Home » Privacy

Category Archives: Privacy

Abstract tesi in diritto

La cooperazione euromediterranea
(tesi in diritto internazionale)


Il presente lavoro è dedicato all’analisi del ruolo svolto dalle Regioni nell’attuazione della cooperazione euromediterranea. Il primo capitolo delinea la lenta e progressiva evoluzione della politica comunitaria relativa ai rapporti con gli Stati della sponda sud del Mediterraneo. [Leggi tutto]

La causa del contratto
(tesi in diritto civile)


Il presente lavoro è dedicato all’ evoluzione del concetto di causa. La definizione della causa da lungo tempo impegna la dottrina e la giurisprudenza che individuano in essa il momento determinante nel quale la regola posta dal privato con un atto di volontà consegue l’efficacia giuridica che è propria delle norme dell’ordinamento.. [Leggi tutto]

Vedi tutti gli abstract

L’Autorità Garante per la privacy sulla rilevazione dei dati biometrici e la videosorveglianza negli istituti scolastici

Tre recentissimi provvedimenti dell’Autorità Garante per la privacy affrontano il problema della liceità dell’impiego di strumenti finalizzati alla rilevazione di dati biometrici e di sistemi di videosorveglianza in ambito scolastico.

In particolare, il Garante, a seguito di notizie rilevate a mezzo stampa e di specifiche segnalazioni, ha disposto ispezioni in tre istituti superiori.

A Taranto e a Martina Franca il problema sollevato dal personale docente e ATA riguardava l’installazione di un impianto di rilevazione delle impronte digitali e, dunque, attraverso esse dei dati biometrici, per controllare le presenze sul luogo di lavoro. Il Garante in più occasioni ha  individuato le condizioni in presenza delle quali il  trattamento di tali dati  può ritenersi lecito.

In particolare, l’Autorità ha precisato che tali dati possono essere, di regola, utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l’accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte.

In applicazione  dei principi di necessità nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha, di regola, ritenuto sproporzionato l’impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1; questo orientamento è stato condiviso, proprio in sede di impugnazione di un’ordinanza-ingiunzione dell’Autorità, dal Trib. Prato, 19 settembre 2011). Infatti, a tale fine possono essere utilizzate idonee modalità alternative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati.

Il titolare del trattamento, allo scopo di verificare il puntuale rispetto dell’orario di lavoro può disporre di altri sistemi, meno invasivi della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale (cfr. Provv. 31 gennaio 2013, n. 38; con specifico riferimento all’impiego di analoghi sistemi di rilevazione in ambito scolastico cfr. Provv.ti 30 maggio 2013).

Peraltro, il trattamento dei dati biometrici per la registrazione delle presenze, oltre ad essere in linea di principio sproporzionato, potrebbe comunque, in concreto, rivelarsi di scarsa utilità nel contrasto di eventuali casi di allontanamento dal servizio atteso che tale modalità di rilevazione delle presenze, in difetto di efficaci sistemi di controllo e vigilanza sull’effettiva (operosa) presenza dei lavoratori durante l’arco dell’intera giornata lavorativa, non è di per sé in grado di assicurare la concreta presenza sul luogo di lavoro di dipendenti infedeli.

Va, inoltre, considerato che nel rispetto del principio di correttezza il trattamento dei dati biometrici dedotti dalle impronte digitali può avvenire solo a seguito di un accordo con i lavoratori e le loro rappresentanze sindacali e di una chiara esposizione delle modalità  peculiari del trattamento che si intende effettuare, nonché di una esauriente  informativa preventiva  agli interessati ai sensi dell’art. 13 del Codice. Infine il trattamento dei dati biometrici richiede la notificazione ai sensi dell’art. 37, comma 1, lett. a), del Codice.

