dal Codice Disciplinare del C.C.N.L. del comparto (che all’art. 44, comma 1, C.C.N.L. del comparto (che all’art. 44, comma 1, lett. i) e l) prevede a carico del lavoratore di lett. i) e l) prevede a carico del lavoratore di avere avere cura dei locali, mobili, oggetti, macchinari, attrezzi, cura dei locali, mobili, oggetti, macchinari, attrezzi, strumenti ed automezzi a lui affidati e di non valersi strumenti ed automezzi a lui affidati e di non valersi di quanto è di proprietà …di quanto è di proprietà …

77

… … dell’Amministrazione per ragioni che non siano di dell’Amministrazione per ragioni che non siano di servizio)servizio), costituisce non solo norma di valenza , costituisce non solo norma di valenza etico-comportamentale, ma altresì etico-comportamentale, ma altresì un vero e un vero e proprio obbligo, la cui inosservanza è passibile di proprio obbligo, la cui inosservanza è passibile di sanzione penale e/o disciplinare.sanzione penale e/o disciplinare.

88

MA VI SONO DELLE VERE E PROPRIE NORME CHE REGOLANO L’USO DELLA POSTA ELETTRONICA E LA NAVIGAZIONE SU INTERNET DA PARTE DEI DIPENDENTI PUBBLICI?

normativa relativa all’uso privato delle linee telefoniche d’ufficio, contenuta nel decreto del Ministro della Funzione Pubblica del 31/3/1994, con la quale fu adottato il Codice di comportamento dei dipendenti della P.A. ai sensi dell’art. 58 bis del D. Lgs. N. 29/1993 (art. 10 che, alla prima parte del comma 5, prevedeva che “salvo casi eccezionali dei quali informa il dirigente dell’ufficio, il dipendente non utilizza le linee telefoniche dell’ufficio per effettuare chiamate personali”).

La necessità di ampliare questa limitata facoltà di deroga collegata al requisito dell’eccezionalità ha indotto successivamente il Ministro della Funzione Pubblica a rivedere l’impostazione iniziale dell’art. 10. Infatti, il successivo Codice di comportamento dei dipendenti pubblici di cui al D.M. del 28/11/2000 ha previsto al comma 3 dell’art. 10 che il dipendente “salvo casi d’urgenza, non utilizza le linee telefoniche d’ufficio per esigenze personali”. Tale disposizione di carattere puramente amministrativo, a parte il riferimento alle sole apparecchiature telefoniche, non sembrava

comunque tale da escludere, totalmente, la responsabilità civile e penale nel caso di uso illecito delle linee telefoniche da parte del dipendente pubblico.

Dottrina e giurisprudenza: La migliore dottrina ritiene che, almeno sino a quando il dipendente non acceda alla sua casella ed apra il messaggio di posta elettronica, il messaggio stesso debba considerarsi come “corrispondenza chiusa” e, come tale, tutelata ai sensi dell’art. 616 c.p.

Questa tesi è stata sostenuta in giurisprudenza, implicitamente, da una decisione del T.A.R. Lazio, Sez. I, n. 9425 del 15/11/2001, in relazione ad una mailing list in ambiente pubblico secondo cui “la corrispondenza trasmessa per via informatica e telematica, c.d. posta elettronica, deve essere tutelata alla stregua della corrispondenza epistolare o telefonica ed è, quindi, caratterizzata dalla segretezza”. Tale tesi è peraltro sostenuta dal Garante della Privacy (vedi parere del 12/7/1999) secondo cui, appunto, la posta elettronica sarebbe protetta ai sensi dell’art. 616, comma 4, c.p.

Lo stesso Garante, peraltro, in altro parere del 1 marzo 2001 ha, incidentalmente, ritenuto legittimo l’accesso del titolare del trattamento alla casella del dipendente in casi di necessità o di urgenza (ad es. nel caso di assenza o impedimento dell’incaricato).

Per quanto riguarda la giurisdizione contabile, è da citare una sentenza della Corte dei Conti, (sezione Giurisdizionale per la Regione Piemonte del 13/11/2003) che si è occupata del problema sotto il profilo del danno erariale.

Con tale decisione è stata affermata, sia pure incidentalmente, la legittimità, da parte dell’amministrazione pubblica, della registrazione degli accessi dei dipendenti ai siti Internet ed il successivo controllo, finalizzato non solo alla repressione dei comportamenti illeciti, ma anche ad esigenze statistiche e di controllo della spesa (nella specie, si trattava di un dipendente di un ente pubblico che, nell’orario di lavoro, si era ripetutamente collegato a siti non istituzionali ed era stato, per questo, rinviato a giudizio dinanzi al Tribunale di Verbania per i delitti di cui agli artt. 314, 323 e 640, 2° comma, c.p., patteggiando poi la pena).

Passando, infine, al campo più strettamente penalistico, La Suprema Corte, in realtà, è divisa sul punto, pur ritenendo applicabile in materia l’art. 314 del c.p. relativo al peculato.

Più in particolare, mentre alcune decisioni hanno ritenuto che il fatto debba essere inquadrato nell’ipotesi prevista dal primo comma del citato articolo, punita con la grave pena della reclusione da tre a dieci anni (vedi, da ultimo, Cass. Sez. VI, 24/06/2001, n. 30756)…

… altre hanno invece affermato che si trattava di

“peculato d’uso”, fatto punito con la più lieve pena della reclusione da sei mesi a tre anni (vedi, da ultimo, Cass. Sez. VI 14/02/2000, n. 788).

In tale contesto…In tale contesto… Con Con deliberazione n. 13 del 1° marzo 2007, l’Autorità deliberazione n. 13 del 1° marzo 2007, l’Autorità

Garante per la Protezione dei dati personaliGarante per la Protezione dei dati personali ha inteso ha inteso prescrivere ai datori di lavoro alcune misure per conformare prescrivere ai datori di lavoro alcune misure per conformare il trattamento di dati personali, effettuato per verificare il il trattamento di dati personali, effettuato per verificare il corretto utilizzo, all’interno del rapporto di lavoro, della corretto utilizzo, all’interno del rapporto di lavoro, della posta elettronica e della rete internet alle disposizioni posta elettronica e della rete internet alle disposizioni vigenti. Tra queste, vigenti. Tra queste, l’adozione di un disciplinare interno da l’adozione di un disciplinare interno da parte del datore di lavoro.parte del datore di lavoro.

La stesura di una specifica regolamentazione in materia di La stesura di una specifica regolamentazione in materia di utilizzo di internet e della casella di posta elettronica utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro da parte dei dipendenti istituzionale sul luogo di lavoro da parte dei dipendenti pubblici è stata di recente auspicata anche dalla Presidenza pubblici è stata di recente auspicata anche dalla Presidenza del Consiglio dei Ministri, Dipartimento della Funzione del Consiglio dei Ministri, Dipartimento della Funzione Pubblica, con la Pubblica, con la Direttiva n. 2/2009 del Ministro, on. Renato Direttiva n. 2/2009 del Ministro, on. Renato Brunetta.Brunetta.

1717

Panorama normativoPanorama normativo

COSTITUZIONE ITALIANACOSTITUZIONE ITALIANA

ART. 2 ART. 2 “La Repubblica riconosce e garantisce i diritti “La Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo sia inviolabili dell’uomo, sia come singolo sia nelle nelle formazioni sociali ove si svolge la sua personalità…”formazioni sociali ove si svolge la sua personalità…”

1818


COSTITUZIONE ITALIANACOSTITUZIONE ITALIANA

ART. 15:ART. 15: “La“La libertà e la segretezza della libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione corrispondenza e di ogni altra forma di comunicazione sono inviolabilisono inviolabili..

La loro limitazione può avvenire soltanto per atto La loro limitazione può avvenire soltanto per atto motivato dell’Autorità giudiziaria con le garanzie motivato dell’Autorità giudiziaria con le garanzie stabilite dalla legge”.stabilite dalla legge”.

1919

Panorama normativoPanorama normativoCARTA DEI DIRITTI FONDAMENTALI DELL’U.E.CARTA DEI DIRITTI FONDAMENTALI DELL’U.E.

ART. 7 ART. 7 “Rispetto della vita privata e della vita familiare”: “Rispetto della vita privata e della vita familiare”: ogni individuo ha diritto al rispetto della propria vita privata ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e familiare, del proprio domicilio e delle sue comunicazionie delle sue comunicazioni..

ART. 8 ART. 8 “Protezione dei dati di carattere personale”: Ogni “Protezione dei dati di carattere personale”: Ogni individuo ha diritto alla individuo ha diritto alla protezione dei dati di carattere protezione dei dati di carattere personale che lo riguardano.personale che lo riguardano.Tali dati devono essere trattati Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.controllo di un’autorità indipendente.

2020

CONVENZIONE EUROPEA PER LA SALVAGUARDIA DEI CONVENZIONE EUROPEA PER LA SALVAGUARDIA DEI DIRITTI DELL’UOMO E DELLE LIBERTA’ FONDAMENTALIDIRITTI DELL’UOMO E DELLE LIBERTA’ FONDAMENTALI

ART. 8 ART. 8 “Diritto al rispetto della vita privata e familiare”:“Diritto al rispetto della vita privata e familiare”:• Ogni persona ha diritto al rispetto della sua vita Ogni persona ha diritto al rispetto della sua vita

privata e familiare, del suo domicilio e della privata e familiare, del suo domicilio e della sua sua corrispondenza.corrispondenza.

• Non può esservi ingerenza della pubblica autorità Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto se non in quanto tale nell’esercizio di tale diritto se non in quanto tale ingerenza sia ingerenza sia prevista dalla legge e in quanto prevista dalla legge e in quanto costituisca una misura che, in una società costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà della morale, o la protezione dei diritti e delle libertà altrui.altrui. 2121

Gruppo di lavoro europeo sulla protezione dei dati Gruppo di lavoro europeo sulla protezione dei dati – ART. 29– ART. 29

Il Gruppo di lavoro europeo in tema di protezione degli Il Gruppo di lavoro europeo in tema di protezione degli individui per quanto riguarda il trattamento di dati personali individui per quanto riguarda il trattamento di dati personali viene costituito in seno alla Commissione U.E. in viene costituito in seno alla Commissione U.E. in applicazione della Direttiva 95/46/CE del Parlamento applicazione della Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995. Ha prodotto il europeo e del Consiglio del 24 ottobre 1995. Ha prodotto il “Documento di lavoro riguardante la vigilanza sulle “Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro” – adottato il comunicazioni elettroniche sul posto di lavoro” – adottato il 29 maggio 2002.29 maggio 2002.

2222


CODICE CIVILECODICE CIVILE

ART. 2086 ART. 2086 (Direzione e gerarchia dell’impresa): (Direzione e gerarchia dell’impresa): “L’imprenditore è il capo dell’impresa e da lui “L’imprenditore è il capo dell’impresa e da lui dipendono gerarchicamente i suoi collaboratori”.dipendono gerarchicamente i suoi collaboratori”.

ART. 2087 ART. 2087 (Tutela delle condizioni di lavoro): (Tutela delle condizioni di lavoro): “L’imprenditore è tenuto ad adottare “L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità tecnica, sono necessarie a tutelare l’integrità fisica e fisica e la personalità morale dei prestatori di la personalità morale dei prestatori di lavoro”.lavoro”.

2323

ART. 2104 ART. 2104 (Diligenza del prestatore di lavoro): “Il (Diligenza del prestatore di lavoro): “Il prestatore di lavoro deve usare la diligenza prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, richiesta dalla natura della prestazione dovuta, dall’interesse dell’impresa e da quello superiore dall’interesse dell’impresa e da quello superiore della produzione nazionale. Deve inoltre osservare della produzione nazionale. Deve inoltre osservare le disposizioni per l’esecuzione e per la disciplina le disposizioni per l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore e dai del lavoro impartite dall’imprenditore e dai collaboratori di questo dai quali gerarchicamente collaboratori di questo dai quali gerarchicamente dipende”.dipende”.

2424

ART. 2105 ART. 2105 (Obbligo di fedeltà): Il prestatore di (Obbligo di fedeltà): Il prestatore di lavoro non deve trattare affari, per conto proprio lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio”.modo da poter recare ad essa pregiudizio”.

