“Linee guida Garante Privacy su
utilizzo Internet e posta elettronica e
Direttiva Brunetta 02/09”
Fabio Brucato
Area Affari Generali e Legali
Ufficio per la Privacy
1
La problematica …
Internet e posta elettronica sono ormai divenuti
essenziali ed imprescindibili strumenti di lavoro
anche nelle amministrazioni pubbliche.
L’impiego massiccio di tali strumenti è peraltro
promosso e, in talune ipotesi, imposto, anche da
numerose normative, generali e di settore.
L’utilizzo di tali strumenti potrebbe prestarsi ad
abusi e utilizzi impropri.
2
I rischi per il datore di lavoro
Utilizzo di internet o della posta elettronica per
fini personali ed extralavorativi…
Utilizzo di internet o della posta elettronica per
fini illeciti (accesso a siti aventi contenuti e/o
finalità vietati dalla legge, download di files
protetti dal diritto d’autore, diffusione di
messaggi diffamatori, ecc.)…
Rischi per il sistema informatico (malwares,
saturazione della rete, perdita di dati, accessi alla
rete non autorizzati)...
3
I rischi per il datore di lavoro
 Diffusione dei malwares in crescita costante: si
calcola che, nel solo anno 2008, su internet siano
circolati circa 15 milioni di malwares, di cui quelli
circolati tra i mesi di gennaio e agosto sono pari
alla somma dei 17 anni precedenti, e tali numeri
sono destinati verosimilmente ad aumentare (dati
riferiti a “Sicurezza, in una classifica i bug più
pericolosi”, sito “Punto-informatico.it).
4
Gli obblighi reciproci
I dipendenti hanno l’obbligo di:
Non causare danni o pericoli ai beni e agli
strumenti ad essi affidati
Non utilizzare a fini privati materiali o
attrezzature di cui dispongono per ragioni
d’ufficio
I datori di lavoro devono:
Informare specificamente i lavoratori circa attività
permesse e vietate
Rispettare
il
principio
di
proporzionalità,
pertinenza e non eccedenza nelle eventuali
attività di controllo.
5
… cosa dice il Codice Civile:
In applicazione di quanto disposto dagli artt. 2104 e 2105
c.c., l’utilizzo di tali indispensabili risorse deve avvenire
nell’ambito dei doveri di diligenza, fedeltà e correttezza che
devono caratterizzare l’operato del lavoratore all’interno del
rapporto di lavoro, in modo che siano adottate tutte le
cautele e le precauzioni necessarie per evitare le possibili
conseguenze dannose che un utilizzo non avveduto degli
strumenti in questione può provocare.
Il datore di lavoro, a norma degli artt. 2086 c.c. può
riservarsi di controllare l’effettivo adempimento della
prestazione lavorativa e il corretto utilizzo degli strumenti di
lavoro, rispettando, nell’esercizio di tali prerogative, la
libertà e la dignità del lavoratore (art.4 L. 300/1970).
6
… e il codice di comportamento dei
dipendenti della P.A.
L’art. 10 del Codice di comportamento dei
dipendenti delle PP.AA., allegato al C.C.N.L. del
22/01/2004, stabilisce che “Il dipendente non
utilizza a fini privati materiale o attrezzature di cui
dispone per ragioni di ufficio”. Tale disposizione, in
quanto richiamata dal Codice Disciplinare del
C.C.N.L. del comparto (che all’art. 44, comma 1,
lett. i) e l) prevede a carico del lavoratore di avere
cura dei locali, mobili, oggetti, macchinari, attrezzi,
strumenti ed automezzi a lui affidati e di non valersi
di quanto è di proprietà …
7
… dell’Amministrazione per ragioni che non siano di
servizio), costituisce non solo norma di valenza
etico-comportamentale, ma altresì un vero e
proprio obbligo, la cui inosservanza è passibile di
sanzione penale e/o disciplinare.
8
MA VI SONO DELLE VERE E PROPRIE NORME CHE REGOLANO
L’USO DELLA POSTA ELETTRONICA E LA NAVIGAZIONE SU
INTERNET DA PARTE DEI DIPENDENTI PUBBLICI?
normativa relativa all’uso privato delle linee
telefoniche d’ufficio, contenuta nel decreto del
Ministro della Funzione Pubblica del 31/3/1994,
con la quale fu adottato il Codice di
comportamento dei dipendenti della P.A. ai sensi
dell’art. 58 bis del D. Lgs. N. 29/1993 (art. 10
che, alla prima parte del comma 5, prevedeva
che “salvo casi eccezionali dei quali informa il
dirigente dell’ufficio, il dipendente non utilizza le
linee telefoniche dell’ufficio per effettuare
chiamate personali”).
La necessità di ampliare questa limitata facoltà di
deroga collegata al requisito dell’eccezionalità ha
indotto successivamente il Ministro della Funzione
Pubblica a rivedere l’impostazione iniziale dell’art.
10.
Infatti, il successivo Codice di comportamento dei
dipendenti pubblici di cui al D.M. del 28/11/2000
ha previsto al comma 3 dell’art. 10 che il
dipendente “salvo casi d’urgenza, non utilizza le
linee telefoniche d’ufficio per esigenze personali”.
Tale
disposizione
di
carattere
puramente
amministrativo, a parte il riferimento alle sole
apparecchiature telefoniche, non sembrava
comunque tale da escludere, totalmente, la
responsabilità civile e penale nel caso di uso
illecito delle linee telefoniche da parte del
dipendente pubblico.

Dottrina e giurisprudenza: La migliore dottrina
ritiene che, almeno sino a quando il dipendente
non acceda alla sua casella ed apra il messaggio
di posta elettronica, il messaggio stesso debba
considerarsi come “corrispondenza chiusa” e,
come tale, tutelata ai sensi dell’art. 616 c.p.
Questa tesi è stata sostenuta in giurisprudenza,
implicitamente, da una decisione del T.A.R. Lazio,
Sez. I, n. 9425 del 15/11/2001, in relazione ad una
mailing list in ambiente pubblico secondo cui “la
corrispondenza trasmessa per via informatica e
telematica, c.d. posta elettronica, deve essere
tutelata alla stregua della corrispondenza epistolare
o telefonica ed è, quindi, caratterizzata dalla
segretezza”.
Tale tesi è peraltro sostenuta dal Garante della
Privacy (vedi parere del 12/7/1999) secondo cui,
appunto, la posta elettronica sarebbe protetta ai
sensi dell’art. 616, comma 4, c.p.
Lo stesso Garante, peraltro, in altro parere del 1
marzo 2001 ha, incidentalmente, ritenuto legittimo
l’accesso del titolare del trattamento alla casella del
dipendente in casi di necessità o di urgenza (ad es.
nel caso di assenza o impedimento dell’incaricato).

Per quanto riguarda la giurisdizione contabile,
è da citare una sentenza della Corte dei Conti,
(sezione Giurisdizionale per la Regione Piemonte
del 13/11/2003) che si è occupata del problema
sotto il profilo del danno erariale.
Con tale decisione è stata affermata, sia pure
incidentalmente,
la
legittimità,
da
parte
dell’amministrazione pubblica, della registrazione
degli accessi dei dipendenti ai siti Internet ed il
successivo controllo, finalizzato non solo alla
repressione dei comportamenti illeciti, ma anche
ad esigenze statistiche e di controllo della spesa
(nella specie, si trattava di un dipendente di un
ente pubblico che, nell’orario di lavoro, si era
ripetutamente collegato a siti non istituzionali ed
era stato, per questo, rinviato a giudizio dinanzi
al Tribunale di Verbania per i delitti di cui agli
artt. 314, 323 e 640, 2° comma, c.p.,
patteggiando poi la pena).

Passando, infine, al campo più strettamente
penalistico, La Suprema Corte, in realtà, è
divisa sul punto, pur ritenendo applicabile in
materia l’art. 314 del c.p. relativo al peculato.
Più in particolare, mentre alcune decisioni hanno
ritenuto che il fatto debba essere inquadrato
nell’ipotesi prevista dal primo comma del citato
articolo, punita con la grave pena della reclusione
da tre a dieci anni (vedi, da ultimo, Cass. Sez. VI,
24/06/2001, n. 30756)…
… altre hanno invece affermato che si trattava di
“peculato d’uso”, fatto punito con la più lieve
pena della reclusione da sei mesi a tre anni (vedi,
da ultimo, Cass. Sez. VI 14/02/2000, n. 788).
