Come molte volte preannunciato, è stato modificato
l'articolo 4 della Legge 300 del 1970.
Segnalo questo articolo, dove si trovano il link al D.
Lgs. 151 del 2015 (articolo 23) che modifica l'articolo 4, il link al commento
del Garante privacy (polemico e non certo risolutivo):
Tra l'altro, il Garante non ricorda (e poteva farlo!) le
sue "Linee-guida per il trattamento di dati dei dipendenti privati",
che rimangono applicabili:
Segnalo anche la comunicazione del Ministero del lavoro
del 18 giugno 2015:
Segnalo anche questo articolo di Gabriele Faggioli in
merito:
Io ho letto e ho qualche dubbio. Provo a riassumere cosa
dice il provvedimento e scrivo qualche commento tratto dalla lettura degli
articoli sopra riportati (ricordo però che non sono un legale e la colpa di
inesattezze è mia).
Il comma 1 dice, in sostanza, che è possibile utilizzare
strumenti di controllo purché si abbiano le opportune autorizzazioni. Gli
strumenti di controllo possono essere installati solo per esigenze
organizzative e produttive, per la sicurezza del lavoro e per la tutela del
patrimonio aziendale. Deduco che le "esigenze produttive" non
includano il controllo delle prestazioni del singolo lavoratore, ma solo quelle
"generali". Ad ogni modo, l'unica vera novità riguarda l'aggiunta
della finalità di "tutela del patrimonio aziendale".
Il comma 2 dice che le autorizzazioni non sono necessarie
quando la raccolta dati (e quindi il potenziale controllo) avviene tramite gli
"attrezzi di lavoro" (detti "strumenti utilizzati dal lavoratore
per rendere la prestazione lavorativa") e gli strumenti di registrazione
degli accessi e delle presenze. Da notare:
- gli strumenti di controllo accessi sono principalmente
quelli fisici, relativi alle presenze; Faggioli include anche gli strumenti di
controllo degli accessi ai sistemi informatici;
- tra gli attrezzi di lavoro sono da includere
sicuramente pc, tablet e cellulari; secondo me, sono anche da aggiungere i
sistemi informatici nel loro complesso; in altre parole, il "gestionale
aziendale" (tipo SAP, per intenderci, che raccoglie log su chi ha
modificato un documento o un record) e l'e-mail sono anch'essi attrezzi di
lavoro;
- la raccolta dati tramite gli "attrezzi di
lavoro" prevista da questo comma non comprende gli "attrezzi di
lavoro modificati"; in altre parole, se ad un pc o smartphone si
aggiungono software di monitoraggio o di localizzazione, questi richiedono
autorizzazione.
Il comma 3 ricorda che è comunque applicabile la
normativa privacy e quindi i lavoratori devono essere adeguatamente informati
in merito agli strumenti di controllo (anche quelli inclusi nel comma 2).
Un
mio dubbio: se un lavoratore dovesse richiedere il blocco del
trattamento, su quale base è possibile continuare il controllo? Forse perché
c'è qualche disposizione contrattuale in merito?
Gabriele Faggioli ricorda inoltre delle sentenze della
Cassazione dicendo (se riassumo correttamente): se il controllo dei log e delle
registrazioni non avviene in modo continuativo (quindi "preventivo",
come se fossero delle telecamere), ma solo quando ve ne è la necessità, per
esempio a seguito di segnalazione di illecito (quindi "reattivo"),
allora questo è permesso (purché questo aspetto sia incluso nell'informativa).
Le sentenze della Cassazione citate da Faggioli con le
mie conclusioni:
- la 4746 del 2002, che validava la prova sull'uso
illecito del cellulare aziendale da parte di un lavoratore; oggi questa
sentenza rimarrebbe valida in quanto la verifica è stata effettuata ad hoc su
una persona precisa (quindi non con strumenti specifici di monitoraggio
dell'uso dei cellulari) e solo analizzando gli accessi non autorizzati allo
strumento aziendale;
- la 15892 del 2007, che invalidava delle prove raccolte
filtrando con strumenti specifici tutti gli accessi del personale; oggi forse
queste prove sarebbero state ritenute valide, purché il personale sia stato
adeguatamente informato;
- la 4375 del 2010, che invalidava delle prove raccolte
attraverso strumenti di analisi del traffico Internet; anche oggi queste prove
non sarebbero state ritenute valide in quanto gli strumenti usati erano
ulteriori a quelli "di base" e non autorizzati (segnalo che da un
punto di vista sicurezza sarebbe stato meglio bloccare direttamente i siti web,
non raccogliere dati);
- la 2722 del 2012, che validava delle prove raccolte
grazie a meccanismi "di base" dei sistemi informatici (nel caso
particolare, l'archiviazione delle e-mail); anche oggi queste prove sarebbero
ritenute valide.
Spero di ricevere ulteriori contributi, soprattutto per
rispondere alle mie domande.
PS: Questo post consolida (e corregge) altri post già pubblicati, ora cancellati.