ART. 2106 ART. 2106 (Sanzioni disciplinari): “L’inosservanza (Sanzioni disciplinari): “L’inosservanza delle disposizioni contenute nei due articoli delle disposizioni contenute nei due articoli precedenti può dar luogo alla applicazione di precedenti può dar luogo alla applicazione di sanzioni disciplinari, secondo la gravità sanzioni disciplinari, secondo la gravità dell’infrazione”.dell’infrazione”.

2525

L. 20 MAGGIO 1970 N. 300 (STATUTO DEI L. 20 MAGGIO 1970 N. 300 (STATUTO DEI LAVORATORI)LAVORATORI)

ART. 4 (Impianti audiovisivi):ART. 4 (Impianti audiovisivi): “ E’ vietato l’uso di “ E’ vietato l’uso di impianti audiovisivi impianti audiovisivi e di altre apparecchiature per e di altre apparecchiature per finalità di controllo a distanza dell’attività dei finalità di controllo a distanza dell’attività dei lavoratori.lavoratori.

Gli impianti e le apparecchiature di controllo che Gli impianti e le apparecchiature di controllo che siano siano richiesti da esigenze organizzative e richiesti da esigenze organizzative e produttive produttive ovvero ovvero dalla sicurezza del lavorodalla sicurezza del lavoro, ma , ma dai quali derivi dai quali derivi anche la possibilità di controllo a anche la possibilità di controllo a distanzadistanza dell’attività dei lavoratori, possono dell’attività dei lavoratori, possono essere installati soltanto essere installati soltanto previo accordo con le previo accordo con le rappresentanze sindacali aziendalirappresentanze sindacali aziendali, oppure, in , oppure, in mancanza di queste, con la commissione interna.mancanza di queste, con la commissione interna.

2626

In difetto di accordo, su istanza del datore di In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del Lavoro, lavoro, provvede l’Ispettorato del Lavoro, dettando, ove occorra, le modalità per l’uso di tali dettando, ove occorra, le modalità per l’uso di tali impianti. impianti.

2727

ART. 8 (Divieto di indagini sulle opinioni): ART. 8 (Divieto di indagini sulle opinioni): “E’ fatto “E’ fatto divieto al datore di lavoro, ai fini dell’assunzione, divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle terzi, sulle opinioni politiche, religiose o sindacali opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del della valutazione dell’attitudine professionale del lavoratore”.lavoratore”.

2828

D. LGS. 30 GIUGNO 2003 N. 196 – D. LGS. 30 GIUGNO 2003 N. 196 –

CODICE IN MATERIA DI PROTEZIONE DI DATICODICE IN MATERIA DI PROTEZIONE DI DATI

PERSONALIPERSONALI

ART. 113 ART. 113 (Raccolta di dati e pertinenza): “Resta (Raccolta di dati e pertinenza): “Resta fermo quanto disposto dall’art. 8 della legge 20 fermo quanto disposto dall’art. 8 della legge 20 maggio 1970, n. 300”.maggio 1970, n. 300”.

ART. 114 ART. 114 (Controllo a distanza): “Resta fermo (Controllo a distanza): “Resta fermo quanto disposto dall’art. 4 della legge 20 maggio quanto disposto dall’art. 4 della legge 20 maggio 1970, n. 300”.1970, n. 300”.

2929

ART. 115ART. 115, (Telelavoro e lavoro a domicilio) – , (Telelavoro e lavoro a domicilio) – comma 1: “nell’ambito del rapporto di lavoro comma 1: “nell’ambito del rapporto di lavoro domestico e del telelavoro, domestico e del telelavoro, il datore di lavoro è il datore di lavoro è tenuto a garantire al lavoratore il rispetto della tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale”sua personalità e della sua libertà morale”

3030

ADEGUAMENTO DELL’ORDINAMENTO INTERNO IN SEGUITO ADEGUAMENTO DELL’ORDINAMENTO INTERNO IN SEGUITO ALLA RATIFICA ED ESECUZIONE DELLA CONVENZIONE DEL ALLA RATIFICA ED ESECUZIONE DELLA CONVENZIONE DEL CONSIGLIO D’EUROPA SULLA CRIMINALITA’ INFORMATICACONSIGLIO D’EUROPA SULLA CRIMINALITA’ INFORMATICA (BUDAPEST – 23 NOVEMBRE 2001).(BUDAPEST – 23 NOVEMBRE 2001).

La Convenzione del Consiglio d’Europa sui reati La Convenzione del Consiglio d’Europa sui reati informatici, firmata a Budapest il 23 novembre informatici, firmata a Budapest il 23 novembre 2001, rappresenta il primo accordo internazionale 2001, rappresenta il primo accordo internazionale riguardante i crimini commessi attraverso riguardante i crimini commessi attraverso internet o altre reti informatiche.internet o altre reti informatiche.

3131

La Convenzione estende la portata del reato La Convenzione estende la portata del reato informatico, includendo tutti i informatico, includendo tutti i reati in qualunque reati in qualunque modo commessi mediante un sistema modo commessi mediante un sistema informaticoinformatico. Essa ha come obiettivo la . Essa ha come obiettivo la realizzazione di una politica comune tra gli Stati realizzazione di una politica comune tra gli Stati membri che consenta di combattere, in maniera membri che consenta di combattere, in maniera coordinata, il crimine informatico.coordinata, il crimine informatico.

In particolare, la Convenzione prevede un certo In particolare, la Convenzione prevede un certo numero di misure normative di diritto penale che numero di misure normative di diritto penale che le parti devono adottare a livello nazionale.le parti devono adottare a livello nazionale.

Si tratta, in particolare, di misure miranti a Si tratta, in particolare, di misure miranti a contrastare:contrastare:

3232

l’accesso illegale, intenzionale e senza diritto, a l’accesso illegale, intenzionale e senza diritto, a tutto o a parte di un sistema informatico;tutto o a parte di un sistema informatico;

le intercettazioni di dati informatici, intenzionali e le intercettazioni di dati informatici, intenzionali e illecite, effettuate attraverso mezzi tecnici, illecite, effettuate attraverso mezzi tecnici, durante trasmissioni non pubbliche;durante trasmissioni non pubbliche;

l’attentato all’integrità dei dati (danneggiamento, l’attentato all’integrità dei dati (danneggiamento, cancellazione, deterioramento, alterazione e cancellazione, deterioramento, alterazione e soppressione dei dati informatici) fatto soppressione dei dati informatici) fatto intenzionalmente e senza autorizzazione;intenzionalmente e senza autorizzazione;

l’attentato all’integrità dei sistemi, concretantesi l’attentato all’integrità dei sistemi, concretantesi in un impedimento grave al funzionamento di un in un impedimento grave al funzionamento di un sistema informatico, effettuato intenzionalmente sistema informatico, effettuato intenzionalmente e senza diritto, mediante il danneggiamento, la e senza diritto, mediante il danneggiamento, la

3333

cancellazione, il deterioramento, l’alterazione e la cancellazione, il deterioramento, l’alterazione e la soppressione di dati informatici;soppressione di dati informatici;

l’abuso, intenzionale e senza autorizzazione, di l’abuso, intenzionale e senza autorizzazione, di dispositivi (e cioè la produzione, la vendita, dispositivi (e cioè la produzione, la vendita, l’ottenimento per l’uso, l’importazione, la l’ottenimento per l’uso, l’importazione, la diffusione e altra forma di messa a disposizione), diffusione e altra forma di messa a disposizione), compresi i programmi informatici, specialmente compresi i programmi informatici, specialmente concepiti per permettere la commissione dei reati concepiti per permettere la commissione dei reati sopracitati, nonché di parola chiave (password) o sopracitati, nonché di parola chiave (password) o di codici di accesso o di sistemi analoghi che di codici di accesso o di sistemi analoghi che consentano di accedere a tutto o a parte di un consentano di accedere a tutto o a parte di un sistema informatico.sistema informatico.

3434

La piena e intera esecuzione della Convenzione La piena e intera esecuzione della Convenzione ha comportato la ha comportato la modifica di alcuni articoli del modifica di alcuni articoli del codice penale.codice penale.

Tra gli altri:Tra gli altri: L’art.615-quinquiesL’art.615-quinquies(Diffusione di apparecchiature, (Diffusione di apparecchiature,

dispositivi o programmi informatici diretti a dispositivi o programmi informatici diretti a danneggiare illecitamente un sistema informatico danneggiare illecitamente un sistema informatico o telematico), nella sua nuova formulazione, o telematico), nella sua nuova formulazione, risulta essere il seguente: “Chiunque, allo scopo risulta essere il seguente: “Chiunque, allo scopo di danneggiare illecitamente un sistema di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti programmi in esso contenuti o ad esso pertinenti ovvero di favorireovvero di favorire

3535

l’interruzione, totale o parziale, o l’alterazione del l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”anni e con la multa sino a euro 10.329”

Il Il nuovonuovo art. 635-bis art. 635-bis del codice penale del codice penale (Danneggiamento di informazioni, dati e (Danneggiamento di informazioni, dati e programmi informatici) riporta: “Salvo che il fattoprogrammi informatici) riporta: “Salvo che il fatto

3636

costituisca più grave reato, chiunque distrugge, costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è informazioni, dati o programmi informatici altrui è punito, a querela di parte, con la reclusione da punito, a querela di parte, con la reclusione da sei mesi a tre anni. Se il fatto è commesso con sei mesi a tre anni. Se il fatto è commesso con abuso della qualità di operatore del sistema, la abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si pena è della reclusione da uno a quattro anni e si procede d’ufficio”.procede d’ufficio”.

Dopo l’art. 635-bis del codice penale sono inseriti Dopo l’art. 635-bis del codice penale sono inseriti i seguenti:i seguenti:

Art. 635-ter Art. 635-ter (Danneggiamento di informazioni, (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica o da altro ente pubblico o comunque di pubblica

3737

utilità): “Salvo che il fatto costituisca più grave utilità): “Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione programmi informatici, la pena è della reclusione da tre a otto anni. Se il fatto è commesso con da tre a otto anni. Se il fatto è commesso con abuso della qualità di operatore del sistema, la abuso della qualità di operatore del sistema, la pena è aumentata”.pena è aumentata”.

3838

Art. 635-quater Art. 635-quater (Danneggiamento di sistemi (Danneggiamento di sistemi informatici e telematici): “Salvo che il fatto informatici e telematici): “Salvo che il fatto costituisca più grave reato, chiunque, mediante le costituisca più grave reato, chiunque, mediante le condotte di cui all’art. 635-bis, ovvero attraverso condotte di cui all’art. 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se il fatto è reclusione da uno a cinque anni. Se il fatto è commesso con abuso della qualità di operatore commesso con abuso della qualità di operatore del sistema, la pena è aumentata”.del sistema, la pena è aumentata”.

3939

Art. 635-quinquies Art. 635-quinquies (Danneggiamento di sistemi (Danneggiamento di sistemi informatici o telematici di pubblica utilità): “Se il informatici o telematici di pubblica utilità): “Se il fatto di cui all’art. 635-quater è diretto a fatto di cui all’art. 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte inservibile, la pena è della reso, in tutto o in parte inservibile, la pena è della reclusione da tre a otto anni. Se il fatto è commesso reclusione da tre a otto anni. Se il fatto è commesso con abuso della qualità di operatore del sistema, la con abuso della qualità di operatore del sistema, la pena è aumentata”.pena è aumentata”. 4040

Sentenza Sezioni Unite Corte di Cassazione del 27 ottobre 2011

I giudici di legittimità hanno stabilito che è configurabile il reato di intrusione abusiva in un sistema informatico o telematico anche quando il soggetto, abilitato per motivi di servizio o di ufficio ad accedere ad una banca dati e in possesso delle credenziali di autenticazione (es. userid e password) del sistema informatico o telematico, decida di entrare nel sistema non per motivi di ufficio bensì per motivi diversi, non autorizzati, del tutto personali o per altre finalità (cessione a terzi dei dati o delle informazioni, curiosità personale, vendita di dati, corruzione di pubblici ufficiali, rivelazione di segreti di ufficio o aziendali).

La Corte ha così risolto un contrasto giurisprudenziale che ormai durava da diverso tempo e che aveva visto contrapporsi alcune sezioni della stessa corte e a volte i diversi collegi all’interno delle stesse sezioni.