In tale contesto…


Con deliberazione n. 13 del 1° marzo 2007, l’Autorità
Garante per la Protezione dei dati personali ha inteso
prescrivere ai datori di lavoro alcune misure per conformare
il trattamento di dati personali, effettuato per verificare il
corretto utilizzo, all’interno del rapporto di lavoro, della
posta elettronica e della rete internet alle disposizioni
vigenti. Tra queste, l’adozione di un disciplinare interno da
parte del datore di lavoro.
La stesura di una specifica regolamentazione in materia di
utilizzo di internet e della casella di posta elettronica
istituzionale sul luogo di lavoro da parte dei dipendenti
pubblici è stata di recente auspicata anche dalla Presidenza
del Consiglio dei Ministri, Dipartimento della Funzione
Pubblica, con la Direttiva n. 2/2009 del Ministro, on. Renato
Brunetta.
17
Panorama normativo
COSTITUZIONE ITALIANA
 ART. 2 “La Repubblica riconosce e garantisce i diritti
inviolabili dell’uomo, sia come singolo sia nelle
formazioni sociali ove si svolge la sua personalità…”
18
Panorama normativo
COSTITUZIONE ITALIANA
ART. 15: “La libertà e la segretezza della
corrispondenza e di ogni altra forma di comunicazione
sono inviolabili.
La loro limitazione può avvenire soltanto per atto
motivato dell’Autorità giudiziaria con le garanzie
stabilite dalla legge”.
19
Panorama normativo
CARTA DEI DIRITTI FONDAMENTALI DELL’U.E.
 ART. 7 “Rispetto della vita privata e della vita familiare”:
ogni individuo ha diritto al rispetto della propria vita privata
e familiare, del proprio domicilio e delle sue comunicazioni.
 ART. 8 “Protezione dei dati di carattere personale”: Ogni
individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano.Tali dati devono essere trattati
secondo il principio di lealtà, per finalità determinate e in
base al consenso della persona interessata o a un altro
fondamento legittimo previsto dalla legge. Ogni individuo
ha il diritto di accedere ai dati raccolti che lo riguardano e di
ottenerne la rettifica. Il rispetto di tali regole è soggetto al
controllo di un’autorità indipendente.
20
CONVENZIONE EUROPEA PER LA SALVAGUARDIA DEI
DIRITTI DELL’UOMO E DELLE LIBERTA’ FONDAMENTALI
ART. 8 “Diritto al rispetto della vita privata e familiare”:
• Ogni persona ha diritto al rispetto della sua vita
privata e familiare, del suo domicilio e della sua
corrispondenza.
• Non può esservi ingerenza della pubblica autorità
nell’esercizio di tale diritto se non in quanto tale
ingerenza sia prevista dalla legge e in quanto
costituisca una misura che, in una società
democratica, è necessaria per la sicurezza nazionale,
l’ordine pubblico, il benessere economico del paese,
la prevenzione dei reati, la protezione della salute o
della morale, o la protezione dei diritti e delle libertà
altrui.
21
Gruppo di lavoro europeo sulla protezione dei dati
– ART. 29
Il Gruppo di lavoro europeo in tema di protezione degli
individui per quanto riguarda il trattamento di dati personali
viene costituito in seno alla Commissione U.E. in
applicazione della Direttiva 95/46/CE del Parlamento
europeo e del Consiglio del 24 ottobre 1995. Ha prodotto il
“Documento di lavoro riguardante la vigilanza sulle
comunicazioni elettroniche sul posto di lavoro” – adottato il
29 maggio 2002.
22
Panorama normativo
CODICE CIVILE
 ART.
2086 (Direzione e gerarchia dell’impresa):
“L’imprenditore è il capo dell’impresa e da lui
dipendono gerarchicamente i suoi collaboratori”.
 ART.
2087 (Tutela delle condizioni di lavoro):
“L’imprenditore è tenuto ad adottare nell’esercizio
dell’impresa
le
misure
che,
secondo
la
particolarità del lavoro, l’esperienza e la tecnica,
sono necessarie a tutelare l’integrità fisica e la
personalità morale dei prestatori di lavoro”.
23
ART. 2104 (Diligenza del prestatore di lavoro): “Il
prestatore di lavoro deve usare la diligenza richiesta
dalla natura della prestazione dovuta, dall’interesse
dell’impresa e da quello superiore della produzione
nazionale. Deve inoltre osservare le disposizioni per
l’esecuzione e per la disciplina del lavoro impartite
dall’imprenditore e dai collaboratori di questo dai
quali gerarchicamente dipende”.
24
 ART.
2105 (Obbligo di fedeltà): Il prestatore di
lavoro non deve trattare affari, per conto proprio
o di terzi, in concorrenza con l’imprenditore, né
divulgare notizie attinenti all’organizzazione e ai
metodi di produzione dell’impresa, o farne uso in
modo da poter recare ad essa pregiudizio”.
 ART.
2106 (Sanzioni disciplinari): “L’inosservanza
delle disposizioni contenute nei due articoli
precedenti può dar luogo alla applicazione di
sanzioni
disciplinari,
secondo
la
gravità
dell’infrazione”.
25
L. 20 MAGGIO 1970 N. 300 (STATUTO DEI
LAVORATORI)
 ART.
4 (Impianti audiovisivi): “ E’ vietato l’uso di
impianti audiovisivi e di altre apparecchiature per
finalità di controllo a distanza dell’attività dei
lavoratori.
Gli impianti e le apparecchiature di controllo che
siano richiesti da esigenze organizzative e
produttive ovvero dalla sicurezza del lavoro, ma
dai quali derivi anche la possibilità di controllo a
distanza dell’attività dei lavoratori, possono
essere installati soltanto previo accordo con le
rappresentanze sindacali aziendali, oppure, in
mancanza di queste, con la commissione interna.
26
In difetto di accordo, su istanza del datore di
lavoro, provvede l’Ispettorato del Lavoro,
dettando, ove occorra, le modalità per l’uso di tali
impianti.
27
ART. 8 (Divieto di indagini sulle opinioni): “E’ fatto
divieto al datore di lavoro, ai fini dell’assunzione,
come nel corso dello svolgimento del rapporto di
lavoro, di effettuare indagini, anche a mezzo di
terzi, sulle opinioni politiche, religiose o sindacali
del lavoratore, nonché su fatti non rilevanti ai fini
della valutazione dell’attitudine professionale del
lavoratore”.
28
D. LGS. 30 GIUGNO 2003 N. 196 –
CODICE IN MATERIA DI PROTEZIONE DI DATI
PERSONALI
 ART. 113 (Raccolta di dati e pertinenza): “Resta
fermo quanto disposto dall’art. 8 della legge 20
maggio 1970, n. 300”.
 ART. 114 (Controllo a distanza): “Resta fermo
quanto disposto dall’art. 4 della legge 20 maggio
1970, n. 300”.
29
 ART.
115, (Telelavoro e lavoro a domicilio) –
comma 1: “nell’ambito del rapporto di lavoro
domestico e del telelavoro, il datore di lavoro è
tenuto a garantire al lavoratore il rispetto della
sua personalità e della sua libertà morale”
30
ADEGUAMENTO DELL’ORDINAMENTO INTERNO IN SEGUITO
ALLA RATIFICA ED ESECUZIONE DELLA CONVENZIONE DEL
CONSIGLIO D’EUROPA SULLA CRIMINALITA’ INFORMATICA
(BUDAPEST – 23 NOVEMBRE 2001).
La Convenzione del Consiglio d’Europa sui reati
informatici, firmata a Budapest il 23 novembre
2001, rappresenta il primo accordo internazionale
riguardante i crimini commessi attraverso
internet o altre reti informatiche.
31
La Convenzione estende la portata del reato
informatico, includendo tutti i reati in qualunque
modo
commessi
mediante
un
sistema
informatico.
Essa
ha
come
obiettivo
la
realizzazione di una politica comune tra gli Stati
membri che consenta di combattere, in maniera
coordinata, il crimine informatico.
