La ""navigazione"" Internet del dipendente non può essere schedata

Le garanzie di libertà e segretezza della comunicazioni, e lo statuto dei lavoratori, non consentono un monitoraggio invasivo sui contenuti di ciò che il dipendente visita . Ma gli si può contestare l'uso improprio del computer di lavoro

Cresce di giorno in giorno il numero dei lavoratori che hanno accesso a un personal computer aziendale e in molti casi questo è connesso - o consente la connessione - alla rete Internet. Non ci vuole molta fantasia per ipotizzare che le persone che si trovano in questa condizione possano, senza un dolo specifico, effettuare anche navigazioni estranee alle loro funzioni lavorative. Ma finchè queste visite si fermano alla consultazione di un elenco telefonico on-line o ad una rapida consultazione di giornali telematici, in genere le aziende non hanno molto da ridire diverse, invece, le reazioni, quando il dipendente ruba tempo al lavoro per giocare a scacchi via Internet con qualcuno dall'altra parte dell'Oceano o quando, più prosaicamente, si dedica a tour, virtuali ma visivi, nella giungla degli innumerevoli siti porno. In questi casi, se la cosa non rappresenta una rara eccezione bensì una consuetudine che sottrae risorse e forza-lavoro, anche l'azienda più tollerante reagisce con misure che, a seconda dei casi, variano da una lettera di contestazione disciplinare fino al licenziamento. Ebbene, tutto questo non accadrà più. O meglio le aziende dovranno usare misura e cautela nelle eventuali contestazioni di addebito. Spiare il contenuto delle navigazioni via Internet di un dipendente è infatti illecito. E ne consegue che anche le accuse di un surfing improprio, con l'elencazione puntuale di tutta la cronologia delle visite di siti porno, politici e di altro genere inerenti le convinzioni individuali religione, politica, salute, orientamenti sessuali, eccetera non possono essere formulate in violazione del diritto alla privacy. A chiarirlo con uno specifico provvedimento qui leggibile come documento correlato , emanato a seguito di un ricorso, è stata l'Autorità Garante per la protezione dei dati personali. Con la sua determinazione l'Authority ha vietato ad una società ogni utilizzo dei dati relativi alla navigazione effettuata da un suo dipendente attraverso una postazione di lavoro non rilevando, a parere del Garante, la circostanza che quel dipendente non fosse autorizzato, in ragione dello specifico ruolo svolto nell'organizzazione aziendale, a connettersi alla rete Internet. I risultati di quelle visite tra i quali, appunto, siti a carattere pornografico, politico e religioso erano stati utilizzati dal datore di lavoro in allegato ad una contestazione disciplinare inviata al lavoratore successivamente licenziato nel documento a corredo l'azienda indicava specificamente numerosi files quelli temporanei di Internet ma anche i cookies installati da siti visitati indicando anche le sessioni di collegamento relative. Il possesso e il trattamento di questo genere di dati, ha rilevato il Garante, deve ritenersi illecito in quanto il datore di lavoro è venuto in tal modo a conoscenza di diverse informazioni particolarmente delicate che la società non poteva raccogliere senza aver prima informato il lavoratore. Sebbene infatti i dati personali siano stati raccolti nel corso di controlli informatici volti a verificare l'esistenza di un comportamento illecito, le informazioni di natura sensibile, in grado di rivelare ad esempio convinzioni religiose e opinioni sindacali o politiche, potevano essere trattate dal datore di lavoro senza consenso solo se indispensabili per far valere o difendere un diritto in sede giudiziaria. Indispensabilità che non è emersa dagli elementi acquisti nel procedimento . Nella vicenda sulla quale ora l'Authority si è pronunciata, il lavoratore aveva già prodotto, senza alcun esito, un'istanza all'azienda della quale era dipendente di fronte a tale silenzio il lavoratore si era quindi rivolto al Garante ritenendo illecita l'acquisizione e il trattamento di dati personali raccolti, a sua insaputa, dalla società per la quale lavorava. Il Garante gli ha dato ragione ed il relatore del provvedimento, Mauro Paissan, ha inoltre sottolineato come anche il semplice rilevamento dei siti visitati può rivelare dati delicatissimi della persona . Lo spionaggio quindi, salvo le eccezioni già accennate, è comunque illegittimo. Peraltro, fa notare l'Authority fornendo un suggerimento ai datori di lavoro per casi consimili a quello appena esaminato, la sola circostanza degli avvenuti accessi alla rete Internet e la loro durata ove in precedenza non autorizzata o addirittura vietata da un'azienda è sufficiente a contestare l'indebito utilizzo di beni aziendali con le conseguenze del caso, soprattutto in caso di reiterazione. Anche nel caso di specie tali controlli sarebbero risultati proporzionati al fine da perseguire, cioè la verifica del corretto - o meno - comportamento del dipendente. L'eccessiva curiosità del datore, sia pure con motivazioni di fondo apparentemente più che lecite, può portare dunque a risultati opposti a quelli sperati. È solo il caso di ricordare che l'attuale decisione del Garante attirerà probabilmente numerosi ricorsi, dato che le contestazioni specifiche di navigazioni improprie - non solo rilevate attraverso le tracce rimaste sui singoli personal computer, ma anche attraverso appositi software dedicati a questa funzione - sono piuttosto diffuse soprattutto nelle grandi aziende. E, adesso, sono a loro volta facilmente contestabili. m.c.m.