Da una parte vi è l’orientamento, a cui hanno aderito le Sezioni Unite, secondo il quale la seconda parte dell’articolo 615 ter c.p. relativo a colui che si mantiene all’interno del sistema informatico “contro la volontà di chi ha diritto ad escluderlo” si applica anche a coloro che per ragioni di ufficio (es. incaricati, ma anche pubblici ufficiali, cancellieri del tribunale, forze dell’ordine) hanno la possibilità di accedere con le loro credenziali di autenticazione e attraverso sistemi informatici e telematici alle banche dati in dotazione ma che decidono di farlo, con gli stessi mezzi, per scopi e finalità del tutto estranee al servizio e senza una giustificazione dettata da esigenze lavorative.

Dall’altro lato vi è l’orientamento contrario, che non sembra aver convinto le Sezioni Unite della Corte, secondo il quale il soggetto che è in possesso delle credenziali di autenticazione per accedere ad una banca dati per motivi di servizio non può introdursi abusivamente nel sistema stesso perché il suo accesso sarà sempre legittimo e mai abusivo in quanto previsto e consentito come semplice accesso. È l’accesso illecito la condotta tassativamente punita dalla norma penale non l’uso che si fa del dato eventualmente acquisito o conosciuto.

Secondo questo orientamento, ai fini di una valutazione di illiceità, semmai devono essere considerate le condotte successive all’accesso (cessione di dati, rivelazione di segreti di ufficio, corruzione, trattamento illecito dei dati, etc) ma che sono previste e punite da altre disposizioni di legge e che non sono contemplate nella fattispecie di cui all’art. 615 ter c.p. In quest’ultima norma sarebbe stata prevista tassativamente la sola condotta di intrusione abusiva di terzi esterni ed estranei al sistema oppure la permanenza nel sistema di soggetti, non in possesso dei privilegi (password), temporaneamente autorizzati a svolgere una sola operazione che invece si “mantengono..” oltre (..”contro la volontà di chi ha diritto ad escluderli” , ad esempio il mantenimento nel sistema dei tecnici per la manutenzione, di soggetti con password temporanee o limitate nelle funzioni, dei tecnici per la mera istallazione e verifica dei software, etc).

PROVVEDIMENTO DEL GARANTE PRIVACY N. PROVVEDIMENTO DEL GARANTE PRIVACY N. 13 DEL 1° MARZO 2007 – LINEE GUIDA PER 13 DEL 1° MARZO 2007 – LINEE GUIDA PER

POSTA ELETTRONICA E INTERNETPOSTA ELETTRONICA E INTERNET

4545

Il Il 1° marzo 20071° marzo 2007 il Garante per la Privacy ha emanato il Garante per la Privacy ha emanato le prime le prime Linee Guida sull’utilizzo di internet e dell’e-Linee Guida sull’utilizzo di internet e dell’e-mail sui luoghi di lavoro.mail sui luoghi di lavoro.

Scopo: Scopo: fornire ai datori di lavoro (sia pubblici che fornire ai datori di lavoro (sia pubblici che privati) indicazioni sul trattamento di dati personali privati) indicazioni sul trattamento di dati personali effettuato per verificare il corretto utilizzo, nel effettuato per verificare il corretto utilizzo, nel rapporto di lavoro, della posta elettronica e della rete rapporto di lavoro, della posta elettronica e della rete internet da parte dei lavoratori. internet da parte dei lavoratori.

Dopo l’adozione delle diverse Linee Guida del Dopo l’adozione delle diverse Linee Guida del dicembre 2006 sul trattamento dei dati personali dei dicembre 2006 sul trattamento dei dati personali dei lavoratori da parte di datori di lavoro del settore lavoratori da parte di datori di lavoro del settore privato, l’Autorità Garante ha dunque completato il privato, l’Autorità Garante ha dunque completato il quadro delle più …quadro delle più …

4646

importantiimportanti regole privacy operative regole privacy operative che riguardano i che riguardano i trattamenti di dati personali dei lavoratori da parte trattamenti di dati personali dei lavoratori da parte dei datori di lavoro e le implicazioni più delicate dei datori di lavoro e le implicazioni più delicate relativamente alla riservatezza sui luoghi di lavoro. A relativamente alla riservatezza sui luoghi di lavoro. A differenza delle precedenti Linee Guida del differenza delle precedenti Linee Guida del 7.12.2006, quelle su e-mail e internet 7.12.2006, quelle su e-mail e internet riguardano riguardano datori di lavoro e lavoratori sia pubblici che privati. datori di lavoro e lavoratori sia pubblici che privati.

Obiettivi del GaranteObiettivi del Garante: trovare i punti d’intersezione : trovare i punti d’intersezione tra il legittimo bisogno datoriale a condurre azioni di tra il legittimo bisogno datoriale a condurre azioni di verifica, monitoraggio e controllo dell’attività verifica, monitoraggio e controllo dell’attività lavorativa dei propri dipendenti, al fine di evitare lavorativa dei propri dipendenti, al fine di evitare illeciti… illeciti…

4747

… … e il diritto alla riservatezza di ogni singolo e il diritto alla riservatezza di ogni singolo lavoratore, fornendo alcuni suggerimenti sulle lavoratore, fornendo alcuni suggerimenti sulle corrette modalità di comportamento di entrambi corrette modalità di comportamento di entrambi ((principio del c.d. “bilanciamento degli interessi).principio del c.d. “bilanciamento degli interessi).

4848

Quando, infatti, i lavoratori si recano sul posto di Quando, infatti, i lavoratori si recano sul posto di lavoro, essi non abbandonano fuori dall’ufficio i lavoro, essi non abbandonano fuori dall’ufficio i loro diritti alla riservatezza e alla protezione dei loro diritti alla riservatezza e alla protezione dei dati, ma possono legittimamente attendersi di dati, ma possono legittimamente attendersi di usufruire di un certo grado di riservatezza, dato usufruire di un certo grado di riservatezza, dato che che una parte significativa delle loro relazioni con una parte significativa delle loro relazioni con altri esseri umani si sviluppa nell’ambiente di altri esseri umani si sviluppa nell’ambiente di lavoro.lavoro.

Questo diritto è, tuttavia, controbilanciato da altri Questo diritto è, tuttavia, controbilanciato da altri diritti che fanno capo al datore di lavoro. diritti che fanno capo al datore di lavoro. Quest’ultimo ha, in particolare, il Quest’ultimo ha, in particolare, il diritto di gestire diritto di gestire la sua azienda con una certa efficienza…la sua azienda con una certa efficienza…

4949

Provvedimento n. 13 del 1° marzo 2007 del Garante della Provvedimento n. 13 del 1° marzo 2007 del Garante della Privacy – Linee Guida per posta elettronica e internet Privacy – Linee Guida per posta elettronica e internet

… … ma soprattutto ma soprattutto il diritto di tutelarsi contro le il diritto di tutelarsi contro le responsabilità o i danni cui possono dare origine responsabilità o i danni cui possono dare origine gli atti dei lavoratorigli atti dei lavoratori. .

Il datore di lavoro, infatti, ha il diritto di Il datore di lavoro, infatti, ha il diritto di controllare il funzionamento della sua impresa e a controllare il funzionamento della sua impresa e a difendersi contro atti dei dipendenti che rischino difendersi contro atti dei dipendenti che rischino di porre a repentaglio suoi interessi legittimi (ad di porre a repentaglio suoi interessi legittimi (ad esempio quando la responsabilità del datore di esempio quando la responsabilità del datore di lavoro sia chiamata in questione per le azioni dei lavoro sia chiamata in questione per le azioni dei dipendenti).dipendenti).

5050

La La vigilanza sui lavoratori ha costituito, da vigilanza sui lavoratori ha costituito, da sempre, materia di estrema delicatezza. sempre, materia di estrema delicatezza. Se è Se è vero che le nuove tecnologie costituiscono vero che le nuove tecnologie costituiscono un’evoluzione positiva per quanto riguarda le un’evoluzione positiva per quanto riguarda le risorse a disposizione dei datori di lavoro, gli risorse a disposizione dei datori di lavoro, gli strumenti di vigilanza elettronica si prestano ad strumenti di vigilanza elettronica si prestano ad essere utilizzati in modi che ledono i diritti e le essere utilizzati in modi che ledono i diritti e le libertà fondamentali dei dipendenti. libertà fondamentali dei dipendenti.

Va dato parimenti risalto al fatto che l’evoluzione Va dato parimenti risalto al fatto che l’evoluzione delle condizioni di lavoro rende delle condizioni di lavoro rende oggi più difficile oggi più difficile stabilire una netta separazione tra le ore di lavorostabilire una netta separazione tra le ore di lavoro

5151

…… e la vita privata. e la vita privata. In particolare, con lo sviluppo In particolare, con lo sviluppo dell’home officedell’home office, molti dipendenti continuano a , molti dipendenti continuano a lavorare a casa utilizzando infrastrutture lavorare a casa utilizzando infrastrutture informatiche messe o no a loro disposizione dal informatiche messe o no a loro disposizione dal datore di lavoro a tale scopo.datore di lavoro a tale scopo.

5252


Le Linee Guida potranno essere aggiornate alla Le Linee Guida potranno essere aggiornate alla luce dell’esperienza e dell’innovazione luce dell’esperienza e dell’innovazione tecnologica e, dunque, vanno valutate come tecnologica e, dunque, vanno valutate come soggette ad aggiornamenti futuri.soggette ad aggiornamenti futuri.

Obbligatorietà del rispetto dei criteri indicati nelle Obbligatorietà del rispetto dei criteri indicati nelle Linee Guida: pur trattandosi di provvedimenti Linee Guida: pur trattandosi di provvedimenti generali a carattere amministrativo, i destinatari generali a carattere amministrativo, i destinatari (cioè i datori di lavoro) sono vincolati ad adottare (cioè i datori di lavoro) sono vincolati ad adottare le misure esplicitate nelle Linee Guida in quanto:le misure esplicitate nelle Linee Guida in quanto:

5353


1.1. L’adozione di tali misure è L’adozione di tali misure è pre-condizione di pre-condizione di liceità dei trattamenti di dati personali liceità dei trattamenti di dati personali (art. 11 (art. 11 del Codice);del Codice);

2.2. La violazione dei criteri delle Linee Guida o La violazione dei criteri delle Linee Guida o l’omessa adozione delle misure ivi specificate l’omessa adozione delle misure ivi specificate può comportare può comportare responsabilità anche di natura responsabilità anche di natura penalepenale ai sensi dell’art. 170 del Codice, che ai sensi dell’art. 170 del Codice, che punisce l’inosservanza dei provvedimenti del punisce l’inosservanza dei provvedimenti del Garante con la reclusione da tre mesi a due anni.Garante con la reclusione da tre mesi a due anni.

5454


Il Provvedimento del Garante parte da alcune Il Provvedimento del Garante parte da alcune importanti premesse:importanti premesse:Compete ai datori di lavoro assicurare la Compete ai datori di lavoro assicurare la funzionalità e il corretto impiego, da parte dei funzionalità e il corretto impiego, da parte dei lavoratori, degli strumenti loro affidati, lavoratori, degli strumenti loro affidati, definendone le modalità d’uso nell’organizzazione definendone le modalità d’uso nell’organizzazione dell’attività lavorativa;dell’attività lavorativa;Spetta al datore di lavoro adottare idonee misure Spetta al datore di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e di sicurezza per assicurare la disponibilità e l’integrità di sistemi informativi e di dati, anche l’integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere per prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 e ss., 167 e fonte di responsabilità (artt. 15, 31 e ss., 167 e 169 del Codice della Privacy);169 del Codice della Privacy);

5555


Occorre tutelare i lavoratori interessati: l’utilizzo Occorre tutelare i lavoratori interessati: l’utilizzo di internet da parte dei lavoratori potrebbe, di internet da parte dei lavoratori potrebbe, infatti, formare oggetto di infatti, formare oggetto di analisi, profilazione e/o analisi, profilazione e/o integrale ricostruzione dei datiintegrale ricostruzione dei dati mediante mediante strumenti di registrazione delle informazioni (ad strumenti di registrazione delle informazioni (ad esempio, proxy server o elaborazione di log files esempio, proxy server o elaborazione di log files della navigazione web). della navigazione web).

5656


Anche la posta elettronica potrebbe essere Anche la posta elettronica potrebbe essere suscettibile di controlli (tenuta di log files di suscettibile di controlli (tenuta di log files di traffico e archiviazione dei messaggi), che traffico e archiviazione dei messaggi), che possono giungere fino alla possono giungere fino alla conoscenza da parte conoscenza da parte del datore di lavoro (titolare del trattamento) del del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza.contenuto della corrispondenza.