In particolare, la Convenzione prevede un certo
numero di misure normative di diritto penale che
le parti devono adottare a livello nazionale.
Si tratta, in particolare, di misure miranti a
contrastare:
32
 l’accesso illegale, intenzionale e senza diritto, a
tutto o a parte di un sistema informatico;
 le intercettazioni di dati informatici, intenzionali e
illecite, effettuate attraverso mezzi tecnici,
durante trasmissioni non pubbliche;
 l’attentato all’integrità dei dati (danneggiamento,
cancellazione, deterioramento, alterazione e
soppressione
dei
dati
informatici)
fatto
intenzionalmente e senza autorizzazione;
 l’attentato all’integrità dei sistemi, concretantesi
in un impedimento grave al funzionamento di un
sistema informatico, effettuato intenzionalmente
e senza diritto, mediante il danneggiamento, la
33
cancellazione, il deterioramento, l’alterazione e la
soppressione di dati informatici;
 l’abuso, intenzionale e senza autorizzazione, di
dispositivi (e cioè la produzione, la vendita,
l’ottenimento per l’uso,
l’importazione,
la
diffusione e altra forma di messa a disposizione),
compresi i programmi informatici, specialmente
concepiti per permettere la commissione dei reati
sopracitati, nonché di parola chiave (password) o
di codici di accesso o di sistemi analoghi che
consentano di accedere a tutto o a parte di un
sistema informatico.
34
La piena e intera esecuzione della Convenzione
ha comportato la modifica di alcuni articoli del
codice penale.
Tra gli altri:
 L’art.615-quinquies(Diffusione di apparecchiature,
dispositivi o programmi informatici diretti a
danneggiare illecitamente un sistema informatico
o telematico), nella sua nuova formulazione,
risulta essere il seguente: “Chiunque, allo scopo
di
danneggiare
illecitamente
un
sistema
informatico o telematico, le informazioni, i dati o i
programmi in esso contenuti o ad esso pertinenti
ovvero di favorire
35
l’interruzione, totale o parziale, o l’alterazione del
suo
funzionamento,
si
procura,
produce,
riproduce, importa, diffonde, comunica, consegna
o, comunque, mette a disposizione di altri
apparecchiature,
dispositivi
o
programmi
informatici, è punito con la reclusione fino a due
anni e con la multa sino a euro 10.329”
 Il nuovo art. 635-bis del codice penale
(Danneggiamento
di
informazioni,
dati
e
programmi informatici) riporta: “Salvo che il fatto
36
costituisca più grave reato, chiunque distrugge,
deteriora,
cancella,
altera
o
sopprime
informazioni, dati o programmi informatici altrui è
punito, a querela di parte, con la reclusione da
sei mesi a tre anni. Se il fatto è commesso con
abuso della qualità di operatore del sistema, la
pena è della reclusione da uno a quattro anni e si
procede d’ufficio”.
Dopo l’art. 635-bis del codice penale sono inseriti
i seguenti:
 Art. 635-ter (Danneggiamento di informazioni,
dati e programmi informatici utilizzati dallo Stato
o da altro ente pubblico o comunque di pubblica
37
utilità): “Salvo che il fatto costituisca più grave
reato, chiunque commette un fatto diretto a
distruggere, deteriorare, cancellare, alterare o
sopprimere informazioni, dati o programmi
informatici utilizzati dallo Stato o da altro ente
pubblico o ad essi pertinenti, o comunque di
pubblica utilità, è punito con la reclusione da uno
a quattro anni. Se dal fatto deriva la distruzione,
il deterioramento, la cancellazione, l’alterazione o
la soppressione delle informazioni, dei dati o dei
programmi informatici, la pena è della reclusione
da tre a otto anni. Se il fatto è commesso con
abuso della qualità di operatore del sistema, la
pena è aumentata”.
38
 Art. 635-quater (Danneggiamento di sistemi
informatici e telematici): “Salvo che il fatto
costituisca più grave reato, chiunque, mediante le
condotte di cui all’art. 635-bis, ovvero attraverso
l’introduzione
o
la
trasmissione di
dati,
informazioni o programmi, distrugge, danneggia,
rende, in tutto o in parte, inservibili sistemi
informatici o telematici altrui o ne ostacola
gravemente il funzionamento è punito con la
reclusione da uno a cinque anni. Se il fatto è
commesso con abuso della qualità di operatore
del sistema, la pena è aumentata”.
39
Art. 635-quinquies (Danneggiamento di sistemi
informatici o telematici di pubblica utilità): “Se il
fatto di cui all’art. 635-quater è diretto a
distruggere, danneggiare, rendere, in tutto o in
parte, inservibili sistemi informatici o telematici di
pubblica utilità o ad ostacolarne gravemente il
funzionamento, la pena è della reclusione da uno a
quattro anni. Se dal fatto deriva la distruzione o il
danneggiamento
del
sistema
informatico
o
telematico di pubblica utilità ovvero se questo è
reso, in tutto o in parte inservibile, la pena è della
reclusione da tre a otto anni. Se il fatto è
commesso con abuso della qualità di operatore del
sistema, la pena è aumentata”.

40
Sentenza Sezioni Unite Corte di Cassazione del 27
ottobre 2011
I giudici di legittimità hanno stabilito che è configurabile il
reato di intrusione abusiva in un sistema informatico o
telematico anche quando il soggetto, abilitato per motivi di
servizio o di ufficio ad accedere ad una banca dati e in
possesso delle credenziali di autenticazione (es. userid e
password) del sistema informatico o telematico, decida di
entrare nel sistema non per motivi di ufficio bensì per
motivi diversi, non autorizzati, del tutto personali o per altre
finalità (cessione a terzi dei dati o delle informazioni,
curiosità personale, vendita di dati, corruzione di pubblici
ufficiali, rivelazione di segreti di ufficio o aziendali).
La Corte ha così risolto un contrasto giurisprudenziale che
ormai durava da diverso tempo e che aveva visto
contrapporsi alcune sezioni della stessa corte e a volte i
diversi collegi all’interno delle stesse sezioni.
Da una parte vi è l’orientamento, a cui hanno aderito le
Sezioni Unite, secondo il quale la seconda parte dell’articolo
615 ter c.p. relativo a colui che si mantiene all’interno del
sistema informatico “contro la volontà di chi ha diritto ad
escluderlo” si applica anche a coloro che per ragioni di ufficio
(es. incaricati, ma anche pubblici ufficiali, cancellieri del
tribunale, forze dell’ordine) hanno la possibilità di accedere
con le loro credenziali di autenticazione e attraverso sistemi
informatici e telematici alle banche dati in dotazione ma che
decidono di farlo, con gli stessi mezzi, per scopi e finalità del
tutto estranee al servizio e senza una giustificazione dettata
da esigenze lavorative.
Dall’altro lato vi è l’orientamento contrario, che non
sembra aver convinto le Sezioni Unite della Corte,
secondo il quale il soggetto che è in possesso delle
credenziali di autenticazione per accedere ad una
banca dati per motivi di servizio non può introdursi
abusivamente nel sistema stesso perché il suo accesso
sarà sempre legittimo e mai abusivo in quanto
previsto e consentito come semplice accesso. È
l’accesso illecito la condotta tassativamente punita
dalla norma penale non l’uso che si fa del dato
eventualmente acquisito o conosciuto.
Secondo questo orientamento, ai fini di una valutazione
di illiceità, semmai devono essere considerate le condotte
successive all’accesso (cessione di dati, rivelazione di
segreti di ufficio, corruzione, trattamento illecito dei dati,
etc) ma che sono previste e punite da altre disposizioni di
legge e che non sono contemplate nella fattispecie di cui
all’art. 615 ter c.p. In quest’ultima norma sarebbe stata
prevista tassativamente la sola condotta di intrusione
abusiva di terzi esterni ed estranei al sistema oppure la
permanenza nel sistema di soggetti, non in possesso dei
privilegi (password), temporaneamente autorizzati a
svolgere
una
sola
operazione
che
invece
si
“mantengono..” oltre (..”contro la volontà di chi ha diritto
ad escluderli” , ad esempio il mantenimento nel sistema
dei tecnici per la manutenzione, di soggetti con password
temporanee o limitate nelle funzioni, dei tecnici per la
mera istallazione e verifica dei software, etc).