Dalle ispezioni compiute presso gli istituti scolastici di Taranto e di Martina Franca è emerso che non ricorreva alcuna delle condizioni in precedenza indicate. Il Garante, in primo luogo, ha verificato che i dirigenti scolastici interessati non hanno fornito prova della necessità e pertinenza del trattamento. L’installazione del sistema di rilevazione delle impronte digitali era motivato dalla volontà di prevenire condotte abusive dei dipendenti. Tuttavia, non vi era prova che l’impiego di sistemi diversi e meno invasivi di rilevazione delle presenze come, ad esempio, quello del badge, non avessero funzionato. Anzi, in passato, in casi di ritardi e assenze ingiustificate dal lavoro, l’istituto scolastico era stato perfettamente in grado di contestare i relativi addebiti ai responsabili. Inoltre, non si era proceduto all’accordo con i lavoratori, non era stata fornita loro una soddisfacente informativa, né era stata effettuata la notificazione al Garante.

Con un altro provvedimento, invece, l’Autorità Garante ha affrontato anche il problema dell’impiego della videosorveglianza. In un istituto scolastico di Roma, all’insaputa del personale, erano presenti  alcune telecamere installate in tempi successivi. Rispetto ad una di queste collocata nel corridoio di accesso all’area amministrativa non erano state rese note, né le ragioni della sua installazione, né l’orario in cui essa era attiva, né se venivano effettuate registrazioni, né chi era a conoscenza delle password per accedere alle riprese o alle registrazioni. In breve, non erano stati apposti i dovuti cartelli di segnalazione e, men  che meno, era stata resa nota l’informativa dettagliata imposta dalla legge. Ulteriori telecamere, poi, effettuavano riprese di alcune aree del’’istituto frequentate da studenti durante il periodo di apertura del medesimo. Inoltre, era presente in istituto anche un impianto di rilevazione dei dati biometrici.

Le circostanze segnalate al Garante erano confermate dalle verifiche compiute dall’Ispettorato del Lavoro che, ai sensi dell’art.4 dello Statuto dei Lavoratori, disponeva l’ordine di disinstallazione dell’impianto di videosorveglianza e del sistema di rilevazione delle impronte digitali.

L’Autorità Garante, con il provvedimento in commento ha dichiarato che le rilevazioni effettuate dall’Istituto scolastico  con l’impianto di videosorveglianza posto presso gli uffici amministrativi non sono lecite in quanto violano la disciplina prevista dagli artt. 13, 114 del Codice e 4, comma 2, l. n. 300/1970.  Peraltro,  tale trattamento, essendo idoneo a riprendere anche gli studenti che frequentavano l’istituto, non risultava conforme a quanto stabilito dal Garante, nel provvedimento generale in materia di videosorveglianza dell’8 aprile 2010, atteso che  in ambito scolastico l’utilizzo di sistemi di videosorveglianza deve ritenersi ammissibile solo “in casi di stretta indispensabilità, al fine di tutelare l’edificio ed i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate ed attivando gli impianti negli orari di chiusura degli istituti; è vietato, altresì, attivare le telecamere in coincidenza con lo svolgimento di eventuali attività extrascolastiche che si svolgono all’interno della scuola”(punto 4.3.1).

Mi viene da considerare che, probabilmente, in un’ottica di uso efficiente delle scarse risorse finanziarie disponibili nelle scuole, anziché investire in costosi impianti  di videosorveglianza e di rilevazione delle impronte digitali, sarebbe stata più opportuna una seria consulenza e formazione in materia di tutela della  privacy.

Riflessioni a margine della sentenza della Corte di Cassazione n.18443 del 1 agosto 2013: il Disciplinare per l’utilizzo di internet e della posta elettronica sui luoghi di lavoro.

La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013 mi dà lo spunto per soffermarmi su una questione che da tempo è oggetto di confronto e di dibattito. Nella mia esperienza di consulente per l’attuazione della normativa posta a tutela della privacy (d.lgs. n. 196 del 2003) ho potuto verificare che durante gli incontri formativi nei quali sono coinvolti datori di lavoro pubblici e/o privati e dipendenti, appassiona il problema della legittimità dell’accesso e del trattamento dei dati di navigazione in internet e, più in generale, dell’attività svolta al computer, dal dipendente.

La citata pronuncia della Corte di Cassazione, ha affrontato tale questione confermando quanto statuito nel merito dal Tribunale di Palermo  al quale era stato sottoposto un provvedimento con cui l’Autorità  Garante per la Tutela della Privacy aveva censurato la condotta di un datore di lavoro che aveva intimato il licenziamento per giusta causa ad un suo dipendente. Il lavoratore era stato licenziato perché durante l’orario di lavoro aveva navigato in internet, visitando siti che non avevano alcuna attinenza con l’attività lavorativa svolta e che avevano contenuto pornografico. Il controllo della navigazione internet da parte del datore di lavoro aveva comportato  l’accesso a dati sensibili relativi al lavoratore che, dunque, considerando illecito il trattamento degli stessi, si è rivolto all’Autorità garante segnalando l’accaduto.

Con apposito provvedimento del 02.02.2006 il Garante ha rilevato la natura illecita del trattamento dei dati emersi dal controllo dei log di connessione. Il datore di lavoro, infatti, non ha informato il lavoratore del controllo che non rientrava nelle ordinarie o straordinarie attività di manutenzione dei computer.  Inoltre, il trattamento dei dati sensibili emersi dalla navigazione non era legittimato nemmeno dall’art.26 comma 4, lett. c), del Codice, in quanto tali dati non erano necessari al datore di lavoro per far valere o difendere un proprio diritto in giudizio.

Infatti,  il lavoratore, per le mansioni svolte non aveva alcuna necessità di navigare in internet; pertanto il licenziamento avrebbe potuto essere validamente motivato per la semplice circostanza della navigazione, senza alcuna necessità di controllare i log di connessione e di accedere e trattare dati sensibili in violazione del codice a tutela della privacy. Peraltro, il diritto fatto valere dal datore di lavoro attraverso il licenziamento non era di rango pari a quello dell’interessato cioè non consisteva in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. In altri termini, la tutela del diritto datoriale non poteva giustificare una limitazione della tutela del diritto alla riservatezza del lavoratore.

Naturalmente il datore di lavoro si è rivolto al Tribunale di Palermo, ai sensi dell’art. 152 d.lgs. n. 196/2003. Il giudice di merito, con sentenza del  26.06.2008, ha confermato l’assunto dell’Autorità Garante e, dunque, ha concluso per l’inutilizzabilità dei dati posti a fondamento del  licenziamento. La vicenda giudiziaria si è conclusa con la sentenza n. 18443 del 1 agosto del 2013 con cui la Corte di Cassazione,  in primo luogo, ha effettuato alcune precisazione definitorie e, con particolare riferimento all’accesso a siti internet con contenuti pornografici, ha precisato che,  come statuito in sede penale,  oggetto di tutela da parte del d.lgs. n. 196/2003 «non sono solo i gusti sessuali di un individuo (astrattamente e genericamente considerati), ma, anche, le concrete scelte che, in questo campo, il soggetto va ad operare» (Sez. 5 penale, Sentenza n. 44940 del 2011).

Pertanto, è indubbio che sono dati personali idonei a rilevare la vita sessuale – «da intendersi come complesso delle modalità di soddisfacimento degli aspetti sessuali di una persona» (Sez. 5 penale, Sentenza n. 46454 del 2008) – quelli relativi alla “navigazione” in internet con accesso a siti pornografici.

In secondo luogo, la Corte di Cassazione, ha confermato quanto statuito dal Garante, prima, e dal Tribunale di Palermo, poi.

La legittima esigenza di monitoraggio  del datore di lavoro, dunque, ha avuto la peggio rispetto alla tutela della privacy del lavoratore.

Situazioni come quella che ha occasionato la pronuncia in esame, possono essere evitate facendo tesoro di quanto statuito dall’Autorità Garante per la privacy nelle Linee guida per posta elettronica e internet del 1 marzo del 2007.

In virtù del divieto sancito dall’art.4 dello Statuto dei lavoratori, il datore di lavoro, non può deliberatamente controllare l’attività svolta dal lavoratore durante l’orario di lavoro  attraverso i dati di navigazione in internet e, men che meno, installando appositi programmi volti solo a monitorare l’impiego del computer. L’accesso ai dati, tuttavia, può avvenire  in maniera casuale e non deliberata durante le sessioni di manutenzione ordinaria e straordinaria dell’hardware e del software finalizzate a garantire la sicurezza dell’azienda e del lavoro in generale.

Il garante, dunque, precisa che  il datore di lavoro è chiamato a  promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori. Pertanto dal punto di vista organizzativo, è opportuno che:

« (…)

  • si valuti attentamente l’impatto sui diritti dei lavoratori (prima dell’installazione di apparecchiature suscettibili di consentire il controllo a distanza e dell’eventuale trattamento);
  • si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l’utilizzo della posta elettronica e l’accesso a Internet; 
  •  si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo. »

Il datore di lavoro ha anche l’onere di adottare tutte le misure tecnologiche volte a minimizzare l’uso di dati identificativi.

I lavoratori e le loro rappresentanze sindacali, poi, devono essere informati delle potenzialità invasive delle apparecchiature informatiche che utilizzano per lo svolgimento del  proprio lavoro.

Infatti, in base al principio di correttezza, il trattamento dei dati relativi alla navigazione in internet e all’uso del pc del lavoratore rilevati casualmente dal datore di lavoro, deve essere ispirato ad un canone di trasparenza. Pertanto, «Grava sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.»

Il datore di lavoro, quindi, deve informare in maniera chiara e compiuta i lavoratori in merito a ciò che possono e che non possono fare attraverso l’uso del pc, della rete internet e della posta elettronica e degli eventuali controlli che possono avvenire in occasione della manutenzione ordinaria e straordinaria.

A tal fine,  secondo il Garante, può risultare opportuno adottare un Disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, ecc.) definito coinvolgendo anche le rappresentanze sindacali  nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica, da sottoporre ad aggiornamento periodico. Tale Disciplinare doveva essere menzionato nel Documento Programmatico per la Sicurezza (DPS) che, com’è noto, è stato inopinatamente abolito nella forma descritta dal d.lgs. 196 del 2003.

«A seconda dei casi andrebbe ad esempio specificato:

  • se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
  • in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
  • quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
  • se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
  • se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
  • quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
  • le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
  • se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell’interessato;
  • quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
  • le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B).”»

 

La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013, dunque, fornisce l’occasione per ricordare che il Disciplinare per l’utilizzo di internet e della posta elettronica rappresenta un fondamentale strumento di prevenzione e non un ulteriore adempimento burocratico finalizzato solo a complicare la vita ai datori di lavoro. Predisposto con la partecipazione delle rappresentanze sindacali dei lavoratori e aggiornato periodicamente, è bene che il Disciplinare sia esplicato in una apposita sessione formativa durante la quale è possibile fornire tutti i chiarimenti tecnici e giuridici.

Inoltre esso deve essere adeguatamente  pubblicizzato e reso noto in modo che sia conoscibile a tutti coloro che stabilmente o,  a maggior ragione,  occasionalmente prestano collaborazione a favore del datore di lavoro. Laddove il datore di lavoro non vi provveda è assoluto interesse dei lavoratori sollecitarne l’adozione. Le regole non devono spaventare: esse aiutano ad evitare situazioni incresciose e problematiche.

Questo sito utilizza i cookie per migliorare servizi ed esperienza degli utenti. Continuando la navigazione nel sito acconsenti al loro uso. Maggiori Informazioni | Chiudi