Alla fine, le informazioni così trattate potrebbero Alla fine, le informazioni così trattate potrebbero contenere dati personali anche sensibili, contenere dati personali anche sensibili, riguardanti lavoratori o terzi, identificati o riguardanti lavoratori o terzi, identificati o identificabili.identificabili.

5757


Nell’impartire le prescrizioni su internet e posta Nell’impartire le prescrizioni su internet e posta elettronica, il Garante si è basato, in primo luogo, elettronica, il Garante si è basato, in primo luogo, sui sui principi generali del Codice della Privacy e su principi generali del Codice della Privacy e su alcune disposizioni di settorealcune disposizioni di settore, fatte salve dal , fatte salve dal Codice, che prevedono specifici divieti o limiti, Codice, che prevedono specifici divieti o limiti, come quelli posti dagli artt. 4 e 8 della L. n. come quelli posti dagli artt. 4 e 8 della L. n. 300/1970 (Statuto del Lavoratori):300/1970 (Statuto del Lavoratori):

5858


Principio di necessitàPrincipio di necessità (art. 3 D.Lgs. 196/03) (art. 3 D.Lgs. 196/03) secondo cui i sistemi informativi e i programmi secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite.identificativi in relazione alle finalità perseguite.

Principio di correttezza (art. 11 D.Lgs. 196/03) Principio di correttezza (art. 11 D.Lgs. 196/03) secondo cui le caratteristiche essenziali dei secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori. trattamenti devono essere rese note ai lavoratori. Ciò in quanto le tecnologie dell’informazione Ciò in quanto le tecnologie dell’informazione permettono di svolgere trattamenti ulterioripermettono di svolgere trattamenti ulteriori

5959


rispetto a quelli connessi ordinariamente rispetto a quelli connessi ordinariamente all’attività lavorativa (ciò, all’insaputa o senza la all’attività lavorativa (ciò, all’insaputa o senza la piena consapevolezza dei lavoratori). piena consapevolezza dei lavoratori).

Pertanto, l’eventuale Pertanto, l’eventuale trattamento deve essere trattamento deve essere ispirato ad un canone di trasparenzaispirato ad un canone di trasparenza, come , come prevede anche la disciplina di settore (art. 4, prevede anche la disciplina di settore (art. 4, secondo comma, Statuto dei Lavoratori)secondo comma, Statuto dei Lavoratori)

6060


Principio di pertinenza e non eccedenzaPrincipio di pertinenza e non eccedenza ( (art. 11 art. 11 D.Lgs. 196/03)D.Lgs. 196/03):: i trattamenti devono essere i trattamenti devono essere effettuati per finalità determinate, esplicite e effettuati per finalità determinate, esplicite e legittime. Il datore di lavoro deve trattare i dati legittime. Il datore di lavoro deve trattare i dati nella misura “meno invasiva possibile”; le nella misura “meno invasiva possibile”; le attività di monitoraggioattività di monitoraggio devono essere svolte devono essere svolte solo da soggetti preposti ed essere “mirate” solo da soggetti preposti ed essere “mirate” sull’area del rischio, tenendo conto della sull’area del rischio, tenendo conto della normativa sulla protezione dei dati e del normativa sulla protezione dei dati e del principio di segretezza della corrispondenza.principio di segretezza della corrispondenza.

Grava quindi sul datore di lavoro l’onere di Grava quindi sul datore di lavoro l’onere di indicare chiaramente, e in modo indicare chiaramente, e in modo particolareggiato, quali siano le modalità di …particolareggiato, quali siano le modalità di … 6161


… … utilizzo degli strumenti messi a disposizione utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali ritenute corrette e se, in che misura e con quali modalità vengono effettuati i controlli. modalità vengono effettuati i controlli.

6262

PRIVACY E CONTROLLO A DISTANZAPRIVACY E CONTROLLO A DISTANZA

Il Garante è ben conscio del fatto che, Il Garante è ben conscio del fatto che, nell’utilizzo degli strumenti informatici nell’utilizzo degli strumenti informatici all’interno dell’ambiente lavorativo, il datore all’interno dell’ambiente lavorativo, il datore di lavoro potrebbe astrattamente di lavoro potrebbe astrattamente “trattare” o “trattare” o venire a conoscenza di informazioni inerenti venire a conoscenza di informazioni inerenti l’attività lavorativa, l’attività lavorativa, ma anche la sfera ma anche la sfera personale e la vita privata di lavoratori e di personale e la vita privata di lavoratori e di terzi.terzi.

6363

Proprio per ridurre gli effetti indesiderati di Proprio per ridurre gli effetti indesiderati di questo questo controllo “preterintenzionale”, controllo “preterintenzionale”, il il GaranteGarante prescrive loro l’osservanza di alcune prescrive loro l’osservanza di alcune regole regole (nel rispetto, ovviamente, del Codice (nel rispetto, ovviamente, del Codice della Privacy e dello Statuto dei Lavoratori):della Privacy e dello Statuto dei Lavoratori):

1.1.Il Il rapporto tra la normativa della privacy e le rapporto tra la normativa della privacy e le norme dello Statuto dei Lavoratorinorme dello Statuto dei Lavoratori, per il , per il Garante, deve conformarsi alla seguente Garante, deve conformarsi alla seguente logica: si dovrà rispettare, in primis, quanto logica: si dovrà rispettare, in primis, quanto sancito dagli artt. 4 e 8 dello Statuto …sancito dagli artt. 4 e 8 dello Statuto …


… … dei Lavoratori; immediatamente dopo, ci si dei Lavoratori; immediatamente dopo, ci si dovrà uniformare agli adempimenti procedurali dovrà uniformare agli adempimenti procedurali ed ai principi di cui al D. Lgs. 196/2003 nella ed ai principi di cui al D. Lgs. 196/2003 nella raccolta e nel trattamento dei dati (i già ricordati raccolta e nel trattamento dei dati (i già ricordati principi di liceità e correttezza, finalità, necessità principi di liceità e correttezza, finalità, necessità e trasparenza di cui all’art. 11 del D. Lgs. e trasparenza di cui all’art. 11 del D. Lgs. 196/2003).196/2003).

2.2. L’accordo con le rappresentanze sindacaliL’accordo con le rappresentanze sindacali è è considerato lo strumento più idoneo ad assicurare considerato lo strumento più idoneo ad assicurare l’equilibrio ed il contemperamento delle diverse l’equilibrio ed il contemperamento delle diverse sfere di interesse,sfere di interesse,

6565


divenendo un importante strumento di divenendo un importante strumento di regolazione preventivaregolazione preventiva riguardo alle modalità riguardo alle modalità consentite e ai limiti nell’utilizzo generale degli consentite e ai limiti nell’utilizzo generale degli strumenti informatici.strumenti informatici.

3.3. Oltre all’adozione di un Disciplinare interno, il Oltre all’adozione di un Disciplinare interno, il Garante suggerisce anche la sua Garante suggerisce anche la sua adeguata adeguata pubblicizzazionepubblicizzazione: il datore di lavoro, nel rispetto : il datore di lavoro, nel rispetto del principio di trasparenza del Codice della del principio di trasparenza del Codice della Privacy, deve rendere una adeguata informazione Privacy, deve rendere una adeguata informazione sulle concrete modalità di utilizzo degli strumenti sulle concrete modalità di utilizzo degli strumenti elettronici al fine di prevenire il …elettronici al fine di prevenire il …

6666


… … rischio che, a seguito di un legittimo controllo, rischio che, a seguito di un legittimo controllo, possa entrare in possesso di notizie e dati inerenti possa entrare in possesso di notizie e dati inerenti alla sfera privata del lavoratore. alla sfera privata del lavoratore.

Deve prevalere la logica preventiva:Deve prevalere la logica preventiva: la la prevenzione egli abusi viene ritenuta di gran prevenzione egli abusi viene ritenuta di gran lunga preferibile all’individuazione degli stessi.lunga preferibile all’individuazione degli stessi.

6767


4.4. In tale ottica, il Disciplinare dovrà essere In tale ottica, il Disciplinare dovrà essere redatto redatto in modo chiaro e senza formule generiche in modo chiaro e senza formule generiche e e portato a conoscenza dei lavoratori tramite portato a conoscenza dei lavoratori tramite informativa, informativa, (ai sensi dell’art. 13 del Codice della (ai sensi dell’art. 13 del Codice della Privacy) utilizzando la rete interna e/o mediante Privacy) utilizzando la rete interna e/o mediante affissione sui luoghi di lavoro. affissione sui luoghi di lavoro.

6868


Da qui l’opportunità, per il Garante, da parte del Da qui l’opportunità, per il Garante, da parte del datore di lavoro, di dotarsi di una datore di lavoro, di dotarsi di una policypolicy interna interna che, in ossequio al principio di correttezza (art. che, in ossequio al principio di correttezza (art. 11, comma 1, lett. a) D. Lgs. 196/2003) e in 11, comma 1, lett. a) D. Lgs. 196/2003) e in un’ottica di piena trasparenza, indichi quali siano un’ottica di piena trasparenza, indichi quali siano le modalità di utilizzo degli strumenti informatici le modalità di utilizzo degli strumenti informatici assegnati in uso al lavoratore e se, in che misura assegnati in uso al lavoratore e se, in che misura e con quali modalità vengano effettuati gli e con quali modalità vengano effettuati gli eventuali controlli.eventuali controlli.

6969


……INOLTRE:INOLTRE:

Il Disciplinare dovrà specificare:Il Disciplinare dovrà specificare: quali comportamenti, rispetto alla “navigazione in quali comportamenti, rispetto alla “navigazione in

internet e all’utilizzo della casella di posta internet e all’utilizzo della casella di posta elettronica, sono tollerati o meno da parte del elettronica, sono tollerati o meno da parte del datore di lavoro;datore di lavoro;

se e in quale misura è consentito utilizzare, anche se e in quale misura è consentito utilizzare, anche per ragioni personali, servizi di posta elettronica o per ragioni personali, servizi di posta elettronica o di rete;di rete;

se e quali informazioni sono eventualmente se e quali informazioni sono eventualmente memorizzate temporaneamente e quali invece …memorizzate temporaneamente e quali invece …

7070


… … conservate per un periodo più lungo;conservate per un periodo più lungo; se, e in quale misura, il datore di lavoro si riserva se, e in quale misura, il datore di lavoro si riserva

di effettuare controlli in conformità della legge, di effettuare controlli in conformità della legge, anche saltuari e occasionali, indicando le ragioni anche saltuari e occasionali, indicando le ragioni legittime – specifiche e non generiche – per cui legittime – specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche sulla verrebbero effettuati (anche per verifiche sulla funzionalità del sistema) e le relative modalità;funzionalità del sistema) e le relative modalità;

quali conseguenze, anche di tipo disciplinare, il quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora datore di lavoro si riserva di trarre qualora constati che internet e posta elettronica siano constati che internet e posta elettronica siano utilizzate indebitamente;utilizzate indebitamente;

7171


le soluzioni prefigurate per garantire, con la le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza dl dell’attività lavorativa in caso di assenza dl lavoratore stesso (specie se non programmata), lavoratore stesso (specie se non programmata), con particolare riferimento all’attivazione di con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;posta elettronica ricevuti;

le misure di tipo organizzativo e tecnologico le misure di tipo organizzativo e tecnologico predisposte dal datore di lavoro.predisposte dal datore di lavoro.

7272

QUALI CONTROLLI SI POSSONO QUALI CONTROLLI SI POSSONO EFFETTUARE?EFFETTUARE?Con riguardo al principio secondo cui occorre Con riguardo al principio secondo cui occorre perseguire finalità determinate, esplicite e perseguire finalità determinate, esplicite e legittime legittime il datore di lavoro:il datore di lavoro:

può riservarsi di controllare (direttamente o può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.).lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.).

devedeve rispettare la libertà e la dignità dei rispettare la libertà e la dignità dei lavoratori,lavoratori,

7373


in particolare per ciò che attiene al in particolare per ciò che attiene al divieto di divieto di installare “apparecchiature per finalità di controllo installare “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” a distanza dell’attività dei lavoratori” (art. 4, (art. 4, primo comma, L. n. 300/70), primo comma, L. n. 300/70), tra cui sono tra cui sono certamente comprese strumentazioni hardware e certamente comprese strumentazioni hardware e softwaresoftware mirate al controllo dell’utente di un mirate al controllo dell’utente di un sistema di comunicazione elettronica. sistema di comunicazione elettronica.