PROVVEDIMENTO DEL GARANTE PRIVACY N.
13 DEL 1° MARZO 2007 – LINEE GUIDA PER
POSTA ELETTRONICA E INTERNET
45
Il 1° marzo 2007 il Garante per la Privacy ha
emanato le prime Linee Guida sull’utilizzo di internet
e dell’e-mail sui luoghi di lavoro.
Scopo: fornire ai datori di lavoro (sia pubblici che
privati) indicazioni sul trattamento di dati personali
effettuato per verificare il corretto utilizzo, nel
rapporto di lavoro, della posta elettronica e della rete
internet da parte dei lavoratori.
Dopo l’adozione delle diverse Linee Guida del
dicembre 2006 sul trattamento dei dati personali dei
lavoratori da parte di datori di lavoro del settore
privato, l’Autorità Garante ha dunque completato il
quadro delle più …
46
importanti regole privacy operative che riguardano i
trattamenti di dati personali dei lavoratori da parte
dei datori di lavoro e le implicazioni più delicate
relativamente alla riservatezza sui luoghi di lavoro. A
differenza delle precedenti Linee Guida del
7.12.2006, quelle su e-mail e internet riguardano
datori di lavoro e lavoratori sia pubblici che privati.
Obiettivi del Garante: trovare i punti d’intersezione
tra il legittimo bisogno datoriale a condurre azioni di
verifica, monitoraggio e controllo dell’attività
lavorativa dei propri dipendenti, al fine di evitare
illeciti…
47
… e il diritto alla riservatezza di ogni singolo
lavoratore, fornendo alcuni suggerimenti sulle
corrette modalità di comportamento di entrambi
(principio del c.d. “bilanciamento degli interessi).
48
Quando, infatti, i lavoratori si recano sul posto di
lavoro, essi non abbandonano fuori dall’ufficio i
loro diritti alla riservatezza e alla protezione dei
dati, ma possono legittimamente attendersi di
usufruire di un certo grado di riservatezza, dato
che una parte significativa delle loro relazioni con
altri esseri umani si sviluppa nell’ambiente di
lavoro.
Questo diritto è, tuttavia, controbilanciato da altri
diritti che fanno capo al datore di lavoro.
Quest’ultimo ha, in particolare, il diritto di gestire
la sua azienda con una certa efficienza…
49
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
… ma soprattutto il diritto di tutelarsi contro le
responsabilità o i danni cui possono dare origine
gli atti dei lavoratori.
Il datore di lavoro, infatti, ha il diritto di
controllare il funzionamento della sua impresa e a
difendersi contro atti dei dipendenti che rischino
di porre a repentaglio suoi interessi legittimi (ad
esempio quando la responsabilità del datore di
lavoro sia chiamata in questione per le azioni dei
dipendenti).
50
La vigilanza sui lavoratori ha costituito, da
sempre, materia di estrema delicatezza. Se è
vero che le nuove tecnologie costituiscono
un’evoluzione positiva per quanto riguarda le
risorse a disposizione dei datori di lavoro, gli
strumenti di vigilanza elettronica si prestano ad
essere utilizzati in modi che ledono i diritti e le
libertà fondamentali dei dipendenti.
Va dato parimenti risalto al fatto che l’evoluzione
delle condizioni di lavoro rende oggi più difficile
stabilire una netta separazione tra le ore di lavoro
51
…
e la vita privata. In particolare, con lo sviluppo
dell’home office, molti dipendenti continuano a
lavorare
a
casa
utilizzando
infrastrutture
informatiche messe o no a loro disposizione dal
datore di lavoro a tale scopo.
52
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
 Le
Linee Guida potranno essere aggiornate alla
luce dell’esperienza e dell’innovazione tecnologica
e, dunque, vanno valutate come soggette ad
aggiornamenti futuri.
Obbligatorietà del rispetto dei criteri indicati nelle
Linee Guida: pur trattandosi di provvedimenti
generali a carattere amministrativo, i destinatari
(cioè i datori di lavoro) sono vincolati ad adottare
le misure esplicitate nelle Linee Guida in quanto:
53
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
1. L’adozione di tali misure è pre-condizione di
liceità dei trattamenti di dati personali (art. 11
del Codice);
2. La violazione dei criteri delle Linee Guida o
l’omessa adozione delle misure ivi specificate
può comportare responsabilità anche di natura
penale ai sensi dell’art. 170 del Codice, che
punisce l’inosservanza dei provvedimenti del
Garante con la reclusione da tre mesi a due anni.
54
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
Il Provvedimento del Garante parte da alcune
importanti premesse:
Compete ai datori di lavoro assicurare la
funzionalità e il corretto impiego, da parte dei
lavoratori,
degli
strumenti
loro
affidati,
definendone le modalità d’uso nell’organizzazione
dell’attività lavorativa;
Spetta al datore di lavoro adottare idonee misure
di sicurezza per assicurare la disponibilità e
l’integrità di sistemi informativi e di dati, anche
per prevenire utilizzi indebiti che possono essere
fonte di responsabilità (artt. 15, 31 e ss., 167 e
169 del Codice della Privacy);
55
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
Occorre tutelare i lavoratori interessati: l’utilizzo
di internet da parte dei lavoratori potrebbe,
infatti, formare oggetto di analisi, profilazione e/o
integrale
ricostruzione
dei
dati
mediante
strumenti di registrazione delle informazioni (ad
esempio, proxy server o elaborazione di log files
della navigazione web).
56
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
Anche la posta elettronica potrebbe essere
suscettibile di controlli (tenuta di log files di
traffico e archiviazione dei messaggi), che
possono giungere fino alla conoscenza da parte
del datore di lavoro (titolare del trattamento) del
contenuto della corrispondenza.
Alla fine, le informazioni così trattate potrebbero
contenere
dati
personali
anche
sensibili,
riguardanti lavoratori o terzi, identificati o
identificabili.
57
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
Nell’impartire le prescrizioni su internet e posta
elettronica, il Garante si è basato, in primo luogo,
sui principi generali del Codice della Privacy e su
alcune disposizioni di settore, fatte salve dal
Codice, che prevedono specifici divieti o limiti,
come quelli posti dagli artt. 4 e 8 della L. n.
300/1970 (Statuto del Lavoratori):
58
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
 Principio di necessità (art. 3 D.Lgs. 196/03)
secondo cui i sistemi informativi e i programmi
informatici devono essere configurati riducendo al
minimo l’utilizzazione di dati personali e di dati
identificativi in relazione alle finalità perseguite.
 Principio di correttezza (art. 11 D.Lgs. 196/03)
secondo cui le caratteristiche essenziali dei
trattamenti devono essere rese note ai lavoratori.
Ciò in quanto le tecnologie dell’informazione
permettono di svolgere trattamenti ulteriori
59
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
rispetto
a
quelli
connessi
ordinariamente
all’attività lavorativa (ciò, all’insaputa o senza la
piena consapevolezza dei lavoratori).
Pertanto, l’eventuale trattamento deve essere
ispirato ad un canone di trasparenza, come
prevede anche la disciplina di settore (art. 4,
secondo comma, Statuto dei Lavoratori)
60
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
 Principio di pertinenza e non eccedenza (art. 11
D.Lgs. 196/03): i trattamenti devono essere
effettuati per finalità determinate, esplicite e
legittime. Il datore di lavoro deve trattare i dati
nella misura “meno invasiva possibile”; le attività
di monitoraggio devono essere svolte solo da
soggetti preposti ed essere “mirate” sull’area del
rischio, tenendo conto della normativa sulla
protezione dei dati e del principio di segretezza
della corrispondenza.
Grava quindi sul datore di lavoro l’onere di
indicare
chiaramente,
e
in
modo
particolareggiato, quali siano le modalità di … 61
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet

… utilizzo degli strumenti messi a disposizione
ritenute corrette e se, in che misura e con quali
modalità vengono effettuati i controlli.
