Il trattamento dei dati e le misure
minime di sicurezza nelle aziende
Le linee guida del Garante per l'utilizzo sul lavoro
della posta elettronica e di internet.
Dott. Luca Zenarolla
Provvedimento a carattere generale 1 marzo 2007


Aumento reclami, segnalazioni quesiti riguardo al
trattamento di dati personali effettuati da datori di
lavoro riguardo all'uso, da parti di dipendenti, di
internet e delle e-mail;
Le richieste di intervento riguardano
provvedimenti disciplinari irrogati dal datore di
lavoro ai dipendenti
Dott. Luca Zenarolla
Due recenti esempi di ricorsi al Garante
A) Provvedimento 02/02/2006
Contestazione disciplinare per accessi a internet non
autorizzati effettuati sul posto di lavoro.
B) Provvedimento 18/05/2006
Contestazione disciplinare e successivo
licenziamento del dipendente per utilizzo per fini
personali di strumenti informatici aziendali
Dott. Luca Zenarolla
Decisione su ricorso febbraio '06
I fatti:



ricorrente: addetto accettazione in una casa di cura.
navigazione in internet durante orario di lavoro,
pur senza essere autorizzato alla navigazione.
trattamento di dati sensibili senza consenso e
previa informativa.
Dott. Luca Zenarolla
Decisione su ricorso febbraio '06
La difesa del datore:


il lavoratore per le sue mansioni non doveva
accedere ad internet
No consenso per per far valere i propri diritti (art.
24 D.Lgs. 196/03).
Dott. Luca Zenarolla
Decisione su ricorso febbraio '06
La decisione dell'Authority:

Sistema informatico mal configurato

Mancanza di informativa

Trattamento eccessivo e non indispensabile
Dott. Luca Zenarolla
Decisione su ricorso maggio '06
I fatti:



Controlli alla presenza del dipendente e
dell'amministratore del sistema informatico.
Individuazione due cartelle con file musicali e
pornografici.
Trattamento di dati sensibili senza consenso e
previa informativa.
Dott. Luca Zenarolla
Decisione su ricorso maggio '06
La difesa del datore:


Linee guida aziendali e divieto utilizzazione
strumenti aziendali per fini personali
Modalità di controllo in linea con i principi di
correttezza.
Dott. Luca Zenarolla
Decisione su ricorso maggio '06
La decisione dell'Authority:


Mancanza informativa: linee guida vietano uso
personale, ma non informano dei controlli.
Trattamento eccessivo e non indispensabile.
Dott. Luca Zenarolla
Due recenti esempi di ricorsi al Garante
In entrambi i casi il Garante riconosce la fondatezza
nel merito dei provvedimenti del datore
MA
I ricorsi vengono accolti dall'Authority
Dott. Luca Zenarolla
Due recenti esempi di ricorso al Garante
Conseguenze dell'accoglimento:


Blocco del trattamento dei dati da parte del datore
Condanna del datore al pagamento delle spese e
dei diritti del procedimento a favore del dipendente
Dott. Luca Zenarolla
Come evitare il ripetersi di questi
paradossi?

Applicare in azienda le Linee Guida del Garante
per posta elettronica e internet.
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Obblighi del datore di lavoro:

Adottare idonee misure di sicurezza (disponibilità
e integrità sistema informativi)

Garantire il corretto impiego delle risorse

Bilanciare le misure con i diritti dei lavoratori
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Utilizzo della posta elettronica e della rete Internet:

Misure necessarie

Misure opportune
Dott. Luca Zenarolla
Linee guida per internet e la posta elettronica
Le attività di controllo sono “trattamenti di dati
personali”. Principi applicabili:



Principio di necessità (art. 3 D.Lgs. 196/03)
Principio di correttezza (art. 11, c. 1, lett. a D.Lgs.
196/03)
Modalità (art. 11, c. 1, lett. b D.Lgs. 196/03)
Dott. Luca Zenarolla
Le singole misure
Il Disciplinare interno (misura obbligatoria)

Onere di indicare al lavoratore il corretto utilizzo
degli strumenti

Comportamenti vietati

Informazioni eventualmente registrate

Controlli effettuati
Dott. Luca Zenarolla
Le singole misure
I controlli vietati (misura obbligatoria)


lettura e registrazione sistematica delle e-mail;
memorizzazione sistematica dei siti web
visualizzati dal lavoratore;

registrazione dei caratteri digitati su tastiera

analisi occulta di computer portatili affidati in uso.
Dott. Luca Zenarolla
Le singole misure
I controlli consentiti:


Esigenze produttive, organizzative, garanzia della
sicurezza sul lavoro
Adozione di opportune misure preventive
Dott. Luca Zenarolla
Le singole misure
Misure preventive per la navigazione web:


Individuazione categorie di siti attinenti alle
prestazioni lavorative
Configurazione dei sistemi per prevenire
operazioni incompatibili con l'attività lavorativa
(installazione programmi p2p, download di file o
software con particolari caratteristiche)
Dott. Luca Zenarolla
Le singole misure
Misure preventive per la posta elettronica:



Implementazione indirizzi condivisi tra più
lavoratori (es. ufficiovendite@società.it)
Implementazione funzionalità di sistema per
gestire il caso di assenze (ad es., per ferie o attività
di lavoro fuori sede) dei singoli lavoratori
Predisposizione di un avvertimento circa la natura
non personale dei messaggi
Dott. Luca Zenarolla
Le singole misure
Graduazione dei controlli:

Controllo preliminare su dati aggregati o anonimi

Avvisi generalizzati

Controlli su base individuale

Conservazione dei log file
Dott. Luca Zenarolla
La giurisprudenza...

Cass. Sezione Lavoro 13/09/06, n. 19554:
Licenziamento per giusta causa del dipendente che
comunica a terzi le credenziali di autenticazione

Tribunale Perugia, 20/02/06:
La verifica effettuata dal datore sul Pc del dipendente
per verificarne l'eventuale abuso è un lecito controllo
di tipo difensivo
Dott. Luca Zenarolla
STUDIO LEGALE RIEM
Vicolo Chiuso, 5
33170 - Pordenone
Tel. 0434 28056 Fax 0434 246429
mail [email protected]
Dott. Luca Zenarolla