7474

In particolare, non può ritenersi consentito il In particolare, non può ritenersi consentito il trattamento effettuato mediante sistemi trattamento effettuato mediante sistemi hardware e software preordinati al controllo a hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire – distanza, grazie ai quali sia possibile ricostruire – a volte anche minuziosamente – l’attività di a volte anche minuziosamente – l’attività di lavoratorilavoratori. E’ il caso, ad esempio:. E’ il caso, ad esempio:

della lettura e della registrazione sistematica dei della lettura e della registrazione sistematica dei messaggi di posta elettronica, ovvero dei relativi messaggi di posta elettronica, ovvero dei relativi dati esteriori, al di là di quanto tecnicamente dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;necessario per svolgere il servizio e-mail;

della riproduzione ed eventuale memorizzazionedella riproduzione ed eventuale memorizzazione

7575


… … sistematica delle pagine web visualizzate dal sistematica delle pagine web visualizzate dal lavoratore;lavoratore;

della lettura e della registrazione dei caratteri della lettura e della registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;inseriti tramite la tastiera o analogo dispositivo;

dell’analisi occulta di computers portatili affidati dell’analisi occulta di computers portatili affidati in uso.in uso.

Il controllo a distanza vietato dalla legge riguarda Il controllo a distanza vietato dalla legge riguarda l’attività lavorativa in senso stretto e altre l’attività lavorativa in senso stretto e altre condotte personali poste in essere nel luogo di condotte personali poste in essere nel luogo di lavoro. A parte eventuali responsabilità civili e lavoro. A parte eventuali responsabilità civili e penali, i dati trattati illecitamente non sono penali, i dati trattati illecitamente non sono utilizzabili (art. 11, comma 2, Codice) dal datore utilizzabili (art. 11, comma 2, Codice) dal datore di lavoro. di lavoro.

7676

I C.D. “CONTROLLI INDIRETTI” LECITII C.D. “CONTROLLI INDIRETTI” LECITI

Il datore di lavoro, utilizzando sistemi informativi Il datore di lavoro, utilizzando sistemi informativi per esigenze produttive o organizzative (ad es., per esigenze produttive o organizzative (ad es., per rilevare anomalie o per manutenzioni) o, per rilevare anomalie o per manutenzioni) o, comunque, quando gli stessi si rivelano necessari comunque, quando gli stessi si rivelano necessari per la sicurezza sul lavoro, può avvalersi per la sicurezza sul lavoro, può avvalersi legittimamentelegittimamente, nel rispetto dello Statuto dei , nel rispetto dello Statuto dei Lavoratori (art. 4, comma 2), di sistemi che Lavoratori (art. 4, comma 2), di sistemi che consentono consentono indirettamente un controllo a indirettamente un controllo a distanzadistanza (c.d. controllo preterintenzionale) (c.d. controllo preterintenzionale) ……

7777

Il trattamento di dati che ne consegue può Il trattamento di dati che ne consegue può risultare lecito.risultare lecito.

Resta ferma la necessità di rispettare le Resta ferma la necessità di rispettare le procedure di informazione e di consultazione di procedure di informazione e di consultazione di lavoratori e sindacati in relazione all’introduzione lavoratori e sindacati in relazione all’introduzione o alla modifica di sistemi automatizzati per la o alla modifica di sistemi automatizzati per la raccolta e l’utilizzazione dei dati, nonché in caso raccolta e l’utilizzazione dei dati, nonché in caso di introduzione o di modificazione di procedimenti di introduzione o di modificazione di procedimenti tecnici destinati a controllare i movimenti o la tecnici destinati a controllare i movimenti o la produttività dei lavoratori.produttività dei lavoratori.

7878

Pertanto, Pertanto, i controlli risultano leciti se:i controlli risultano leciti se:

Evitano interferenze ingiustificate sui diritti e Evitano interferenze ingiustificate sui diritti e sulle libertà fondamentali dei lavoratori e dei sulle libertà fondamentali dei lavoratori e dei soggetti esterni (ad es., controlli a distanza);soggetti esterni (ad es., controlli a distanza);

Rispettano i principi di necessità, pertinenza e Rispettano i principi di necessità, pertinenza e non eccedenza.non eccedenza.

7979

LA GRADUAZIONE DEI CONTROLLILA GRADUAZIONE DEI CONTROLLI

Nel caso in cui un evento dannoso o una Nel caso in cui un evento dannoso o una situazione di pericolo non sia stato impedito con situazione di pericolo non sia stato impedito con preventivi accorgimenti tecnici, il datore di lavoro preventivi accorgimenti tecnici, il datore di lavoro può adottare eventuali misure che consentano la può adottare eventuali misure che consentano la verifica di comportamenti anomaliverifica di comportamenti anomali..

Deve essere per quanto possibile preferito un Deve essere per quanto possibile preferito un controllo preliminare su dati aggregaticontrollo preliminare su dati aggregati, riferiti , riferiti all’intera struttura lavorativa o a sue aree.all’intera struttura lavorativa o a sue aree.

8080

Un Un controllo che preveda trattamento di dati in controllo che preveda trattamento di dati in forma anonimaforma anonima o tale da precludere l’immediata o tale da precludere l’immediata identificazione di utenti mediante loro opportune identificazione di utenti mediante loro opportune aggregazioni (ad. es,., con riguardo ai files di log aggregazioni (ad. es,., con riguardo ai files di log riferiti al traffico web, su base collettiva o per riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori), in gruppi sufficientemente ampi di lavoratori), in molti casi, viene ritenuto sufficiente a scongiurare molti casi, viene ritenuto sufficiente a scongiurare i principali pericoli di abuso.i principali pericoli di abuso.

Il Il controllo anonimo controllo anonimo può concludersi con un può concludersi con un avviso generalizzatoavviso generalizzato relativo ad un rilevato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con …utilizzo anomalo degli strumenti aziendali e con …

8181


… … l’invito ad attenersi scrupolosamente ai compiti l’invito ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. L’avviso può assegnati e alle istruzioni impartite. L’avviso può essere circoscritto a dipendenti afferenti all’Area essere circoscritto a dipendenti afferenti all’Area o al Settore in cui è stata rilevata l’anomalia.o al Settore in cui è stata rilevata l’anomalia.

In assenza di successive anomalie, non è, di In assenza di successive anomalie, non è, di regola, giustificato effettuare ulteriori controlli su regola, giustificato effettuare ulteriori controlli su base individuale. base individuale. Solamente a seguito di ripetute Solamente a seguito di ripetute e significative anomaliee significative anomalie (rilevate, ad esempio, per (rilevate, ad esempio, per la presenza di virus provenienti da siti non la presenza di virus provenienti da siti non istituzionali), il datore di lavoro può svolgere istituzionali), il datore di lavoro può svolgere verifiche ex post verifiche ex post sui dati inerenti l’accesso alla sui dati inerenti l’accesso alla rete dei propri dipendenti. rete dei propri dipendenti. Va esclusa, in ogni Va esclusa, in ogni caso, l’ammissibilità di controlli prolungati…caso, l’ammissibilità di controlli prolungati…

8282


… … costanti o indiscriminati (così anche la Corte costanti o indiscriminati (così anche la Corte dei Conti).dei Conti).

In ogni caso, resta impregiudicata la facoltà del In ogni caso, resta impregiudicata la facoltà del lavoratore di opporsi al trattamento dei dati che lavoratore di opporsi al trattamento dei dati che lo riguardano per motivi legittimi (art. 7, comma lo riguardano per motivi legittimi (art. 7, comma 4, lett. a), del Codice della Privacy).4, lett. a), del Codice della Privacy).

8383

MISURE PREVISTE DAL GARANTE DELLA PRIVACYMISURE PREVISTE DAL GARANTE DELLA PRIVACY

In applicazione, dunque, del già menzionato In applicazione, dunque, del già menzionato principio di necessità, il datore di lavoro è principio di necessità, il datore di lavoro è chiamato a chiamato a promuovere ogni opportuna misura, promuovere ogni opportuna misura, organizzativa e tecnologicaorganizzativa e tecnologica, volta a prevenire il , volta a prevenire il rischio di utilizzi impropri e, comunque, a rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori “minimizzare” l’uso di dati riferibili ai lavoratori (artt. 3, 11, comma 1, lett. d) e 22(artt. 3, 11, comma 1, lett. d) e 22

8484

……Commi 3 e 5 del Codice; aut. Gen. al Commi 3 e 5 del Codice; aut. Gen. al trattamento dei dati sensibili n. 1/2005, punto 4).trattamento dei dati sensibili n. 1/2005, punto 4).

MISURE DI TIPO ORGANIZZATIVOMISURE DI TIPO ORGANIZZATIVO si valuti attentamente l’impatto sui diritti dei si valuti attentamente l’impatto sui diritti dei

lavoratori lavoratori (prima dell’installazione di (prima dell’installazione di apparecchiature suscettibili di consentire il apparecchiature suscettibili di consentire il controllo a distanza e prima dell’eventuale controllo a distanza e prima dell’eventuale trattamento);trattamento);

si individui preventivamente si individui preventivamente (anche per tipologie)(anche per tipologie)

8585

… … a quali lavoratori a quali lavoratori è accordato l’utilizzo della posta è accordato l’utilizzo della posta elettronica e l’accesso a internet;elettronica e l’accesso a internet;

si determini quale si determini quale ubicazioneubicazione è riservata alle è riservata alle postazioni di lavoro postazioni di lavoro per ridurre il rischio di un loro per ridurre il rischio di un loro impiego abusivo (sempre in una logica impiego abusivo (sempre in una logica preventiva).preventiva).

MISURE DI TIPO TECNOLOGICOMISURE DI TIPO TECNOLOGICO

Il datore di lavoro ha, inoltre, l’onere di adottare Il datore di lavoro ha, inoltre, l’onere di adottare tutte le tutte le misure tecnologiche misure tecnologiche volte a minimizzare volte a minimizzare l’uso di dati identificativi.l’uso di dati identificativi.

8686

L’individuazione di categorie di siti considerati L’individuazione di categorie di siti considerati correlati o non correlati con la prestazione correlati o non correlati con la prestazione lavorativa;lavorativa;

La configurazione di sistemi o l’utilizzo di filtri che La configurazione di sistemi o l’utilizzo di filtri che prevengano determinate operazioni, reputate non prevengano determinate operazioni, reputate non compatibili con l’attività lavorativa (ad. es., compatibili con l’attività lavorativa (ad. es., upload o accesso a siti particolari) e/o …upload o accesso a siti particolari) e/o …

8787

… … il download di files o softwares aventi il download di files o softwares aventi particolari caratteristiche (dimensionali o di particolari caratteristiche (dimensionali o di tipologia di dato);tipologia di dato);

Il trattamento di dati in forma anonima o tale da Il trattamento di dati in forma anonima o tale da precludere l’immediata identificazione degli precludere l’immediata identificazione degli utenti mediante opportune aggregazioni;utenti mediante opportune aggregazioni;

L’eventuale conservazione di dati per il tempo L’eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza;organizzative, produttive e di sicurezza;

La gradualità dei controlli.La gradualità dei controlli.

8888

POSTA ELETTRONICA POSTA ELETTRONICA

alcune considerazioni iniziali:alcune considerazioni iniziali:

Contro il diritto del datore di lavoro ad accedere Contro il diritto del datore di lavoro ad accedere al contenuto dei messaggi di posta elettronica al contenuto dei messaggi di posta elettronica riferibili al dipendente, si deve rilevare che è riferibili al dipendente, si deve rilevare che è ormai consolidato il criterio di ormai consolidato il criterio di assimilazione della assimilazione della posta elettronica alla posta tradizionale.posta elettronica alla posta tradizionale.