62
PRIVACY E CONTROLLO A DISTANZA
Il Garante è ben conscio del fatto che,
nell’utilizzo
degli
strumenti
informatici
all’interno dell’ambiente lavorativo, il datore
di lavoro potrebbe astrattamente “trattare” o
venire a conoscenza di informazioni inerenti
l’attività lavorativa, ma anche la sfera
personale e la vita privata di lavoratori e di
terzi.
63
Proprio per ridurre gli effetti indesiderati di
questo
controllo
“preterintenzionale”,
il
Garante prescrive loro l’osservanza di alcune
regole (nel rispetto, ovviamente, del Codice
della Privacy e dello Statuto dei Lavoratori):
1. Il rapporto tra la normativa della privacy e
le norme dello Statuto dei Lavoratori, per il
Garante, deve conformarsi alla seguente
logica: si dovrà rispettare, in primis, quanto
sancito dagli artt. 4 e 8 dello Statuto …
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
… dei Lavoratori; immediatamente dopo, ci si
dovrà uniformare agli adempimenti procedurali
ed ai principi di cui al D. Lgs. 196/2003 nella
raccolta e nel trattamento dei dati (i già ricordati
principi di liceità e correttezza, finalità, necessità
e trasparenza di cui all’art. 11 del D. Lgs.
196/2003).
2. L’accordo con le rappresentanze sindacali è
considerato lo strumento più idoneo ad
assicurare l’equilibrio ed il contemperamento
delle diverse sfere di interesse,
65
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
divenendo
un
importante
strumento
di
regolazione preventiva riguardo alle modalità
consentite e ai limiti nell’utilizzo generale degli
strumenti informatici.
3. Oltre all’adozione di un Disciplinare interno, il
Garante suggerisce anche la sua adeguata
pubblicizzazione: il datore di lavoro, nel rispetto
del principio di trasparenza del Codice della
Privacy,
deve
rendere
una
adeguata
informazione sulle concrete modalità di utilizzo
degli strumenti elettronici al fine di prevenire il …
66
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
… rischio che, a seguito di un legittimo controllo,
possa entrare in possesso di notizie e dati
inerenti alla sfera privata del lavoratore.
Deve
prevalere
la
logica
preventiva:
la
prevenzione egli abusi viene ritenuta di gran
lunga preferibile all’individuazione degli stessi.
67
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
4. In tale ottica, il Disciplinare dovrà essere redatto
in modo chiaro e senza formule generiche e
portato a conoscenza dei lavoratori tramite
informativa, (ai sensi dell’art. 13 del Codice della
Privacy) utilizzando la rete interna e/o mediante
affissione sui luoghi di lavoro.
68
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
Da qui l’opportunità, per il Garante, da parte del
datore di lavoro, di dotarsi di una policy interna
che, in ossequio al principio di correttezza (art.
11, comma 1, lett. a) D. Lgs. 196/2003) e in
un’ottica di piena trasparenza, indichi quali siano
le modalità di utilizzo degli strumenti informatici
assegnati in uso al lavoratore e se, in che misura
e con quali modalità vengano effettuati gli
eventuali controlli.
69
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
…INOLTRE:
Il Disciplinare dovrà specificare:
 quali comportamenti, rispetto alla “navigazione in
internet e all’utilizzo della casella di posta
elettronica, sono tollerati o meno da parte del
datore di lavoro;
 se e in quale misura è consentito utilizzare, anche
per ragioni personali, servizi di posta elettronica
o di rete;
 se e quali informazioni sono eventualmente
memorizzate temporaneamente e quali invece …
70
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
… conservate per un periodo più lungo;
 se, e in quale misura, il datore di lavoro si riserva
di effettuare controlli in conformità della legge,
anche saltuari e occasionali, indicando le ragioni
legittime – specifiche e non generiche – per cui
verrebbero effettuati (anche per verifiche sulla
funzionalità del sistema) e le relative modalità;
 quali conseguenze, anche di tipo disciplinare, il
datore di lavoro si riserva di trarre qualora
constati che internet e posta elettronica siano
utilizzate indebitamente;
71
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
 le soluzioni prefigurate per garantire, con la
cooperazione del lavoratore, la continuità
dell’attività lavorativa in caso di assenza dl
lavoratore stesso (specie se non programmata),
con particolare riferimento all’attivazione di
sistemi di risposta automatica ai messaggi di
posta elettronica ricevuti;
 le misure di tipo organizzativo e tecnologico
predisposte dal datore di lavoro.
72
QUALI CONTROLLI SI POSSONO
EFFETTUARE?
Con riguardo al principio secondo cui occorre
perseguire finalità determinate, esplicite e
legittime il datore di lavoro:
 può riservarsi di controllare (direttamente o
attraverso la propria struttura) l’effettivo
adempimento della prestazione lavorativa e,
se necessario, il corretto utilizzo degli
strumenti di lavoro (cfr. artt. 2086, 2087 e
2104 cod. civ.).
 deve rispettare la libertà e la dignità dei
lavoratori,
73
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
in particolare per ciò che attiene al divieto di
installare “apparecchiature per finalità di controllo
a distanza dell’attività dei lavoratori” (art. 4,
primo comma, L. n. 300/70), tra cui sono
certamente comprese strumentazioni hardware e
software mirate al controllo dell’utente di un
sistema di comunicazione elettronica.
74
In particolare, non può ritenersi consentito il
trattamento
effettuato
mediante
sistemi
hardware e software preordinati al controllo a
distanza, grazie ai quali sia possibile ricostruire –
a volte anche minuziosamente – l’attività di
lavoratori. E’ il caso, ad esempio:
 della lettura e della registrazione sistematica dei
messaggi di posta elettronica, ovvero dei relativi
dati esteriori, al di là di quanto tecnicamente
necessario per svolgere il servizio e-mail;
 della riproduzione ed eventuale memorizzazione
75
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
… sistematica delle pagine web visualizzate dal
lavoratore;
 della lettura e della registrazione dei caratteri
inseriti tramite la tastiera o analogo dispositivo;
 dell’analisi occulta di computers portatili affidati
in uso.
Il controllo a distanza vietato dalla legge riguarda
l’attività lavorativa in senso stretto e altre
condotte personali poste in essere nel luogo di
lavoro. A parte eventuali responsabilità civili e
penali, i dati trattati illecitamente non sono
utilizzabili (art. 11, comma 2, Codice) dal datore
di lavoro.
76
I C.D. “CONTROLLI INDIRETTI” LECITI
Il datore di lavoro, utilizzando sistemi informativi
per esigenze produttive o organizzative (ad es.,
per rilevare anomalie o per manutenzioni) o,
comunque, quando gli stessi si rivelano necessari
per la sicurezza sul lavoro, può avvalersi
legittimamente, nel rispetto dello Statuto dei
Lavoratori (art. 4, comma 2), di sistemi che
consentono indirettamente un controllo a
distanza (c.d. controllo preterintenzionale) …
77
Il trattamento di dati che ne consegue può
risultare lecito.
Resta ferma la necessità di rispettare le
procedure di informazione e di consultazione di
lavoratori e sindacati in relazione all’introduzione
o alla modifica di sistemi automatizzati per la
raccolta e l’utilizzazione dei dati, nonché in caso
di introduzione o di modificazione di procedimenti
tecnici destinati a controllare i movimenti o la
produttività dei lavoratori.
78
Pertanto, i controlli risultano leciti se:
Evitano interferenze ingiustificate sui diritti e
sulle libertà fondamentali dei lavoratori e dei
soggetti esterni (ad es., controlli a distanza);
Rispettano i principi di necessità, pertinenza e
non eccedenza.
79
LA GRADUAZIONE DEI CONTROLLI
Nel caso in cui un evento dannoso o una
situazione di pericolo non sia stato impedito con
preventivi accorgimenti tecnici, il datore di lavoro
può adottare eventuali misure che consentano la
verifica di comportamenti anomali.
Deve essere per quanto possibile preferito un
controllo preliminare su dati aggregati, riferiti
all’intera struttura lavorativa o a sue aree.
80
Un controllo che preveda trattamento di dati in
forma anonima o tale da precludere l’immediata
identificazione di utenti mediante loro opportune
aggregazioni (ad. es,., con riguardo ai files di log
riferiti al traffico web, su base collettiva o per
gruppi sufficientemente ampi di lavoratori), in
molti casi, viene ritenuto sufficiente a scongiurare
i principali pericoli di abuso.