Autorità garante per la protezione dei dati personali Internet proporzionalità nei controlli effettuati dal datore di lavoro Provvedimento del 2 febbraio 2006 Premesso Il ricorrente ha ricevuto dalla casa di cura resistente, presso cui prestava servizio come addetto all'accettazione e al banco referti, una contestazione disciplinare relativa ad accessi ad Internet non autorizzati effettuati sul luogo di lavoro. Il ricorrente ha chiesto il blocco e la cancellazione dei dati personali che lo riguardano relativi a tali accessi, ai sensi dell'articolo 7 Codice. La resistente li aveva documentati producendo numerose pagine -allegate alla contestazione disciplinarerecanti, in particolare, informazioni relative ai file temporanei e ai cookie originati, sul computer utilizzato dal ricorrente, dalla navigazione in rete avvenuta durante sessioni di lavoro avviate con la password del ricorrente medesimo. Non avendo ricevuto riscontro, il ricorrente ha presentato ricorso al Garante ai sensi degli articolo 145 e s. del Codice, ritenendo illecito il trattamento. Il ricorrente ha sostenuto che tra i dati in questione comparivano anche alcune informazioni di carattere sensibile idonee a rivelare, in particolare, convinzioni religiose, opinioni sindacali, nonché gusti e tendenze sessuali posto che numerosi file fanno riferimento a siti Internet a contenuto pornografico. La resistente avrebbe trattato tali dati senza alcun consenso e senza informare preventivamente circa la possibilità di effettuare controlli sui terminali d'ufficio né l'interessato, né il sindacato interno all'azienda , in aperto spregio all'articolo 4 dello Statuto dei lavoratori che prevede che tale attività può avvenire solo previo consenso del sindacato o dell'ispettorato del lavoro . Il ricorrente ha pertanto ribadito le sue precedenti istanze chiedendo anche di porre a carico del soccombente le spese sostenute per il procedimento. A seguito dell'invito ad aderire formulato da questa Autorità in data 7 novembre 2005 ai sensi dell'articolo 149, comma 1, del Codice, la resistente ha risposto con memoria del 29 novembre 2005 con la quale, considerando il ricorso inammissibile dal momento che il ricorrente, contestando fermamente di avere mai operato le azioni oggetto della contestazione disciplinare , non sarebbe legittimato a proporlo , ha ritenuto lecito il trattamento citando casi analoghi di controllo dei lavoratori ritenuti leciti in giurisprudenza e dichiarando, in particolare, che i fatti su cui si fonda il ricorso traggono origine dal licenziamento per giusta causa intimato al ricorrente a seguito dell'accertamento di alcune gravi violazioni poste in essere dal lavoratore e che, per la parte che interessa questo procedimento, ha riguardato l'illecito accesso ad Internet dai computer aziendali in uso allo stesso , l'appropriazione indebita del materiale cartaceo utilizzato per stampare i risultati della navigazione, nonché il danneggiamento della rete aziendale a causa dei virus informatici introdottisi, fatti per i quali si è provveduto a proporre relativa querela il ricorrente non è stato preventivamente informato di possibili controlli informatici in considerazione del fatto che gli accessi ad Internet, in virtù delle mansioni affidate al lavoratore, non sarebbero dovuti avvenire La Maddalena S.p.A. è comunque dotata di un manuale della qualità accessibile a tutti i dipendenti della clinica che hanno in uso i terminali aziendali , essendo consultabile dal computer cliccando su apposita icona il manuale avverte i lavoratori sia della circostanza che per la salvaguardia dei dati si procederà a backup periodici ed all'installazione e manutenzione di opportuni programmi antivirus , sia del fatto che gli elaboratori sono da considerarsi beni aziendali affidati al lavoratore per lo svolgimento delle sue mansioni ogni utilizzo per fini privati deve essere evitato la società non era obbligata a raccogliere il consenso che non è richiesto articolo 24 del Codice quando il trattamento, come nel caso di specie, nasce dalla legittima esigenza di far valere i propri diritti, anche ai fini della loro tutela in giudizio. E ciò, sia rispetto al rapporto di lavoro con il XY ed alla sua risoluzione, sia rispetto alla tutela di patrimonio ed attività aziendale, nonché alla finalità di quest'ultima, rilevante sotto il profilo sociale, operando la Maddalena S.p.A. nel campo della sanità accreditata e, quindi, inserita nell'ampio sistema previsto dal nostro ordinamento per garantire il diritto, di rilevanza costituzionale, alla salute del cittadino gli articoli 2, 3 e 4 dello Statuto dei lavoratori non farebbero venire meno il potere dell'imprenditore, ai