Infatti, i contenuti dei messaggi di posta Infatti, i contenuti dei messaggi di posta elettronica – come pure i files allegati –elettronica – come pure i files allegati –riguardano forme…riguardano forme…

8989

… … di corrispondenza assistite da di corrispondenza assistite da garanzie di garanzie di segretezza tutelate anche costituzionalmente, la segretezza tutelate anche costituzionalmente, la cui cui ratio ratio risiede nel proteggere il nucleo risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni socialidella personalità nelle formazioni sociali; ;

Una protezione ulteriore deriva dalle Una protezione ulteriore deriva dalle norme norme penali a tutela dell’inviolabilità dei segreti penali a tutela dell’inviolabilità dei segreti (cfr. (cfr. art. 616, quarto comma, c.p.); art. 616, quarto comma, c.p.);

9090

CONSEGUENZE:CONSEGUENZE: estensione, alla corrispondenza estensione, alla corrispondenza on line, on line, di tutte le di tutte le

tuteletutele che gli ordinamenti assicurano alla che gli ordinamenti assicurano alla corrispondenza tradizionale (nel nostro corrispondenza tradizionale (nel nostro ordinamento la parificazione è avvenuta con la L. ordinamento la parificazione è avvenuta con la L. n. 547/1993 che ha modificato le disposizioni n. 547/1993 che ha modificato le disposizioni penali relative alla corrispondenza);penali relative alla corrispondenza);

approccio volto a garantire la segretezza del approccio volto a garantire la segretezza del contenuto della posta elettronica sembra non contenuto della posta elettronica sembra non sembra venire meno nel caso in cui le sembra venire meno nel caso in cui le comunicazioni siano effettuate attraverso l’uso di comunicazioni siano effettuate attraverso l’uso di un indirizzo e di una rete telematica messi a un indirizzo e di una rete telematica messi a disposizione dal datore di lavoro;disposizione dal datore di lavoro;

9191

Secondo infatti il c.d. Gruppo di Lavoro europeo Secondo infatti il c.d. Gruppo di Lavoro europeo per la protezione dei dati (organismo previsto per la protezione dei dati (organismo previsto dall’art. 29 della direttiva CE 95/46), “dall’art. 29 della direttiva CE 95/46), “le le comunicazioni elettroniche fatte a partire da comunicazioni elettroniche fatte a partire da locali commerciali possono rientrare nella nozione locali commerciali possono rientrare nella nozione di “vita privata” e “corrispondenza” a termini di “vita privata” e “corrispondenza” a termini dell’art. 8, paragrafo 1 della Convenzione dell’art. 8, paragrafo 1 della Convenzione europeaeuropea”. ”.

Sempre secondo il gruppo di lavoro “Sempre secondo il gruppo di lavoro “l’ubicazione l’ubicazione e la proprietà del mezzo elettronico utilizzato non e la proprietà del mezzo elettronico utilizzato non escludono la segretezza delle comunicazioni e escludono la segretezza delle comunicazioni e della corrispondenza, quale sancita da principi della corrispondenza, quale sancita da principi giuridici fondamentali e Costituzionigiuridici fondamentali e Costituzioni” (cfr. …” (cfr. …

9292

… … U.E.- Gruppo di lavoro sulla protezione dei dati – U.E.- Gruppo di lavoro sulla protezione dei dati – Articolo 29- “Documento di Lavoro riguardante la Articolo 29- “Documento di Lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul vigilanza sulle comunicazioni elettroniche sul posto di lavoro” adottato il 29 maggio 2002”).posto di lavoro” adottato il 29 maggio 2002”).

9393

POSTA ELETTRONICA: le misure POSTA ELETTRONICA: le misure preventive di tipo tecnologico suggerite preventive di tipo tecnologico suggerite dal Garante Privacy:dal Garante Privacy:

La messa a disposizione di indirizzi di posta La messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori, elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali.eventualmente affiancandoli a quelli individuali.

L’eventuale attribuzione al lavoratore di un L’eventuale attribuzione al lavoratore di un diverso indirizzo di posta elettronica destinato ad diverso indirizzo di posta elettronica destinato ad un uso privato.un uso privato.

La messa a disposizione di ciascun lavoratore, La messa a disposizione di ciascun lavoratore, con modalità di agevole esecuzione, di apposite con modalità di agevole esecuzione, di apposite

9494

……funzionalità di sistema che consentano di funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze inviare automaticamente, in caso di assenze programmate, messaggi di risposta che programmate, messaggi di risposta che contengano le “coordinate” di altro soggetto o contengano le “coordinate” di altro soggetto o altre utili modalità di contatto dell’istituzione altre utili modalità di contatto dell’istituzione presso la quale opera il lavoratore assente. presso la quale opera il lavoratore assente.

In caso di eventuali assenze non programmate In caso di eventuali assenze non programmate (ad es., per malattia), qualora il lavoratore non (ad es., per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche …possa attivare la procedura descritta (anche …

9595

……. avvalendosi di servizi web mail), il titolare del . avvalendosi di servizi web mail), il titolare del trattamento, trattamento, perdurando l’assenza oltre un perdurando l’assenza oltre un determinato limite temporaledeterminato limite temporale, potrebbe disporre , potrebbe disporre lecitamente, sempre che sia necessario e lecitamente, sempre che sia necessario e mediante personale appositamente incaricato mediante personale appositamente incaricato (ad. es., l’amministratore di sistema oppure, se (ad. es., l’amministratore di sistema oppure, se presente, un incaricato aziendale per la presente, un incaricato aziendale per la protezione dei dati), l’attivazione di un analogo protezione dei dati), l’attivazione di un analogo accorgimento, avvertendo gli interessati.accorgimento, avvertendo gli interessati.

9696

Consentire che, qualora si debba conoscere il Consentire che, qualora si debba conoscere il contenuto dei messaggi di posta elettronica in contenuto dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata e per caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività improrogabili necessità legate all’attività lavorativa, lavorativa, l’interessato sia messo in grado di l’interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi e a inoltrareverificare il contenuto dei messaggi e a inoltrare

al titolare del trattamento quelli ritenuti rilevanti al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativaper lo svolgimento dell’attività lavorativa. Di tale . Di tale attività dovrebbe essere redatto apposito verbale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima e informato il lavoratore interessato alla prima occasione utile.occasione utile.

9797

L’inserzione nei messaggi di un avvertimento ai L’inserzione nei messaggi di un avvertimento ai destinatari nel quale sia dichiarata l’eventuale destinatari nel quale sia dichiarata l’eventuale natura non personale del messaggio e sia natura non personale del messaggio e sia specificato se le risposte potranno essere specificato se le risposte potranno essere conosciute nell’organizzazione di appartenenza conosciute nell’organizzazione di appartenenza del mittente.del mittente.

La graduazione dei controlli.La graduazione dei controlli.

9898

INDIVIDUAZIONE DEI SOGGETTI PREPOSTI AI INDIVIDUAZIONE DEI SOGGETTI PREPOSTI AI CONTROLLICONTROLLI

Il datore di lavoro può ritenere utile la Il datore di lavoro può ritenere utile la designazione (facoltativadesignazione (facoltativa), specie in strutture ), specie in strutture articolate, articolate, di uno o più responsabili del di uno o più responsabili del trattamento cui impartire precise istruzioni sul trattamento cui impartire precise istruzioni sul tipo di controlli ammessi e sulle relative modalità tipo di controlli ammessi e sulle relative modalità (art. 29 del Codice della Privacy).(art. 29 del Codice della Privacy).

Nel caso di eventuali interventi per esigenze di Nel caso di eventuali interventi per esigenze di manutenzione del sistema, va posta opportuna manutenzione del sistema, va posta opportuna cura nel cura nel prevenire l’accesso a dati personali prevenire l’accesso a dati personali presenti in cartelle o spazi di memoria assegnati presenti in cartelle o spazi di memoria assegnati a dipendenti.a dipendenti.

9999

obbligo dei soggetti preposti al connesso obbligo dei soggetti preposti al connesso trattamento dei dati (in particolare, gli incaricati trattamento dei dati (in particolare, gli incaricati della manutenzione) di svolgere solo operazioni della manutenzione) di svolgere solo operazioni strettamente necessarie al perseguimento delle strettamente necessarie al perseguimento delle relative finalità, senza realizzare attività di relative finalità, senza realizzare attività di controllo a distanza, anche di propria iniziativa.controllo a distanza, anche di propria iniziativa.

necessità che, nell’individuare regole di condotta necessità che, nell’individuare regole di condotta dei soggetti che operano quali amministratori di dei soggetti che operano quali amministratori di sistema o figure analoghe cui siano rimesse sistema o figure analoghe cui siano rimesse operazioni connesse al regolare funzionamento operazioni connesse al regolare funzionamento dei sistemi…dei sistemi…

100100

Provvedimento n. 13 del 1° marzo 2007 del Garante della Provvedimento n. 13 del 1° marzo 2007 del Garante della Privacy – Linee Guida per posta elettronica e internetPrivacy – Linee Guida per posta elettronica e internet

… … sia svolta sia svolta un’attività formativa un’attività formativa sui profili tecnico-gestionali sui profili tecnico-gestionali e di sicurezza delle reti, sui principi di protezione dei dati e di sicurezza delle reti, sui principi di protezione dei dati personali e sul segreto delle comunicazioni.personali e sul segreto delle comunicazioni.

CONSERVAZIONE DEI DATI SUI SISTEMI INFORMATICICONSERVAZIONE DEI DATI SUI SISTEMI INFORMATICI

I sistemi software devono essere programmati e configurati I sistemi software devono essere programmati e configurati in modo da in modo da cancellare periodicamente ed automaticamentecancellare periodicamente ed automaticamente (attraverso procedure di sovra registrazione come, ad (attraverso procedure di sovra registrazione come, ad esempio, la c.d. rotazione dei esempio, la c.d. rotazione dei log filelog file) ) i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria. In assenza di . In assenza di particolari esigenze tecniche o di sicurezza, la particolari esigenze tecniche o di sicurezza, la conservazione temporanea dei dati relativi all’uso degli conservazione temporanea dei dati relativi all’uso degli strumenti elettronici deve essere giustificata da una finalità strumenti elettronici deve essere giustificata da una finalità specifica e comprovata e limitata al tempo necessario – e…specifica e comprovata e limitata al tempo necessario – e…

101101


……predeterminato – a raggiungerla (cfr.art. 11, comma 1, predeterminato – a raggiungerla (cfr.art. 11, comma 1, lett. e) Codice Privacy).lett. e) Codice Privacy).

Un eventuale prolungamento dei tempi di Un eventuale prolungamento dei tempi di conservazione va valutato come eccezionale e conservazione va valutato come eccezionale e può aver luogo solo in relazione:può aver luogo solo in relazione:

ad esigenze tecniche o di sicurezza del tutto ad esigenze tecniche o di sicurezza del tutto particolari;particolari;

all’indispensabilità del dato rispetto all’esercizio o all’indispensabilità del dato rispetto all’esercizio o alla difesa di un diritto in sede giudiziaria;alla difesa di un diritto in sede giudiziaria;

all’obbligo di custodire o consegnare i dati per all’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta ottemperare ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria.dell’autorità giudiziaria o della polizia giudiziaria.

102102


In questi casi, il trattamento dei dati personali: In questi casi, il trattamento dei dati personali: deve essere limitato alle sole informazioni deve essere limitato alle sole informazioni indispensabili per perseguire finalità indispensabili per perseguire finalità preventivamente determinate;preventivamente determinate;deve essere effettuato con logiche e forme di deve essere effettuato con logiche e forme di organizzazione strettamente correlate agli obblighi, organizzazione strettamente correlate agli obblighi, compiti e finalità già esplicitati.compiti e finalità già esplicitati.

103103

DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI INTERNET E POSTA ELETTRONICA SUL SULL’UTILIZZO DI INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.ALUOGO DI LAVORO NELLA P.A

Il Ministro per la Pubblica Amministrazione e Il Ministro per la Pubblica Amministrazione e l’innovazione Renato Brunetta ha diramato il l’innovazione Renato Brunetta ha diramato il 26/05/2009 a tutte le amministrazioni pubbliche 26/05/2009 a tutte le amministrazioni pubbliche una una direttivadirettiva, la , la n. 02/09n. 02/09, con la quale si , con la quale si delineano le linee guida del Ministero riguardo delineano le linee guida del Ministero riguardo all’utilizzo di Internet e della posta elettronica all’utilizzo di Internet e della posta elettronica nelle Pubbliche Amministrazioni.nelle Pubbliche Amministrazioni.