Il controllo anonimo può concludersi con un
avviso generalizzato relativo ad un rilevato
utilizzo anomalo degli strumenti aziendali e con …
81
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet

… l’invito ad attenersi scrupolosamente ai compiti
assegnati e alle istruzioni impartite. L’avviso può
essere circoscritto a dipendenti afferenti all’Area o
al Settore in cui è stata rilevata l’anomalia.
In assenza di successive anomalie, non è, di
regola, giustificato effettuare ulteriori controlli su
base individuale. Solamente a seguito di ripetute
e significative anomalie (rilevate, ad esempio, per
la presenza di virus provenienti da siti non
istituzionali), il datore di lavoro può svolgere
verifiche ex post sui dati inerenti l’accesso alla
rete dei propri dipendenti. Va esclusa, in ogni
caso, l’ammissibilità di controlli prolungati…
82
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet

… costanti o indiscriminati (così anche la Corte
dei Conti).
In ogni caso, resta impregiudicata la facoltà del
lavoratore di opporsi al trattamento dei dati che
lo riguardano per motivi legittimi (art. 7, comma
4, lett. a), del Codice della Privacy).
83
MISURE PREVISTE DAL GARANTE DELLA PRIVACY
In applicazione, dunque, del già menzionato
principio di necessità, il datore di lavoro è
chiamato a promuovere ogni opportuna misura,
organizzativa e tecnologica, volta a prevenire il
rischio di utilizzi impropri e, comunque, a
“minimizzare” l’uso di dati riferibili ai lavoratori
(artt. 3, 11, comma 1, lett. d) e 22
84
…Commi 3 e 5 del Codice; aut. Gen. al
trattamento dei dati sensibili n. 1/2005, punto 4).
MISURE DI TIPO ORGANIZZATIVO
 si valuti attentamente l’impatto sui diritti dei
lavoratori
(prima
dell’installazione
di
apparecchiature suscettibili di consentire il
controllo a distanza e prima dell’eventuale
trattamento);
 si individui preventivamente (anche per tipologie)
85
… a quali lavoratori è accordato l’utilizzo della posta
elettronica e l’accesso a internet;
 si determini quale ubicazione è riservata alle
postazioni di lavoro per ridurre il rischio di un loro
impiego
abusivo
(sempre
in
una
logica
preventiva).
MISURE DI TIPO TECNOLOGICO
Il datore di lavoro ha, inoltre, l’onere di adottare
tutte le misure tecnologiche volte a minimizzare
l’uso di dati identificativi.
86
 L’individuazione di categorie di siti considerati
correlati o non correlati con la prestazione
lavorativa;
 La configurazione di sistemi o l’utilizzo di filtri che
prevengano determinate operazioni, reputate non
compatibili con l’attività lavorativa (ad. es.,
upload o accesso a siti particolari) e/o …
87
… il download di files
particolari caratteristiche
tipologia di dato);
o softwares aventi
(dimensionali o di
 Il trattamento di dati in forma anonima o tale da
precludere l’immediata identificazione degli utenti
mediante opportune aggregazioni;
 L’eventuale conservazione di dati per il tempo
strettamente limitato al perseguimento di finalità
organizzative, produttive e di sicurezza;
 La gradualità dei controlli.
88
POSTA ELETTRONICA
alcune considerazioni iniziali:
Contro il diritto del datore di lavoro ad accedere
al contenuto dei messaggi di posta elettronica
riferibili al dipendente, si deve rilevare che è
ormai consolidato il criterio di assimilazione della
posta elettronica alla posta tradizionale.
Infatti, i contenuti dei messaggi di posta
elettronica – come pure i files allegati –
riguardano forme…
89
… di corrispondenza assistite da garanzie di
segretezza tutelate anche costituzionalmente, la
cui ratio risiede nel proteggere il nucleo
essenziale della dignità umana e il pieno sviluppo
della personalità nelle formazioni sociali;
Una protezione ulteriore deriva dalle norme
penali a tutela dell’inviolabilità dei segreti (cfr.
art. 616, quarto comma, c.p.);
90
CONSEGUENZE:
 estensione, alla corrispondenza on line, di tutte le
tutele che gli ordinamenti assicurano alla
corrispondenza
tradizionale
(nel
nostro
ordinamento la parificazione è avvenuta con la L.
n. 547/1993 che ha modificato le disposizioni
penali relative alla corrispondenza);
 approccio volto a garantire la segretezza del
contenuto della posta elettronica sembra non
sembra venire meno nel caso in cui le
comunicazioni siano effettuate attraverso l’uso di
un indirizzo e di una rete telematica messi a
disposizione dal datore di lavoro;
91
Secondo infatti il c.d. Gruppo di Lavoro europeo
per la protezione dei dati (organismo previsto
dall’art. 29 della direttiva CE 95/46), “le
comunicazioni elettroniche fatte a partire da locali
commerciali possono rientrare nella nozione di
“vita privata” e “corrispondenza” a termini
dell’art. 8, paragrafo 1 della Convenzione
europea”.
Sempre secondo il gruppo di lavoro “l’ubicazione
e la proprietà del mezzo elettronico utilizzato non
escludono la segretezza delle comunicazioni e
della corrispondenza, quale sancita da principi
giuridici fondamentali e Costituzioni” (cfr. …
92
… U.E.- Gruppo di lavoro sulla protezione dei dati –
Articolo 29- “Documento di Lavoro riguardante la
vigilanza sulle comunicazioni elettroniche sul
posto di lavoro” adottato il 29 maggio 2002”).
93
POSTA ELETTRONICA: le misure
preventive di tipo tecnologico suggerite
dal Garante Privacy:
 La messa a disposizione di indirizzi di posta
elettronica
condivisi
tra
più
lavoratori,
eventualmente affiancandoli a quelli individuali.
 L’eventuale attribuzione al lavoratore di un
diverso indirizzo di posta elettronica destinato ad
un uso privato.
 La messa a disposizione di ciascun lavoratore,
con modalità di agevole esecuzione, di apposite
94
…funzionalità di sistema
che consentano di
inviare automaticamente, in caso di assenze
programmate,
messaggi
di
risposta
che
contengano le “coordinate” di altro soggetto o
altre utili modalità di contatto dell’istituzione
presso la quale opera il lavoratore assente.
In caso di eventuali assenze non programmate
(ad es., per malattia), qualora il lavoratore non
possa attivare la procedura descritta (anche …
95
…. avvalendosi di servizi web mail), il titolare del
trattamento, perdurando l’assenza oltre un
determinato limite temporale, potrebbe disporre
lecitamente, sempre che sia necessario e
mediante personale appositamente incaricato
(ad. es., l’amministratore di sistema oppure, se
presente, un incaricato aziendale per la
protezione dei dati), l’attivazione di un analogo
accorgimento, avvertendo gli interessati.
96
 Consentire che, qualora si debba conoscere il
contenuto dei messaggi di posta elettronica in
caso di assenza improvvisa o prolungata e per
improrogabili
necessità
legate
all’attività
lavorativa, l’interessato sia messo in grado di
delegare un altro lavoratore (fiduciario) a
verificare il contenuto dei messaggi e a inoltrare
al titolare del trattamento quelli ritenuti rilevanti
per lo svolgimento dell’attività lavorativa. Di tale
attività dovrebbe essere redatto apposito verbale
e informato il lavoratore interessato alla prima
occasione utile.
97
 L’inserzione nei messaggi di un avvertimento ai
destinatari nel quale sia dichiarata l’eventuale
natura non personale del messaggio e sia
specificato se le risposte potranno essere
conosciute nell’organizzazione di appartenenza
del mittente.
 La graduazione dei controlli.
98
INDIVIDUAZIONE DEI SOGGETTI PREPOSTI AI
CONTROLLI
Il datore di lavoro può ritenere utile la
designazione (facoltativa), specie in strutture
articolate, di uno o più responsabili del
trattamento cui impartire precise istruzioni sul
tipo di controlli ammessi e sulle relative modalità
(art. 29 del Codice della Privacy).