sensi degli articoli 2086 e 2104 c.c., di controllare direttamente o mediante propria organizzazione gerarchica l'adempimento delle prestazioni cui sono tenuti i lavoratori, e così di accertare eventuali mancanze specifiche dei dipendenti medesimi già commesse o in corso di esecuzione per poter applicare il divieto di controllo a distanza dei lavoratori di cui all'articolo 4 della l. n. 300/1970, è necessario che il controllo riguardi direttamente o indirettamente l'attività lavorativa, mentre devono ritenersi certamente fuori dall'ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore cd. controlli difensivi cfr. Cass. n. 4746/2002 , quali quelli messi in atto nel caso di specie l'utilizzo privato dell'elaboratore aziendale costituisce illecito contrattuale a carico del lavoratore pertanto, la società poteva porre lecitamente in essere i necessari controlli difensivi volti a far valere i propri diritti. Nell'audizione del 6 dicembre 2005 il ricorrente ha rilevato che dalla motivazione delle sentenze citate dalla controparte risulta che nei predetti casi il controllo dei lavoratori è stato considerato lecito in quanto il trattamento di dati personali sarebbe stato breve e non eccedente, ovvero effettuato limitatamente ai tempi di connessione e non ai contenuti . Con memoria del 13 gennaio 2006 successiva alla proroga del termine per la decisione sul ricorso disposta da questa Autorità, ai sensi dell'articolo 149, comma 7, del Codice, il 6 dicembre 2005 , la resistente ha ribadito di ritenere lecito il trattamento ed ha comunicato che, su richiesta del ricorrente, è stata fissata la data di convocazione delle parti per il tentativo obbligatorio di conciliazione ai sensi degli articoli 410 e ss. c.p.c. ciò, confermerebbe la volontà del ricorrente di adire l'autorità giudiziaria al fine di far valere l'illegittimità del licenziamento . Nella memoria pervenuta il 25 gennaio 2006, il ricorrente ha ribadito le proprie richieste ed ha rilevato in particolare che l'unica password utilizzata dal ricorrente era la password utente che consente di avviare la sessione di lavoro sul computer, mentre nessuna password era prevista per entrare nella rete Internet, liberamente accessibile mediante l'icona relativa al browser Explorer di Windows nel manuale della qualità della Maddalena non si fa alcun riferimento ai controlli degli accessi ad Internet comunque non sono stati trattati file di backup poiché dalla stringa contenuta nelle pagine sui dati sulle navigazioni riferite al ricorrente c \copia\documents and settings\x-y\impostazioni locali\temporary internet files\ emerge che c'è stata un'operazione manuale di copia della directory temporary internet files contenuta nella cartella x-y analoga operazione sarebbe stata effettuata sulla cronologia delle navigazioni, non riferibile ad un backup automatico tra i dati trattati compaiono anche alcune informazioni idonee a rivelare la vita sessuale il cui trattamento, se effettuato senza il consenso scritto dell'interessato, è consentito articolo 26, comma 4, lett. c del Codice solo per far valere in giudizio un diritto di rango pari a quello dell'interessato i diritti fatti valere dalla resistente risoluzione del rapporto di lavoro, tutela del patrimonio aziendale, asserita finalità sociale perseguita dall'azienda per tutelare la salute del cittadino , non consisterebbero in diritti di pari grado a quelli che il sig. XY si appresta a proteggere il trattamento effettuato dal datore di lavoro sarebbe pertanto eccedente, dal momento che lo stesso è durato ad libitum, ovvero almeno dai primi giorni del mese di gennaio 2005 . Con memoria pervenuta il 27 gennaio 2006, la società resistente ha ribadito la liceità del trattamento effettuato. Ciò premesso, il garante osserva Il ricorso verte sulla liceità e correttezza del trattamento di dati relativi alle navigazioni in Internet contestate ad un dipendente dal datore di lavoro. Il ricorso è fondato. Va in primo luogo rigettata l'eccezione di inammissibilità del ricorso. La resistente ha contestato l'indebito utilizzo di strumenti aziendali per fini privati, imputando al ricorrente le navigazioni effettuate sul web durante sessioni di lavoro avviate con l'uso della sua password. Considerato il collegamento diretto ed univoco che la società ha rappresentato ai fini della contestazione disciplinare, del licenziamento per giusta causa e della querela sporta tra la persona del ricorrente e i dati desunti sia dai file temporanei, sia dai cookie prodotti in giudizio, il ricorrente stesso assume la qualità di interessato articolo 4, comma 1, lett. a , del Codice, secondo cui è tale la persona fisica cui si riferiscono