104104

DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.AINTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A

La direttiva, denominata “Utilizzo di internet e della casella La direttiva, denominata “Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro”, di posta elettronica istituzionale sul luogo di lavoro”, fornisce alle PP.AA. le indicazioni utili a delineare un “fornisce alle PP.AA. le indicazioni utili a delineare un “giusto giusto bilanciamento” tra i diritti individuali del dipendente e il bilanciamento” tra i diritti individuali del dipendente e il potere di controllo da parte dell’amministrazione,potere di controllo da parte dell’amministrazione, partendo partendo da premesse non dissimili rispetto a quelle del Garante da premesse non dissimili rispetto a quelle del Garante della Privacy, e cioè :della Privacy, e cioè :

le risorse ICT costituiscono, ormai da tempo, il principale le risorse ICT costituiscono, ormai da tempo, il principale strumento di lavoro posto a disposizione dei dipendenti strumento di lavoro posto a disposizione dei dipendenti delle pubbliche amministrazioni.delle pubbliche amministrazioni.

l’ampia distribuzione di tali risorse tra i dipendenti ne l’ampia distribuzione di tali risorse tra i dipendenti ne favorisce il diffuso utilizzo anche per finalità diverse da favorisce il diffuso utilizzo anche per finalità diverse da quelle lavorative, con evidenti implicazioni relative alla quelle lavorative, con evidenti implicazioni relative alla difficoltà di monitorare tali attività (anche per una difficoltà di monitorare tali attività (anche per una questione di costi) e alla tutela della riservatezza e dei …questione di costi) e alla tutela della riservatezza e dei …

105105


… … dati personali.dati personali.

Peraltro, precisa lo stesso Ministro Brunetta nelle premesse Peraltro, precisa lo stesso Ministro Brunetta nelle premesse della Direttiva, l’utilizzo non istituzionale di internet e della della Direttiva, l’utilizzo non istituzionale di internet e della posta elettronica da parte dei dipendenti non provoca, di posta elettronica da parte dei dipendenti non provoca, di norma, costi aggiuntivi, tenuto conto della modalità di norma, costi aggiuntivi, tenuto conto della modalità di pagamento “flat” (non riferita, cioè, al consumo) utilizzata pagamento “flat” (non riferita, cioè, al consumo) utilizzata nella generalità dei casi dalle Amministrazioni per l’utilizzo nella generalità dei casi dalle Amministrazioni per l’utilizzo di quasi tutte le risorse ICT (postazioni di lavoro, di quasi tutte le risorse ICT (postazioni di lavoro, connessioni di rete e posta elettronica).connessioni di rete e posta elettronica).

Pur tuttavia, data la delicatezza della materia, che tocca i Pur tuttavia, data la delicatezza della materia, che tocca i diritti individuali (quale il diritto alla segretezza della diritti individuali (quale il diritto alla segretezza della corrispondenza), corrispondenza), si richiede alle Amministrazioni di adottare si richiede alle Amministrazioni di adottare delle misure che, da un lato, facilitino il corretto utilizzodelle misure che, da un lato, facilitino il corretto utilizzo … …

106106


… … delle risorse ICT da parte dei dipendenti, e dall’altro, il delle risorse ICT da parte dei dipendenti, e dall’altro, il proporzionato esercizio del potere datoriale di controllo da proporzionato esercizio del potere datoriale di controllo da parte delle stesse PP.AA.parte delle stesse PP.AA.

Obiettivo della Direttiva, dunque, è quello di porre dei Obiettivo della Direttiva, dunque, è quello di porre dei confini operativi all’utilizzo delle risorse ICT da parte dei confini operativi all’utilizzo delle risorse ICT da parte dei dipendenti delle PP.AA., scoraggiandone gli usi non ritenuti dipendenti delle PP.AA., scoraggiandone gli usi non ritenuti conferenti con la normale attività lavorativa e istituzionale.conferenti con la normale attività lavorativa e istituzionale.

Innanzi tutto, le PP.AA., nella loro veste di datori di lavoro, Innanzi tutto, le PP.AA., nella loro veste di datori di lavoro, sono tenute ad assicurare la funzionalità ed il corretto sono tenute ad assicurare la funzionalità ed il corretto impiego degli strumenti ICT da parte dei propri dipendenti, impiego degli strumenti ICT da parte dei propri dipendenti, definendone le modalità di utilizzo ed adottando le misure definendone le modalità di utilizzo ed adottando le misure necessarie a garantire la sicurezza, la disponibilità e necessarie a garantire la sicurezza, la disponibilità e l'integrità dei sistemi informativi.l'integrità dei sistemi informativi.

107107


Nell'ottica del “giusto bilanciamento”, le PP.AA. Nell'ottica del “giusto bilanciamento”, le PP.AA. non possono, all'interno della loro potestà di non possono, all'interno della loro potestà di controllo, trascurare i basilari diritti dei lavoratori controllo, trascurare i basilari diritti dei lavoratori e la tutela dei loro dati personali. A questo scopo, e la tutela dei loro dati personali. A questo scopo, oltre al riferimento al divieto di installare oltre al riferimento al divieto di installare ““apparecchiature per finalità di controllo a apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori”distanza dell'attività dei lavoratori” di cui all'art. 4 di cui all'art. 4 della legge n. 300 del 1970, si richiamano della legge n. 300 del 1970, si richiamano in totoin toto le “Linee guida del garante della Privacy per le “Linee guida del garante della Privacy per posta elettronica ed internet” del 1° marzo 2007, posta elettronica ed internet” del 1° marzo 2007, le cui basi appaiono chiare:le cui basi appaiono chiare:

108108


la posta elettronica e internet possono essere strumenti che la posta elettronica e internet possono essere strumenti che consentono di trarre informazioni, anche di carattere consentono di trarre informazioni, anche di carattere sensibile, sui lavoratori o terzi identificati o identificabili e, sensibile, sui lavoratori o terzi identificati o identificabili e, pertanto, pertanto, l'eventuale monitoraggio del loro utilizzo deve l'eventuale monitoraggio del loro utilizzo deve essere effettuato con cautela;essere effettuato con cautela;

il controllo di questi strumenti, specie se eseguito in il controllo di questi strumenti, specie se eseguito in maniera indiscriminata e senza una motivazione specifica, maniera indiscriminata e senza una motivazione specifica, può rappresentare una violazione dei diritti dei lavoratori e può rappresentare una violazione dei diritti dei lavoratori e un trattamento illecito di dati sensibili;un trattamento illecito di dati sensibili;

i controlli possono essere effettuati, ma solo a seguito di i controlli possono essere effettuati, ma solo a seguito di effettivi eventi che motivino, specificamente, un intervento effettivi eventi che motivino, specificamente, un intervento in tal senso e rispettando il principio di proporzionalità (che in tal senso e rispettando il principio di proporzionalità (che si concretizza nella pertinenza e non eccedenza delle si concretizza nella pertinenza e non eccedenza delle attività di controllo). In ogni caso, i lavoratori devono essere attività di controllo). In ogni caso, i lavoratori devono essere preventivamente avvisati dei controlli effettuati;preventivamente avvisati dei controlli effettuati;

109109


è opportuno attivare delle procedure preventive che è opportuno attivare delle procedure preventive che consentano di evitare utilizzi scorretti degli strumenti consentano di evitare utilizzi scorretti degli strumenti informatici (come, ad esempio, il filtraggio che prevenga informatici (come, ad esempio, il filtraggio che prevenga l'accesso a siti inseriti in una sorta di l'accesso a siti inseriti in una sorta di black list black list oo il il download download di di filesfiles o o softwaresoftware particolari). particolari).

a tutela dei lavoratori (ma soprattutto delle PP.AA.) si a tutela dei lavoratori (ma soprattutto delle PP.AA.) si consiglia di regolamentare l'utilizzo di queste risorse consiglia di regolamentare l'utilizzo di queste risorse attraverso la stesura di un disciplinare che regoli la materia, attraverso la stesura di un disciplinare che regoli la materia, definendo i confini di ciò che è lecito e di ciò che non lo è.definendo i confini di ciò che è lecito e di ciò che non lo è.

110110


Nello stesso tempo, la Direttiva mette in luce come l'utilizzo Nello stesso tempo, la Direttiva mette in luce come l'utilizzo delle risorse ICT da parte dei dipendenti, oltre a non dover delle risorse ICT da parte dei dipendenti, oltre a non dover compromettere la sicurezza e la riservatezza del sistema compromettere la sicurezza e la riservatezza del sistema informativo dell'Amministrazione, informativo dell'Amministrazione, non deve pregiudicare ed non deve pregiudicare ed ostacolare le attività della stessa P.A. o essere destinato al ostacolare le attività della stessa P.A. o essere destinato al perseguimento di interessi privati in contrasto con quelli perseguimento di interessi privati in contrasto con quelli pubblici. pubblici.

A fronte del potere di controllo dell’Amministrazione datore A fronte del potere di controllo dell’Amministrazione datore di lavoro, infatti, esiste in capo ai dipendenti l’obbligo di lavoro, infatti, esiste in capo ai dipendenti l’obbligo sancito da norme di legge (anche di rilevanza penale) e di sancito da norme di legge (anche di rilevanza penale) e di contratto, di contratto, di adottare comportamenti conformi al corretto adottare comportamenti conformi al corretto espletamento della prestazione lavorativa e idonei a non espletamento della prestazione lavorativa e idonei a non causare danni o pericoli ai beni mobili e agli strumenti ad causare danni o pericoli ai beni mobili e agli strumenti ad essi affidatiessi affidati, tra i quali vi sono le attrezzature ICT e i sistemi , tra i quali vi sono le attrezzature ICT e i sistemi informativi messi a disposizione dall’Amministrazione.informativi messi a disposizione dall’Amministrazione.

111111

DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.

A tal fine, la Direttiva fa riferimento:A tal fine, la Direttiva fa riferimento:al al Codice disciplinareCodice disciplinare contenuto all'interno dei contratti contenuto all'interno dei contratti collettivi di comparto (che dispone sanzioni in caso dicollettivi di comparto (che dispone sanzioni in caso di “negligenza nella cura dei locali e dei beni mobili o strumenti “negligenza nella cura dei locali e dei beni mobili o strumenti affidati al dipendente o sui quali, in relazione alle sue affidati al dipendente o sui quali, in relazione alle sue responsabilità, debba espletare azione di vigilanza”);responsabilità, debba espletare azione di vigilanza”); al al Codice di comportamento dei dipendenti delle PP.AA. di Codice di comportamento dei dipendenti delle PP.AA. di cui al Decreto del Ministro per la Funzione Pubblica del 28 cui al Decreto del Ministro per la Funzione Pubblica del 28 novembre 2000 novembre 2000 che, ove richiamata dal Codice Disciplinare che, ove richiamata dal Codice Disciplinare del CCNL dei diversi comparti, costituisce, oltre che norma di del CCNL dei diversi comparti, costituisce, oltre che norma di valenza etico-comportamentale, anche vero e proprio obbligo valenza etico-comportamentale, anche vero e proprio obbligo la cui inosservanza da parte dei dipendenti è passibile di la cui inosservanza da parte dei dipendenti è passibile di sanzione.sanzione.

112112


ANCHE LA GIURISPRUDENZA…ANCHE LA GIURISPRUDENZA…

… … in particolare quella della Corte dei Conti (tra le altre, Sez in particolare quella della Corte dei Conti (tra le altre, Sez giurisd. Piemonte, sent. n. 1856/2003, e Sez. giurisd. giurisd. Piemonte, sent. n. 1856/2003, e Sez. giurisd. Basilicata, sent. n. 83/2006), ha sanzionato l’indebito Basilicata, sent. n. 83/2006), ha sanzionato l’indebito utilizzo della connessione ad Internet da parte di un utilizzo della connessione ad Internet da parte di un dipendente, statuendo che essa configura profili di dipendente, statuendo che essa configura profili di responsabilità a carico del medesimo per il responsabilità a carico del medesimo per il danno danno patrimoniale cagionato all’Amministrazione, consistente patrimoniale cagionato all’Amministrazione, consistente nel mancato svolgimento della prestazione lavorativa nel mancato svolgimento della prestazione lavorativa durante le ore di connessione. durante le ore di connessione.