Nel caso di eventuali interventi per esigenze di
manutenzione del sistema, va posta opportuna
cura nel prevenire l’accesso a dati personali
presenti in cartelle o spazi di memoria assegnati
a dipendenti.
99
 obbligo dei soggetti preposti al connesso
trattamento dei dati (in particolare, gli incaricati
della manutenzione) di svolgere solo operazioni
strettamente necessarie al perseguimento delle
relative finalità, senza realizzare attività di
controllo a distanza, anche di propria iniziativa.
 necessità che, nell’individuare regole di condotta
dei soggetti che operano quali amministratori di
sistema o figure analoghe cui siano rimesse
operazioni connesse al regolare funzionamento
dei sistemi…
100
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
… sia svolta un’attività formativa sui profili tecnico-gestionali
e di sicurezza delle reti, sui principi di protezione dei dati
personali e sul segreto delle comunicazioni.
CONSERVAZIONE DEI DATI SUI SISTEMI INFORMATICI
I sistemi software devono essere programmati e configurati
in modo da cancellare periodicamente ed automaticamente
(attraverso procedure di sovra registrazione come, ad
esempio, la c.d. rotazione dei log file) i dati personali
relativi agli accessi ad Internet e al traffico telematico, la
cui conservazione non sia necessaria. In assenza di
particolari
esigenze
tecniche
o
di
sicurezza,
la
conservazione temporanea dei dati relativi all’uso degli
strumenti elettronici deve essere giustificata da una finalità
specifica e comprovata e limitata al tempo necessario – e…
101
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
…predeterminato – a raggiungerla (cfr.art. 11, comma 1,
lett. e) Codice Privacy).
Un eventuale
prolungamento dei tempi di
conservazione va valutato come eccezionale e
può aver luogo solo in relazione:
 ad esigenze tecniche o di sicurezza del tutto
particolari;
 all’indispensabilità del dato rispetto all’esercizio o
alla difesa di un diritto in sede giudiziaria;
 all’obbligo di custodire o consegnare i dati per
ottemperare
ad
una
specifica
richiesta
dell’autorità giudiziaria o della polizia giudiziaria.
102
Provvedimento n. 13 del 1° marzo 2007 del Garante della
Privacy – Linee Guida per posta elettronica e internet
In questi casi, il trattamento dei dati personali:
 deve essere limitato alle sole informazioni
indispensabili
per
perseguire
finalità
preventivamente determinate;
 deve essere effettuato con logiche e forme di
organizzazione
strettamente
correlate
agli
obblighi, compiti e finalità già esplicitati.
103
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA
SULL’UTILIZZO DI INTERNET E POSTA ELETTRONICA SUL
LUOGO DI LAVORO NELLA P.A
Il Ministro per la Pubblica Amministrazione e
l’innovazione Renato Brunetta ha diramato il
26/05/2009 a tutte le amministrazioni pubbliche
una direttiva, la n. 02/09, con la quale si
delineano le linee guida del Ministero riguardo
all’utilizzo di Internet e della posta elettronica
nelle Pubbliche Amministrazioni.
104
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A
La direttiva, denominata “Utilizzo di internet e della casella
di posta elettronica istituzionale sul luogo di lavoro”,
fornisce alle PP.AA. le indicazioni utili a delineare un “giusto
bilanciamento” tra i diritti individuali del dipendente e il
potere di controllo da parte dell’amministrazione, partendo
da premesse non dissimili rispetto a quelle del Garante
della Privacy, e cioè :
 le risorse ICT costituiscono, ormai da tempo, il principale
strumento di lavoro posto a disposizione dei dipendenti
delle pubbliche amministrazioni.
 l’ampia distribuzione di tali risorse tra i dipendenti ne
favorisce il diffuso utilizzo anche per finalità diverse da
quelle lavorative, con evidenti implicazioni relative alla
difficoltà di monitorare tali attività (anche per una
questione di costi) e alla tutela della riservatezza e dei …
105
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A
… dati personali.
Peraltro, precisa lo stesso Ministro Brunetta nelle premesse
della Direttiva, l’utilizzo non istituzionale di internet e della
posta elettronica da parte dei dipendenti non provoca, di
norma, costi aggiuntivi, tenuto conto della modalità di
pagamento “flat” (non riferita, cioè, al consumo) utilizzata
nella generalità dei casi dalle Amministrazioni per l’utilizzo
di quasi tutte le risorse ICT (postazioni di lavoro,
connessioni di rete e posta elettronica).
Pur tuttavia, data la delicatezza della materia, che tocca i
diritti individuali (quale il diritto alla segretezza della
corrispondenza), si richiede alle Amministrazioni di adottare
delle misure che, da un lato, facilitino il corretto utilizzo …
106
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A
… delle risorse ICT da parte dei dipendenti, e dall’altro, il
proporzionato esercizio del potere datoriale di controllo da
parte delle stesse PP.AA.
Obiettivo della Direttiva, dunque, è quello di porre dei
confini operativi all’utilizzo delle risorse ICT da parte dei
dipendenti delle PP.AA., scoraggiandone gli usi non ritenuti
conferenti con la normale attività lavorativa e istituzionale.
Innanzi tutto, le PP.AA., nella loro veste di datori di lavoro,
sono tenute ad assicurare la funzionalità ed il corretto
impiego degli strumenti ICT da parte dei propri dipendenti,
definendone le modalità di utilizzo ed adottando le misure
necessarie a garantire la sicurezza, la disponibilità e
l'integrità dei sistemi informativi.
107
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A
 Nell'ottica del “giusto bilanciamento”, le PP.AA.
non possono, all'interno della loro potestà di
controllo, trascurare i basilari diritti dei lavoratori
e la tutela dei loro dati personali. A questo scopo,
oltre al riferimento al divieto di installare
“apparecchiature per finalità di controllo a
distanza dell'attività dei lavoratori” di cui all'art. 4
della legge n. 300 del 1970, si richiamano in toto
le “Linee guida del garante della Privacy per
posta elettronica ed internet” del 1° marzo 2007,
le cui basi appaiono chiare:
108
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A
 la posta elettronica e internet possono essere strumenti che
consentono di trarre informazioni, anche di carattere
sensibile, sui lavoratori o terzi identificati o identificabili e,
pertanto, l'eventuale monitoraggio del loro utilizzo deve
essere effettuato con cautela;
 il controllo di questi strumenti, specie se eseguito in
maniera indiscriminata e senza una motivazione specifica,
può rappresentare una violazione dei diritti dei lavoratori e
un trattamento illecito di dati sensibili;
 i controlli possono essere effettuati, ma solo a seguito di
effettivi eventi che motivino, specificamente, un intervento
in tal senso e rispettando il principio di proporzionalità (che
si concretizza nella pertinenza e non eccedenza delle
attività di controllo). In ogni caso, i lavoratori devono
essere preventivamente avvisati dei controlli effettuati;
109
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A
 è opportuno attivare delle procedure preventive che
consentano di evitare utilizzi scorretti degli strumenti
informatici (come, ad esempio, il filtraggio che prevenga
l'accesso a siti inseriti in una sorta di black list o il download
di files o software particolari).
 a tutela dei lavoratori (ma soprattutto delle PP.AA.) si
consiglia di regolamentare l'utilizzo di queste risorse
attraverso la stesura di un disciplinare che regoli la materia,
definendo i confini di ciò che è lecito e di ciò che non lo è.
110
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A


Nello stesso tempo, la Direttiva mette in luce come l'utilizzo
delle risorse ICT da parte dei dipendenti, oltre a non dover
compromettere la sicurezza e la riservatezza del sistema
informativo dell'Amministrazione, non deve pregiudicare ed
ostacolare le attività della stessa P.A. o essere destinato al
perseguimento di interessi privati in contrasto con quelli
pubblici.
A fronte del potere di controllo dell’Amministrazione datore
di lavoro, infatti, esiste in capo ai dipendenti l’obbligo
sancito da norme di legge (anche di rilevanza penale) e di
contratto, di adottare comportamenti conformi al corretto
espletamento della prestazione lavorativa e idonei a non
causare danni o pericoli ai beni mobili e agli strumenti ad
essi affidati, tra i quali vi sono le attrezzature ICT e i
sistemi
informativi
messi
a
disposizione
dall’Amministrazione.
