Traggo spunto dalla recente notizia di un provvedimento del garante della privacy, relativo ad un caso di abuso di strumenti informatici aziendali, per soffermarmi sulla questione della organizzazione dei controlli alla luce di quelle che sono ormai le linee guida per l'utilizzo di Internet e della posta elettronica in azienda.
Nel caso in esame il datore di lavoro, pur adottando un regolamento specifico e fornendo ai dipendenti istruzioni per l'uso della postazione informatica individuale, a seguito di alcuni disservizi causati sulla rete aziendale da un eccessiva attività di scaricamento dati (download), aveva allestito un sistema di monitoraggio degli accessi nei confronti di un dipendente.
Il sistema, organizzato sulla base di un proxy server con funzioni di caching abilitate, aveva permesso di svolgere, per la durata di circa nove mesi, attività di controllo che implicavano la registrazione in chiaro degli "accessi a tutti i siti web visitati […] con evidenziazione anche dei relativi domìni", realizzando una forma di trattamento inammissibile sulla base dei seguenti profili di illiceità:
- la natura sistematica e continuativa del tracciamento, a causa della sua durata prolungata e della particolare estensione delle informazioni catturate, ha comportato una violazione sia dell'art. 4, comma 1, della legge 300/70 (Statuto dei lavoratori) che vieta l'impiego di apparecchiature (compresi hardware e software) per finalità di controllo a distanza dell'attività dei lavoratori, sia del principio di pertinenza e non eccedenza nella raccolta dei dati;
- mancata attivazione da parte del datore di lavoro delle procedure previste dalla normativa nel caso in cui le funzionalità di controllo connesse all'utilizzo di un software siano motivate da "esigenze organizzative e produttive" (accordo con le rsu oppure autorizzazione della direzione provinciale del lavoro);
Da tali conclusioni è scaturito il provvedimento che ha disposto il divieto di ulteriore trattamento delle informazioni raccolte nel corso del monitoraggio.
Ciò, oltre alle inevitabili ripercussioni sotto il profilo delle eventuali responsabilità connesse, potrebbe comportare anche delle limitazioni relativamente alla prova dei comportamenti scorretti dei lavoratori, tali da giustificare l'applicazione di sanzioni, compresa quella del licenziamento.
Organizzazione dei controlli
Per evitare le conseguenze appena viste, è fondamentale organizzare le attività di controllo in modo conforme alle prescrizioni di legge, per cui:
- non si possono installare apparecchiature, di nessun tipo, preordinate ad un controllo a distanza dei lavoratori: in questo ambito si possono far rientrare i software che, in relazione al modo in cui sono progettati e/o configurati, permettano la memorizzazione o la riproduzione delle pagine web accedute o l'esplicazione di controlli protratti nel tempo;
- sono ammessi per esigenze produttive, organizzative o di sicurezza sul lavoro sistemi di controllo indiretto, ma sempre nel rispetto delle procedure di informazione e consultazione dei lavoratori e dei sindacati;
Altro aspetto da non sottovalutare è quello della gradualità delle verifiche: in linea generale i controlli dovrebbero avere per oggetto dati in forma aggregata.
Se dall'analisi di questi ultimi emergono elementi che fanno presumere utilizzi impropri o non consentiti degli strumenti aziendali, vanno emessi avvisi generalizzati, anche circoscritti a particolari aree di lavoro, con l'invito ad attenersi alle direttive aziendali.
Soltanto nel caso in cui, a seguito degli avvisi, le attività anomale non cessino sarà possibile procedere a controlli su base individuale.