113113


Con riferimento al potere di controllo, la stessa Corte ha poi Con riferimento al potere di controllo, la stessa Corte ha poi rilevato come, rilevato come, a seguito di ripetute e significative anomalie a seguito di ripetute e significative anomalie (rilevate, ad esempio, per la presenza di virus provenienti (rilevate, ad esempio, per la presenza di virus provenienti da siti non istituzionali), da siti non istituzionali), la P.A. possa la P.A. possa svolgere svolgere verifiche ex post sui dati inerenti l'accesso alla rete dei propri dipendenti.. Per adempiere il proprio dovere di diligenza e Per adempiere il proprio dovere di diligenza e vigilanza nell’utilizzo dei beni e strumenti ad esso affidati, vigilanza nell’utilizzo dei beni e strumenti ad esso affidati, il il dipendente ha, inoltre, l'obbligo di impedire che altri dipendente ha, inoltre, l'obbligo di impedire che altri utilizzino indebitamente la propria apparecchiatura utilizzino indebitamente la propria apparecchiatura informaticainformatica, non rilevando, al fine del difetto di , non rilevando, al fine del difetto di responsabilità, il fatto che altri, in sua assenza, abbia potuto responsabilità, il fatto che altri, in sua assenza, abbia potuto usare la postazione lavorativa. In difetto, il comportamento usare la postazione lavorativa. In difetto, il comportamento del dipendente si configura come negligente, inescusabile e del dipendente si configura come negligente, inescusabile e gravemente colposo.gravemente colposo.

114114


Per quanto riguarda Per quanto riguarda l'utilizzo della casella di posta l'utilizzo della casella di posta elettronica istituzionaleelettronica istituzionale, la Direttiva raccomanda , la Direttiva raccomanda alle PP.AA. di contemperare l'esigenza di un alle PP.AA. di contemperare l'esigenza di un corretto svolgimento della vita lavorativa con corretto svolgimento della vita lavorativa con quella volta a prevenire inutili intrusioni nella quella volta a prevenire inutili intrusioni nella sfera personale dei lavoratori e violazioni della sfera personale dei lavoratori e violazioni della segretezza della corrispondenza, garantendo, in segretezza della corrispondenza, garantendo, in tal modo, un diritto costituzionalmente tutelato e tal modo, un diritto costituzionalmente tutelato e la cui la cui ratioratio risiede nel risiede nel proteggere il nucleo proteggere il nucleo essenziale della dignità umana e il pieno sviluppo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali (quale della personalità nelle formazioni sociali (quale risulta essere, anche, il luogo di lavoro).risulta essere, anche, il luogo di lavoro).

115115


A tale scopo, la Direttiva invita le PP.AA. ad A tale scopo, la Direttiva invita le PP.AA. ad esplicitare regole e strumenti che permettano di esplicitare regole e strumenti che permettano di superare le difficoltà in ordine all'utilizzo della superare le difficoltà in ordine all'utilizzo della posta elettronica, dal momento che, per la posta elettronica, dal momento che, per la configurazione stessa dell'indirizzo e-mail, appare configurazione stessa dell'indirizzo e-mail, appare dubbio verificare, nei singoli casi, la circostanza dubbio verificare, nei singoli casi, la circostanza che il lavoratore utilizzi la posta operando quale che il lavoratore utilizzi la posta operando quale espressione dell'Amministrazione o ne faccia, espressione dell'Amministrazione o ne faccia, invece, un uso personale, pur restando invece, un uso personale, pur restando nell'ambito lavorativo istituzionale.nell'ambito lavorativo istituzionale.

116116


Aspetto decisamente innovativo della Direttiva in questione Aspetto decisamente innovativo della Direttiva in questione appare, poi, la previsione della possibilità, per le appare, poi, la previsione della possibilità, per le Amministrazioni, di regolamentare l'utilizzo di Internet da Amministrazioni, di regolamentare l'utilizzo di Internet da parte dei dipendenti per svolgere attività che non rientrano parte dei dipendenti per svolgere attività che non rientrano tra i compiti istituzionali quali, ad esempio, il tra i compiti istituzionali quali, ad esempio, il disbrigo di disbrigo di incombenze amministrative e burocratiche, senza incombenze amministrative e burocratiche, senza allontanarsi dal luogo di lavoro allontanarsi dal luogo di lavoro (si cita il caso degli (si cita il caso degli adempimenti adempimenti on line on line verso istituti bancari, assicurativi o verso istituti bancari, assicurativi o altre PP.AA. o enti assimilati). Tale modalità, purché altre PP.AA. o enti assimilati). Tale modalità, purché contenuta nei tempi strettamente necessari allo contenuta nei tempi strettamente necessari allo svolgimento delle transazioni, avrebbe, tra l'altro, il svolgimento delle transazioni, avrebbe, tra l'altro, il vantaggio di contribuire a ridurre gli oneri logistici e di vantaggio di contribuire a ridurre gli oneri logistici e di personale per la P.A. che eroga il servizio, favorendo, personale per la P.A. che eroga il servizio, favorendo, altresì, la dematerializzazione dei processi produttivi.altresì, la dematerializzazione dei processi produttivi.

117117


Il punto tre della Direttiva del Ministro Brunetta è riservato Il punto tre della Direttiva del Ministro Brunetta è riservato all’utilizzo all’utilizzo della della rete Internet. rete Internet.

In capo all’Amministrazione datore di lavoro, alla cui In capo all’Amministrazione datore di lavoro, alla cui proprietà è riconducibile il Sistema informativo (ivi inclusi le proprietà è riconducibile il Sistema informativo (ivi inclusi le apparecchiature, i programmi ed i dati inviati, ricevuti e apparecchiature, i programmi ed i dati inviati, ricevuti e salvati), è posto salvati), è posto l’onere di predisporre misure idonee per l’onere di predisporre misure idonee per ridurre il rischio di usi impropri di internetridurre il rischio di usi impropri di internet, consistenti in , consistenti in attività non correlate alla prestazione lavorativa, quali:attività non correlate alla prestazione lavorativa, quali:

la visione di siti non pertinenti;la visione di siti non pertinenti; l’l’uploadupload e il e il downloaddownload di di files files per fini non

istituzionali;; l’uso di servizi di rete con finalità ludiche o, l’uso di servizi di rete con finalità ludiche o,

comunque, estranee all’attività lavorativacomunque, estranee all’attività lavorativa..118118


A tale proposito, la Direttiva raccomanda alle A tale proposito, la Direttiva raccomanda alle Amministrazioni di dotarsi di software idonei a impedire Amministrazioni di dotarsi di software idonei a impedire l’accesso a siti internet aventi contenuti e/o finalità vietati l’accesso a siti internet aventi contenuti e/o finalità vietati dalla legge.dalla legge.

Inoltre, l’Amministrazione, tenendo conto delle peculiarità Inoltre, l’Amministrazione, tenendo conto delle peculiarità proprie di ciascuna organizzazione produttiva, potrà proprie di ciascuna organizzazione produttiva, potrà adottare una o più misure tra quelle indicate dal Garante adottare una o più misure tra quelle indicate dal Garante della Privacy nella Deliberazione n. 13 del 1° marzo 2007 della Privacy nella Deliberazione n. 13 del 1° marzo 2007

Considerazioni particolari merita l'utilizzo, da parte del Considerazioni particolari merita l'utilizzo, da parte del dipendente e durante l'orario di servizio, dei dipendente e durante l'orario di servizio, dei social social networks.networks.

Secondo la Direttiva, l'utilizzo di Facebook, configurandosi Secondo la Direttiva, l'utilizzo di Facebook, configurandosi come attività non correlata alla prestazione lavorativa come attività non correlata alla prestazione lavorativa mediante visione di un sito non pertinente, andrebbe inibita mediante visione di un sito non pertinente, andrebbe inibita mediante l'installazione di appositi mediante l'installazione di appositi softwaressoftwares idonei ad idonei ad impedirne l'accesso.impedirne l'accesso.

119119


A puro titolo informativo, bisogna dire che, mentre già A puro titolo informativo, bisogna dire che, mentre già qualche tempo fa alcuni Enti pubblici avevano limitato qualche tempo fa alcuni Enti pubblici avevano limitato l'accesso a Facebook e siti affini dal posto di lavoro (tra essi l'accesso a Facebook e siti affini dal posto di lavoro (tra essi il Comune di Milano, Poste Italiane, le Regioni Lombardia e il Comune di Milano, Poste Italiane, le Regioni Lombardia e Veneto), altre PP.AA. lo hanno soltanto limitato: ad Veneto), altre PP.AA. lo hanno soltanto limitato: ad esempio, il Comune di Torino consente la navigazione libera esempio, il Comune di Torino consente la navigazione libera sui sui social networks social networks solo per un'ora durante la pausa del solo per un'ora durante la pausa del pranzo, mentre il Comune di Napoli ha convertito la pausa pranzo, mentre il Comune di Napoli ha convertito la pausa caffè in “pausa socializzazione virtuale”.caffè in “pausa socializzazione virtuale”.

Peraltro, Facebook viene utilizzato da Enti, istituzioni e Peraltro, Facebook viene utilizzato da Enti, istituzioni e personaggi pubblici per la diffusione di servizi e personaggi pubblici per la diffusione di servizi e newsnews, , dall'Arma dei Carabinieri all'Inps, a Regioni (come la Puglia) dall'Arma dei Carabinieri all'Inps, a Regioni (come la Puglia) e Comuni, fino allo stesso Ministro Brunetta.e Comuni, fino allo stesso Ministro Brunetta.

120120


121121


A sostegno della possibilità di utilizzare Facebook durante A sostegno della possibilità di utilizzare Facebook durante l'orario di lavoro, vi è poi una ricerca svolta dall'Università l'orario di lavoro, vi è poi una ricerca svolta dall'Università di Melbourne secondo la quale il suo utilizzo, insieme a di Melbourne secondo la quale il suo utilizzo, insieme a quello di altri quello di altri socialsocial networks, networks, renderebbe i dipendenti più renderebbe i dipendenti più produttivi del 9% , sempre entro i limiti e durante le produttivi del 9% , sempre entro i limiti e durante le previste pause. Per completezza d'informazione, occorre previste pause. Per completezza d'informazione, occorre aggiungere che in paesi come Gran Bretagna e Canada i aggiungere che in paesi come Gran Bretagna e Canada i social networkssocial networks sono bloccati perché ritenuti un limite alla sono bloccati perché ritenuti un limite alla produttività, mentre negli Stati Uniti il Presidente Obama ha produttività, mentre negli Stati Uniti il Presidente Obama ha ideato momenti di socializzazione interna studiati per ideato momenti di socializzazione interna studiati per mantenere i contatti di lavoro e promuovere l'interscambio mantenere i contatti di lavoro e promuovere l'interscambio professionale e la formazione. Il dibattito sull'utilizzo del professionale e la formazione. Il dibattito sull'utilizzo del web nelle sue molteplici versioni 2.0, ossia interattive, web nelle sue molteplici versioni 2.0, ossia interattive, all'interno della Pubblica Amministrazione si pone, in ogni all'interno della Pubblica Amministrazione si pone, in ogni caso, sempre più al centro dell'attenzione, come è emerso caso, sempre più al centro dell'attenzione, come è emerso nel corso dell'ultima edizione del FORUM PA che, sul tema, nel corso dell'ultima edizione del FORUM PA che, sul tema, ha dedicato una specifica sessione di lavoro, culminata con ha dedicato una specifica sessione di lavoro, culminata con il documento 'Manifesto Amministrare 2.0'. il documento 'Manifesto Amministrare 2.0'.

122122


La direttiva conclude con l’invito alle La direttiva conclude con l’invito alle Amministrazioni ad attuare, attraverso i dirigenti Amministrazioni ad attuare, attraverso i dirigenti responsabili, tutte le misure di informazione, responsabili, tutte le misure di informazione, controllo e verifica consentite al fine di controllo e verifica consentite al fine di regolamentare la fruizione delle risorse ICT e regolamentare la fruizione delle risorse ICT e responsabilizzare i dipendenti nei confronti di responsabilizzare i dipendenti nei confronti di eventuali utilizzi non coerenti con la prestazione eventuali utilizzi non coerenti con la prestazione lavorativa e non conformi alle norme che lavorativa e non conformi alle norme che disciplinano il lavoro alle dipendenze delle disciplinano il lavoro alle dipendenze delle pubbliche amministrazioni.pubbliche amministrazioni.

123123

fabio brucato area affari generali e legali ufficio per la privacy

Documents