111
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
A tal fine, la Direttiva fa riferimento:
al Codice disciplinare contenuto all'interno dei contratti
collettivi di comparto (che dispone sanzioni in caso di
“negligenza nella cura dei locali e dei beni mobili o strumenti
affidati al dipendente o sui quali, in relazione alle sue
responsabilità, debba espletare azione di vigilanza”);
 al Codice di comportamento dei dipendenti delle PP.AA. di
cui al Decreto del Ministro per la Funzione Pubblica del 28
novembre 2000 che, ove richiamata dal Codice Disciplinare del
CCNL dei diversi comparti, costituisce, oltre che norma di
valenza etico-comportamentale, anche vero e proprio obbligo
la cui inosservanza da parte dei dipendenti è passibile di
sanzione.
112
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
ANCHE LA GIURISPRUDENZA…
… in particolare quella della Corte dei Conti (tra le altre, Sez
giurisd. Piemonte, sent. n. 1856/2003, e Sez. giurisd.
Basilicata, sent. n. 83/2006), ha sanzionato l’indebito
utilizzo della connessione ad Internet da parte di un
dipendente, statuendo che essa configura profili di
responsabilità a carico del medesimo per il danno
patrimoniale cagionato all’Amministrazione, consistente nel
mancato svolgimento della prestazione lavorativa durante
le ore di connessione.
113
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
Con riferimento al potere di controllo, la stessa Corte ha poi
rilevato come, a seguito di ripetute e significative anomalie
(rilevate, ad esempio, per la presenza di virus provenienti
da siti non istituzionali), la P.A. possa svolgere verifiche ex
post sui dati inerenti l'accesso alla rete dei propri
dipendenti. Per adempiere il proprio dovere di diligenza e
vigilanza nell’utilizzo dei beni e strumenti ad esso affidati, il
dipendente ha, inoltre, l'obbligo di impedire che altri
utilizzino
indebitamente
la
propria
apparecchiatura
informatica, non rilevando, al fine del difetto di
responsabilità, il fatto che altri, in sua assenza, abbia potuto
usare la postazione lavorativa. In difetto, il comportamento
del dipendente si configura come negligente, inescusabile e
gravemente colposo.
114
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
Per quanto riguarda l'utilizzo della casella di posta
elettronica istituzionale, la Direttiva raccomanda
alle PP.AA. di contemperare l'esigenza di un
corretto svolgimento della vita lavorativa con
quella volta a prevenire inutili intrusioni nella
sfera personale dei lavoratori e violazioni della
segretezza della corrispondenza, garantendo, in
tal modo, un diritto costituzionalmente tutelato e
la cui ratio risiede nel proteggere il nucleo
essenziale della dignità umana e il pieno sviluppo
della personalità nelle formazioni sociali (quale
risulta essere, anche, il luogo di lavoro).
115
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
A tale scopo, la Direttiva invita le PP.AA. ad
esplicitare regole e strumenti che permettano di
superare le difficoltà in ordine all'utilizzo della
posta elettronica, dal momento che, per la
configurazione stessa dell'indirizzo e-mail, appare
dubbio verificare, nei singoli casi, la circostanza
che il lavoratore utilizzi la posta operando quale
espressione dell'Amministrazione o ne faccia,
invece, un uso personale, pur restando
nell'ambito lavorativo istituzionale.
116
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
Aspetto decisamente innovativo della Direttiva in questione
appare, poi, la previsione della possibilità, per le
Amministrazioni, di regolamentare l'utilizzo di Internet da
parte dei dipendenti per svolgere attività che non rientrano
tra i compiti istituzionali quali, ad esempio, il disbrigo di
incombenze
amministrative
e
burocratiche,
senza
allontanarsi dal luogo di lavoro (si cita il caso degli
adempimenti on line verso istituti bancari, assicurativi o
altre PP.AA. o enti assimilati). Tale modalità, purché
contenuta
nei
tempi
strettamente
necessari
allo
svolgimento delle transazioni, avrebbe, tra l'altro, il
vantaggio di contribuire a ridurre gli oneri logistici e di
personale per la P.A. che eroga il servizio, favorendo,
altresì, la dematerializzazione dei processi produttivi.
117
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
Il punto tre della Direttiva del Ministro Brunetta è riservato
all’utilizzo della rete Internet.
In capo all’Amministrazione datore di lavoro, alla cui
proprietà è riconducibile il Sistema informativo (ivi inclusi le
apparecchiature, i programmi ed i dati inviati, ricevuti e
salvati), è posto l’onere di predisporre misure idonee per
ridurre il rischio di usi impropri di internet, consistenti in
attività non correlate alla prestazione lavorativa, quali:
 la visione di siti non pertinenti;
 l’upload e il download di files per fini non
istituzionali;
 l’uso di servizi di rete con finalità ludiche o,
comunque, estranee all’attività lavorativa.
118
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
A
tale
proposito,
la
Direttiva
raccomanda
alle
Amministrazioni di dotarsi di software idonei a impedire
l’accesso a siti internet aventi contenuti e/o finalità vietati
dalla legge.
Inoltre, l’Amministrazione, tenendo conto delle peculiarità
proprie di ciascuna organizzazione produttiva, potrà
adottare una o più misure tra quelle indicate dal Garante
della Privacy nella Deliberazione n. 13 del 1° marzo 2007
Considerazioni particolari merita l'utilizzo, da parte del
dipendente e durante l'orario di servizio, dei social
networks.
Secondo la Direttiva, l'utilizzo di Facebook, configurandosi
come attività non correlata alla prestazione lavorativa
mediante visione di un sito non pertinente, andrebbe inibita
mediante l'installazione di appositi softwares idonei ad
impedirne l'accesso.
119
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
A puro titolo informativo, bisogna dire che, mentre già
qualche tempo fa alcuni Enti pubblici avevano limitato
l'accesso a Facebook e siti affini dal posto di lavoro (tra essi
il Comune di Milano, Poste Italiane, le Regioni Lombardia e
Veneto), altre PP.AA. lo hanno soltanto limitato: ad
esempio, il Comune di Torino consente la navigazione libera
sui social networks solo per un'ora durante la pausa del
pranzo, mentre il Comune di Napoli ha convertito la pausa
caffè in “pausa socializzazione virtuale”.
Peraltro, Facebook viene utilizzato da Enti, istituzioni e
personaggi pubblici per la diffusione di servizi e news,
dall'Arma dei Carabinieri all'Inps, a Regioni (come la Puglia)
e Comuni, fino allo stesso Ministro Brunetta.
120
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
121
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
A sostegno della possibilità di utilizzare Facebook durante
l'orario di lavoro, vi è poi una ricerca svolta dall'Università
di Melbourne secondo la quale il suo utilizzo, insieme a
quello di altri social networks, renderebbe i dipendenti più
produttivi del 9% , sempre entro i limiti e durante le
previste pause. Per completezza d'informazione, occorre
aggiungere che in paesi come Gran Bretagna e Canada i
social networks sono bloccati perché ritenuti un limite alla
produttività, mentre negli Stati Uniti il Presidente Obama ha
ideato momenti di socializzazione interna studiati per
mantenere i contatti di lavoro e promuovere l'interscambio
professionale e la formazione. Il dibattito sull'utilizzo del
web nelle sue molteplici versioni 2.0, ossia interattive,
all'interno della Pubblica Amministrazione si pone, in ogni
caso, sempre più al centro dell'attenzione, come è emerso
nel corso dell'ultima edizione del FORUM PA che, sul tema,
ha dedicato una specifica sessione di lavoro, culminata con
il documento 'Manifesto Amministrare 2.0'.
122
DIRETTIVA N. 02/2009 DEL MINISTRO BRUNETTA SULL’UTILIZZO DI
INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO NELLA P.A.
La
direttiva
conclude
con
l’invito
alle
Amministrazioni ad attuare, attraverso i dirigenti
responsabili, tutte le misure di informazione,
controllo e verifica consentite al fine di
regolamentare la fruizione delle risorse ICT e
responsabilizzare i dipendenti nei confronti di
eventuali utilizzi non coerenti con la prestazione
lavorativa e non conformi alle norme che
disciplinano il lavoro alle dipendenze delle
pubbliche amministrazioni.
123