i dati personali ed è, pertanto, legittimato ad esercitare i diritti di cui all'articolo 7 del Codice e a presentare ricorso al Garante. Per ciò che concerne il merito va rilevato che la società, per dimostrare un comportamento illecito nel quadro del rapporto di lavoro, ha esperito dettagliati accertamenti in assenza di una previa informativa all'interessato relativa al trattamento dei dati personali, nonché in difformità dall'articolo 11 del Codice nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite. Dalla documentazione in atti si evince che la raccolta da parte del datore di lavoro dei dati relativi alle navigazioni in Internet è avvenuta mediante accesso al terminale in uso all'interessato con copia della cartella relativa a tutte le operazioni poste in essere su tale computer durante le sessioni di lavoro avviate con la sua password, come si desume dalla stringa riportata in apice all'elenco dei file prodotti dalla resistente c \copia\Documents and settings\x-y\ , anziché mediante accesso a file di backup della cui esistenza il personale della società è informato mediante il manuale della qualità accessibile agli stessi sul proprio terminale. A parte la circostanza che l'interessato non era stato, quindi, informato previamente dell'eventualità di tali controlli e del tipo di trattamento che sarebbe stato effettuato, va rilevato sotto altro profilo che non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni. La resistente avrebbe potuto quindi dimostrare l'illiceità del suo comportamento in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo l'esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici contenuti degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando -in modo peraltro non trasparenteun trattamento di dati eccedente rispetto alle finalità perseguite. La raccolta di tali informazioni ha comportato, altresì, il trattamento di alcuni dati sensibili idonei a rivelare convinzioni religiose, opinioni sindacali, nonché gusti attinenti alla vita sessuale ciò, stante l'elevato numero di informazioni valutate in rapporto ad un lungo arco di tempo, gli specifici contenuti risultanti da alcuni indirizzi web e il contesto unitario in cui il complesso di tali dati è stato valutato , rispetto ai quali la disciplina in materia di dati personali pone peculiari garanzie che non sono state integralmente rispettate nel caso di specie articolo 26 del Codice aut. gen. del Garante n. 1/2004 . Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti nell'ambito di controlli informatici volti a verificare l'esistenza di un comportamento illecito che hanno condotto a sporgere una querela, ad una contestazione disciplinare e al licenziamento , le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia indispensabile articolo 26, comma 4, lett. c , del Codice autorizzazione n. 1/2004 del Garante . Tale indispensabilità, anche alla luce di quanto precedentemente osservato, non ricorre nel caso di specie. Inoltre, riguardando anche dati idonei a rivelare lo stato di salute e la vita sessuale , il trattamento era lecito solo per far valere o difendere in giudizio un diritto di rango pari a quello dell'interessato ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. Anche tale circostanza non ricorre nel caso di specie, nel quale sono stati fatti valere solo diritti legati allo svolgimento del rapporto di lavoro cfr. articolo 26, comma 4, lett. c , del Codice punto 3, lett. d , della citata autorizzazione cfr. Provv. Garante 9 luglio 2003 . Alla luce delle considerazioni sopra esposte e considerato l'articolo 11, comma 2, del Codice secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, l'Autorità dispone quindi, ai sensi dell'articolo 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente i dati personali raccolti nei modi contestati con il ricorso. La presente decisione lascia impregiudicati i diritti delle parti in ordine alla liceità o meno dei comportamenti addebitati al ricorrente. Sulla base della determinazione generale del 19 ottobre 2005 relativa alla misura forfettaria dell'ammontare delle spese e dei diritti da liquidare per i ricorsi, l'ammontare delle spese e dei diritti inerenti all'odierno ricorso e posto a carico della resistente è determinato nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso. PQM Il garante a dichiara fondato il ricorso e, per l'effetto, vieta alla società resistente il trattamento dei dati personali dell'interessato oggetto del ricorso b determina nella misura forfettaria di euro 500 l'ammontare delle spese e dei diritti del procedimento posti a carico di La Maddalena S.p.A., che dovrà liquidarli direttamente a favore del ricorrente.