I dipendenti delle aziende che dispongono di una rete IT aziendale e di connettività web, in genere hanno libero accesso a Internet dal proprio pc fisso o portatile della società e, solitamente, la responsabilità di non abusarne per scopi personali o illeciti sta alla responsabilità del singolo lavoratore.
I controlli informatici sul traffico web che il datore di lavoro può implementare non possono eccedere il limite imposto dalle normative e, soprattutto, non possono essere utilizzati per controllare il dipendente o per giustificare un eventuale licenziamento.
Alcune recenti sentenze, inoltre, hanno giudicato iniquo e illecito il mantenimento dei dati della cache dei proxy aziendali a scopo di monitoraggio del dipendente, spesso utilizzato dalle aziende come prova di “perdita di tempo” del lavoratore verso i propri obblighi lavorativi.
La normativa
In ambito IT, i provvedimenti riguardano il monitoraggio “all’insaputa dei lavoratori” della posta elettronica e delle pagine visitate via Internet.
Il datore di lavoro ha l’obbligo di indicare chiaramente e in modo particolareggiato quali usi sono consentiti per questi strumenti, se vengono effettuati controlli e con quali modalità, in che orari vigono divieti e o permessi, in quale misura ne è consentito l’uso, quali informazioni sono memorizzate e per quanto tempo, chi ha accesso a tali dati e in quale misura e per quali ragioni possono aver luogo delle verifiche.
In ogni caso, vige su tutto il divieto di ricostruire l ‘ attività del lavoratore, anche tramite apparecchiatura software: è dunque illecito:
- lettura e registrazione dei messaggi di posta elettronica del lavoratore;
- riproduzione ed eventuale memorizzazione delle pagine web visualizzate dal lavoratore (usando la cache dei proxy);
- lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
- analisi occulta di computer portatili affidati in uso.
Uniche consentite, le misure preventive, che limitano alla fonte un uso improprio dei mezzi informatici. In ambito web si tratta dell’accesso limitato ad alcune categorie di siti (social network, porno, musica altro) e la dimensione dei file scaricabili. Per la posta, il datore di lavoro – nell ‘ ambito di particolari attività lavorative – deve prevedere indirizzi postali che siano accessibili senza ricorrere alla posta elettronica del singolo dipendente, nel caso in cui questo non sia presente in azienda (malattia, ferie).
Vale in generale il principio della liceità del controllo solo se sono rispettati i principi di pertinenza e non eccedenza. Sono quindi giudicati inammissibili i controlli prolungati, costanti o indiscriminati. In particolare, in ambito di conservazione dei dati i sistemi software, devono essere programmati e configurati in modo da cancellare periodicamente e automaticamente (attraverso procedure di sovra-registrazione come, ad esempio, la rotazione dei log file) i dati personali relativi agli accessi a Internet e al traffico telematico, la cui conservazione non sia ritenuta necessaria.
Dal punto di vista non IT, i due riferimenti normativi sono lo statuto dei lavoratori(legge n.300/1970) e Testo Unico sulla Privacy (Decreto Legislativo n.196/2003).
Entrambi vietano l’utilizzo di sistemi audiovisivi di controllo, telecamere e affini, “per il controllo a distanza dell’attività dei lavoratori“.
Eventuali installazioni richieste per esigenze organizzative, produttive o di sicurezza sono possibili solo dopo specifici accordi con rappresentanze sindacali o ispettorato del lavoro (art. 4 dello Statuto) e obbligano comunque all’informativa verso gli interessati nei casi di videosorveglianza, fermo restando il divieto dell’utilizzo per scopi di controllo a distanda dei lavoratori (Codice Privacy), la gestione deontologica delle immagini acquisite e un uso non ingerente di tali mezzi. L’art. 8 dello Statuto vieta anche le indagini sulle opinioni politiche, religiose, sessuali o sindacali per scongiurare discriminazioni.
Le sentenze
Alcune sentenze sono riportate come esempio di annullamenti di licenziamento o di misure di controllo giudicate eccessive.
Corte di Cassazione – Sezione lavoro Sentenza n.15895 del 17/07/07 (ENI): il dipendente è stato licenziato perché si assentava durante l ‘ orario di lavoro. Le prove? Utilizzo del badge del dipendente per accedere al garage aziendale in orario di lavoro. Poiché tale misura di controllo non era stata concordata con le RSU, né con l ‘ ispettorato del lavoro e non era in alcun modo segnalata, è stata ritenuta ingiusta in quanto portava a un “sostanziale annullamento di ogni forma di garanzia della dignità del lavoro”.
Cassazione Civile – Sezione lavoro – Sentenza n.4375 del 23/02/10 (Recordati): Dipendente licenziato due volte, per accesso a Internet non scopi personali. Nel primo caso la prova veniva da un programma di monitoraggio informatico (Super Scout) e nel secondo dai dati del pc del dipendente.
Il licenziamento è stato qundi annullato la prima volta per violazione di privacy e la seconda volta perchè l’azienda non ha potuto provare che il computer “colevole” fosse inaccessibile a terzi e quindi chiunque avrebbe potuto usarlo a fini estranei al lavoro.
Divieto del Garante – Monitoraggio degli accessi internet del dipendente del 02/04/09 (Italian Gasket S.p.A): la dipendente viene licenziata a seguito di monitoraggio prolungato degli accessi a internet con il software Squid. Nonostante l ‘ azienda avesse informato i dipendenti delle restrizioni e dei controlli, l ‘ utilizzo del caching delle pagine web visitate contravviene al divieto di uso di apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori.