766fbac888b81a6944cf760190fefa58.ppt
- Количество слайдов: 144
POTERE DI CONTROLLO E PRIVACY DOPO IL JOBS ACT Avv. Andrea Stanchi Milano 1
L’Europa European Digital Agenda COM(2010) 245 final To achieve a sustainable future, it must already look beyond the short term. Faced with demographic ageing and global competition we have three options: work harder, work longer or work smarter. We will probably have to do all three, but the third option is the only way to guarantee increasing standards of life for Europeans. Milano
Il datore di lavoro come organizzazione Datore di lavoro Potere organizzazione impresa (art. 41 Cost. ) (artt. 2082 - 2086 e art. 2555 c. c. ) Responsabilità d’organizzazione (Artt. 2380 e 2381 c. c. e D. Lgs. 231/01) Dovere di adottare modello organizzativo Regole di condotta (art. 2104) Art. 2087 e DVR (Dlgs. . 81/08, art. 28). Milano
La società della trasparenza La nostra libertà si regge su quello che gli altri ignorano della nostra esistenza. A. Solzenicyn Copyright STANCHI STUDIO LEGALE - MILANO Milano
La società della trasparenza L’obbligo di trasparenza riduce l’uomo a un elemento funzionale di un sistema. In ciò consiste la violenza della trasparenza. Byung-Chul Han Copyright STANCHI STUDIO LEGALE - MILANO Milano
L’ultimo lavoratore Le innovazioni nell’uso dei big data, la crescente raffinatezza degli algoritmi e i progressi sul fronte dell’IA sono arrivati a lambire i livelli avanzati della specializzazione, e quindi a insidiare le professioni specialistiche, a lungo considerate immuni dalla sostituzione tecnologica. J. Rifkin Copyright STANCHI STUDIO LEGALE - MILANO Milano
L’etica della sorveglianza La sorveglianza nell’età dell’informazione è informazione resa incorporea, è selezione attuata attraverso programmi informatici e tecniche statistiche. E’ il prodotto di una duplice adiaforizzazione, in cui non solo il processo di categorizzazione annulla la responsabilità, ma e lo stesso concetto di informazione utilizzato a ridurre l’umanità della persona categorizzata, indipendentemente dal fine. Z. Bauman – D. Lyon. Copyright STANCHI STUDIO LEGALE - MILANO Milano
Codice in materia di protezione dei dati personali The right to protection of personal data is established by Article 8 of the Charter and Article 16 TFEU and in Article 8 of the ECHR. As underlined by the Court of Justice of the EU 27, the right to the protection of personal data is not an absolute right, but must be considered in relation to its function in society. (Court of Justice of the EU, judgment of 9. 11. 2010, Joined Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert [2010] ECR I-0000). Milano
ARTICOLO 8 CEDU Diritto al rispetto della vita privata e familiare 1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui. Milano
Rapporto di lavoro come contratto sinallagmatico controllo dell’esecuzione della prestazione controllo delle motivazioni della sospensione della prestazione (art. 2110 c. c. ) Milano
Lo Statuto dei lavoratori (artt. 2, 3, 4, 8) u u u esclusione del potere di controllo di tutti gli elementi estranei alla valutazione della capacità lavorativa; tutela della dignità; tutela contro la discriminazione. Milano
Art. 4 S. L. , co. 3: Uso dei dati e Privacy 3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196. Milano
Quale uso dei dati ? • Verifica della conformità del risultato della prestazione; • Verifica della qualità della prestazione; • Accertamento della difformità; • Provvedimenti disciplinari; • Denuncia penale. Milano
A quali condizioni? • Adeguata informazione delle modalità d’uso degli strumenti; • Adeguata informazione di effettuazione dei controlli; • e rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196. Milano
Codice in materia di protezione dei dati personali Disposizioni generali Disposizioni per specifici trattamenti Disposizioni per le azioni di tutela dell’interessato e sistema sanzionatorio Milano
Principi generali Diritto alla protezione dei dati personali, art. 1 Principio di semplificazione, art. 2, co. 2 Principio di necessità nel trattamento dei dati, art. 3 Art. 11 lett. d: principio di pertinenza Definizioni, art. 4 Principio di stabilimento, art. 5 Disciplina del trattamento, art. 6 Milano
L’organizzazione: i soggetti Titolare persona giuridica: Entità nel suo complesso; Unità od organismo che esercita potere decisionale autonomo sul trattamento. Incaricati (art. 30). Persone fisiche. Per iscritto per specifiche mansioni; oppure Preposti ad unità per cui è individuato per iscritto l’ambito del trattamento consentito. Milano
Segue: le figure eventuali Il Responsabile del trattamento (art. 29). Nella sostanza è un delegato: Esperto; Anche persona giuridica esterna; Compiti specifici per iscritto; Sempre previsto nell’outsourcing. L’amministratore di sistema (Provv. 27. 11. 08). Con Ad. S si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali: gli amministratori di database, gli amministratori di reti e di apparati di sicurezza, gli amministratori di sistemi software complessi. Milano
Diritti dell’interessato Art. 7, co. 1, lett e): diritto di conoscere i soggetti cui i dati possono essere comunicati o venirne a conoscenza. Opporsi ai trattamenti per marketing (art. 7, co. 4, lett. b). Nozione di pregiudizio (art. 8, co. 2). Dati valutativi (art. 8, co. 4). Diritto di accesso per gli eredi e libero e senza costrizioni (art. 9, co. 3 e 5). Milano
Regole per tutti i trattamenti Le disposizioni possono essere integrate o derogate dalle discipline speciali (Parte II). Codici deontologici: condizione di liceità del trattamento (art. 12, co. 3). Informativa sulla comunicazione (art. 13); Sul responsabile; Modalità semplificate per i call center; Se non raccolti presso l’interessato: categorie di dati trattati; Informativa con mezzi sproporzionati: deroga alla norma. Definizione della personalità dell’interessato. Cessazione del trattamento. Milano
Regole ulteriori Consenso libero e specifico. Art. 23, co. 3. Trattamento senza consenso (art. 24). Dati sensibili. Trattamento senza consenso. Diritto di “rango pari” (art. 26, co. 4, lett. c). Dati sensibili necessari per la gestione del rapporto di lavoro (art. 26, co. 4, lett. d). Milano
Adempimenti Notificazione: elenco in positivo. (art. 37). Modello unico per l’adempimento (art. 38). Milano
Telelavoro (art. 115). Nell’ambito del rapporto di lavoro domestico e del telelavoro il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale. Milano
segue “a tutti i lavoratori subordinati che effettuano una prestazione continuativa di lavoro a distanza, mediante collegamento informatico e telematico … si applicano le disposizioni di cui al titolo III (ndr. Dispositivi di protezione individuale: artt. 69 -87; e specie capo III) e VII (ndr. Artt. 172 -179, disposizioni per i videoterminali) del citato decreto, indipendentemente dall'ambito in cui si svolge la prestazione stessa” (art. 3, co. 10 D. Lgs. 81/08) Telelavoro: Disposizioni dell’Allegato XXXIV. Risk assessment. Stress (art. 28, co. 1, D: lgs. 81/80): Ergonomia del software (punto 3, All. XXXIV); Divieto di controlli qualitativi/quantitativi occulti. Fenomeno della “Colonizzazione della notte” Diritto di accesso del datore di lavoro. Regole e responsabilità: “prendersi cura della propria sicurezza” (art. 20 D. Lgs. 81/08): art. 14 Accordo 14. 12. 2007 INPS Cass. Pen. 38819/08; Cass. Pen. 39888/08 Milano
Il D. Lgs. 276/03 Art. 8. Diffusione dei dati ed incontro tra domanda ed offerta Art. 9 comunicazione attraverso i Media nella ricerca di personale Art. 10 Divieto di trattamento di dati discriminatori e di indagine sulle opinioni. Milano
Il nuovo Regolamento. (in vigore da 24 maggio 2016 – applicato da 25 maggio 2018) 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ( «liceità, correttezza e trasparenza» ); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali ( «limitazione della finalità» ); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ( «minimizzazione dei dati» ); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati ( «esattezza» ); Milano
Segue e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato ( «limitazione della conservazione» ); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ( «integrità e riservatezza» ). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo ( «responsabilizzazione» ). Milano
Articolo 6 Liceità del trattamento 1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. Milano
Articolo 9: Trattamento di categorie particolari di dati personali 1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. 2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; Milano
Articolo 13: Informazioni da fornire. 1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni: a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. Milano
Articolo 22: processo decisionale automatizzato (e profilazione). 1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. 2. Il paragrafo 1 non si applica nel caso in cui la decisione: a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; c) si basi sul consenso esplicito dell'interessato. 3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione. 4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato. Milano
Articolo 25: privacy by design. 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo. Milano
Articolo 30: Registro delle attività. 1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1. 3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico. 4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo. 5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10. Milano
Articolo 32: Sicurezza del Trattamento. 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a)la pseudonimizzazione e la cifratura dei dati personali; b)…. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri. Milano
Articolo 35: valutazione di impatto. 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. 3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 8. Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati. 9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti. Milano
Articolo 88: trattamenti nel rapporto di lavoro. 1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. 2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro. 3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro 25 maggio 2018 e comunica senza ritardo ogni successiva modifica. Milano
Prescrizioni 02. 10. 09 Garante Privacy: strumenti informatici aziendali e privacy del dipendente ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive di: 1. fornire una chiara informativa ai dipendenti, anche mediante disciplinare interno autonomo e distinto dal dps, circa le condizioni, le finalità e le modalità con le quali vengono rese accessibili le cartelle "personali" di rete, definendo altresì le situazioni di "emergenza" che ne giustificherebbero un'eventuale visibilità a terzi regolarmente autorizzati (punto 4. 3); 2. integrare le istruzioni contenute nel citato dps, specificando in forma chiara e puntuale le condizioni, le finalità e le modalità di utilizzo di aree virtuali eventualmente destinate ad un uso "personale" da parte dei dipendenti, rendendo questi ultimi edotti di tale facoltà (punto 4. 3). Milano
Il code of practice on the protection of workers’ personal data 1997 OIL Uso secondo la legge per fini correlati all’impiego Dati sensibili solo se indispensabili per l’impiego Vietato poligrafo (cfr. art. 14 Codice Privacy). Dati sanitari solo in conformità alla legge Test genetici vietati a meno che specificati dalla legge Informativa preventiva del monitoriaggio e non uso come valutazione della prestazione; Sicurezza della conservazione del dato; Informativa sul dato raccolto e diritto di accesso. Milano
L’Opinion n. 8/01 del Data Protection Working Party. Privacy non comporta un diritto assoluto, va bilanciato con altri interessi legittimi o diritti o libertà. I dipendenti, come parte di una organizzazione complessa, devono accettare necessariamente un certo grado di intrusione nella propria sfera privata e devono condividere certe informazioni personali con il datore di lavoro. Milano
La domanda conseguente è: quali sono le ragioni che possono giustificare la raccolta e il trattamento dei dati di ogni dipendente? Non ci sono risposte a priori. Dipende dalla natura del rapporto. Rispetto di principi essenziali. Rispetto indicazioni del Garante. Coordinamento con le normative speciali nazionali. Milano
Il Working document on surveillance and monitoring of electronic communications in the workplace Bilanciamento tra diritto a privacy e tutela dei beni e patrimonio aziendale. Il documento copre qualsiasi attività riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro (tanto il controllo in tempo reale quanto l’accesso ai dati archiviati). Funzione di armonizzazione di interpretazione della direttiva 95/46/CE. Milano
Le norme internazionali. (artt. 8 e 10 della Convenzione Europea per la salvaguardia dei diritti dell’uomo); la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale n. 108/OIL; gli artt. 7 ed 8 della Carta dei diritti fondamentali dell’Unione Europea; ed i punti 5, 6. 14, e 12. 2 del Codice di condotta in tema di protezione dei dati personali dei lavoratori. Milano
La giurisprudenza della Corte dei diritti umani. Niemitz contro Halford contro Regno Unito Germania Milano
I principi desumibili. ogni tipo di comunicazione rientra nel concetto di corrispondenza (quindi anche le emails inviate dall’ufficio); i lavoratori hanno una legittima aspettativa di riservatezza sul posto di lavoro, che può essere temperata dall’informativa in merito ricevuta dal datore di lavoro; tutta la corrispondenza anche quella prodotta sul luogo di lavoro è coperta dal principio di segretezza; la tutela della vita privata comprende in certa misura anche il diritto a stabilire e sviluppare relazioni con altri esseri umani; ciò pone alcuni limiti alle legittime esigenze del datore di lavoro in fatto di provvedimenti di vigilanza. Milano
Segue: Copland v. UK the Court considers that the collection and storage of personal information relating to the applicant's telephone, as well as to her e-mail and internet usage, without her knowledge, amounted to an interference with her right to respect for her private life and correspondence within the meaning of Article 8. Milano
Segue: “in accordance with the law” This expression not only requires compliance with domestic law, but also relates to the quality of that law, requiring it to be compatible with the rule of law (see, inter alia, Khan v. the United Kingdom, judgment of 12 May 2000, Reports of Judgments and Decisions 2000 -V, § 26; P. G. and J. H. v. the United Kingdom, cited above, § 44). In order to fulfil the requirement of foreseeability, the law must be sufficiently clear in its terms to give individuals an adequate indication as to the circumstances in which and the conditions on which the authorities are empowered to resort to any such measures (see Halford, cited above, § 49 and Malone, cited above, § 67). Milano
I principi generali desumibili dalla direttiva 95/46/CE · Necessità · Finalità · Trasparenza o Obbligo di fornire informazioni al titolare dei dati o Obbligo di informare le autorità di vigilanza prima di procedere ad operazioni di trattamento · Diritto di accesso · Legittimità · Proporzionalità · Accuratezza e conservazione dei dati; · Sicurezza. Milano
Art. 4 S. L. : Controllo a Distanza Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di È vietato l'uso di impianti audiovisivi e di altrepossono essere impiegati esclusivamente a controllo a distanza dell'attività dei lavoratori apparecchiature per finalità di controllo distanza dell'attività dei lavoratori. per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla Gli impianti e le apparecchiature o dalle rappresentanze sindacali da esigenze rappresentanza sindacale unitaria di controllo che siano richiesti aziendali. In organizzativenel caso di imprese con unità produttive ubicate in diversederivi anche la alternativa, e produttive ovvero dalla sicurezza del lavoro, ma dai quali province della possibilità di controllo in più regioni, tale accordo può essere stipulato dalle associazioni stessa regione ovvero a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con lepiù rappresentative sul piano nazionale. In in mancanza sindacali comparativamente rappresentanze sindacali aziendali, oppure, mancanza di di queste, con la commissione interna. In difetto di accordo, su istanza del datore di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di tali impianti. unità produttive dislocate negli ambiti di competenza di più Direzioni imprese con territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui La secondo comma 1 non articolo, in mancanza di accordo con le al disposizione di cui aldel presente si applica agli strumenti utilizzati dal lavoratore per rendere la sindacali lavorativa agli strumenti di registrazione degli accessi del rappresentanzeprestazioneaziendali o econ la commissione interna, l'Ispettorato e delle provvede lavoropresenze. entro un anno dall'entrata in vigore della presente legge, dettando all'occorrenza leraccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i degli impianti Le informazioni prescrizioni per l'adeguamento e le modalità di uso fini suddetti. al rapporto di lavoro a condizione che sia data al lavoratore adeguata connessi Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196. mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale. Milano
Quali sono gli strumenti del controllo? • • Sistemi audiovisivi ed ogni strumento che attraverso software applicativi possa produrre una sintesi informativa descrittiva che mediante il processo di categorizzazione dell’informazione riduce a dato l’umanità della persona (Lyon/Baumann); è il messaggio che determina il medium (ragionando da Mc. Luhan). Milano
Segue: gli strumenti di controllo. (Corte di Cassazione n. 4375/2010). “i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza e in via continuativa durante la prestazione l’attività lavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento”. Cosa evidente laddove “nella lettera di licenziamento i fatti accertati mediante il programma Super Scout sono utilizzati per contestare alla lavoratrice la violazione dell’obbligo di diligenza sub specie di aver utilizzato tempo lavorativo per scopi personali (e non si motiva invece una particolare pericolosità dell’attività di collegamento in rete rispetto all’esigenza di protezione del patrimoni aziendale)” Milano
Segue 2: gli strumenti di controllo. Cassazione, sezione Lavoro, 22 marzo 2011 n. 6489. “Come è logico e confermato dal complesso della giurisprudenza in materia di questa Corte, nell’ambito delle esigenze prese in considerazione nel comma 1 (ndr dell’art. 4 S. L. ) è ricompresa anche quella di tutela del patrimonio aziendale, potendo apparire non del tutto chiarito dalla giurisprudenza solo in quali precisi limiti le apparecchiature volte alla tutela dello stesso possano considerarsi, in relazione all’oggetto dei relativi controlli, addirittura esclusi dalla esigenza della previa autorizzazione a norma dell’art. 4, comma 2, dello statuto (cfr. Cass. n. 1236/21983; 8250/2000; 4746/2002; 15892/2007, 4375/2010). La vicenda in esame, tuttavia offre l’occasione di un ulteriore approfondimento riguardo a tale punto con la precisazione che la procedura autorizzatoria di cui all’art. 4, comma 2, è senza dubbio necessaria tutte le volte in cui i controlli vengono a consentire in via di normalità e, si direbbe, inevitabilmente -, il controllo anche delle prestazioni lavorative, come nel caso in esame. Poiché nella specie, come è pacifico, gli impianti per il controllo sono stati autorizzati a norma dell’art. 4 dello statuto dei lavoratori, e l’utilizzazione in causa delle relative riprese riguarda proprio le esigenze di tutela alla base della loro installazione e autorizzazione, non è ravvisabile alcuna violazione della disciplina legale in esame, anche se il controllo a distanza ha costituito il mezzo per rilevare e dimostrare un illecito avente anche rilievo disciplinare”. Milano
Impiego di palmari aziendali. Min Lavoro - Servizio Ispettivo 28. 11. 2006. I palmari aziendali concessi agli IMF muniti di apposito programma volto a registrare e, successivamente, inviare, via internet, al server aziendale, l’avvenuta effettuazione delle varie visite presso le strutture sanitarie, memorizzandone data ed ora, con l’eventuale dotazione di apposita scheda sim, consentirebbero la verifica degli spostamenti materialmente compiuti dai suddetti lavoratori. Acquisito il parere della Direzione generale della Tutela delle Condizioni di Lavoro, si rappresenta che … non può escludersi la riconducibilità dello strumento in questione all’ambito applicativo della suddetta disciplina, la cui violazione è, inoltre, penalmente sanzionata dall’art. 38 della medesima legge, richiamato dall’art. 171 D. Lgs. n. 196/2003. E’ la potenzialità che determina l’applicabilità della norma dell’art. 4 S. L. . Milano
Sistemi di Intelligent Video. Garante Privacy – verifica preliminare 17. 3. 2016. Lecito software “intelligent video” da collocare in prossimità di tutte le zone ad alto rischio ed in grado di assolvere sia una funzione di protezione Safety (cioè nei confronti del personale), sia Security (cioè nei confronti del patrimonio); ciò, attraverso il posizionamento di alcune telecamere munite di sistema di riconoscimento di “pattern comportamentale”, in grado di individuare condizioni anomale, “quali la rilevazione di un uomo a terra” o “lo stato di immobilità di una persona” per un certo tempo (cfr. nota del 6 ottobre 2015), oppure condizioni di “loitering, manomissione” o sottrazione di materiali, e conseguentemente allarmare la sala di controllo, garantendo l’intervento tempestivo delle squadre di soccorso o delle guardie giurate a seconda dell’evento occorso (cfr. nota del 15 luglio 2015). Milano
Segue. Le indagini sul pc. Autorità Garante della Privacy, Provvedimento del 12 novembre 2015 (doc. web n. 4656803). “il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ. ); tuttavia, nell'esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11 comma 1 del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti o di dati di carattere sensibile”. Milano
Segue. Le indagini sull’email. Causa BĂRBULESCU v. ROMANIA: Decisione 12 gennaio 2016 la Corte Europea dei Diritti dell’Uomo Rientrano nell’art. 8 CEDU. A tal riguardo la Corte ha affermato che il controllo del datore di lavoro sui contenuti dell’account aziendale messenger del dipendente erano avvenuti nell’ambito di un procedimento disciplinare ai sensi del Codice del Lavoro. Inoltre la corte ha rilevato come le corti territoriali abbiano tenuto in grande conto la circostanza, emersa dalle risultanze processuali, che il datore di lavoro fece accesso al messenger del lavoratore nella convinzione che contenesse messaggi di lavoro e che in relazione all’informativa non vi era una ragionevole aspettativa di privacy del dipendente. Infine la Corte ha rilevato che i messaggi del dipendente contenuti nell’account messenger di yahoo sono stati gli unici ad essere monitorati e nel suo computer non erano presenti altri documenti o informazioni. In conclusione quindi la Corte ha affermato che il controllo del datore di lavoro fu legittimo perché limitato e proporzionato e ha ha negato la violazione dell’art. 8 CEDU del diritto alla privacy del dipendente affermando che le corti locali avevano bilanciato adeguatamente il diritto del dipendente alla privacy nella corrispondenza con l’interesse datoriale. Milano
Posta elettronica: L’Opinion 2/2006 del WP Diretta ai provider di servizi di comunicazione elettronica. CEDU: art. 8: Divieto di intercettare, aprire legge una lettera; Divieto di impedire in via generale di inviare o ricevere posta elettronica (anche sul posto di lavoro); Casi Niemitz, Klass (1978), Malone (1984) e Huvig (1990). Art. 6, par. 2, Trattato UE: l’Unione rispetta i diritti fondamentali quali sono contenuti nella CEDU; Art. 52, par. 3, Carta dei Diritti Fondamentali UE: Il significato e la portata dei diritti della Carta sono quelli che emergono dalla CEDU, salvo il migliore favore. Nei rapporti privati: dottrina delle obbligazioni positive: Divieto di ingerenza e dovere di adoprarsi affinchè i diritti fondamentali possano essere realmente esercitati. Direttiva 2002/58/CE (e-privacy): divieto di intercettazione ed obbligo al provider di garantire la sicurezza. Milano
Principi e Limiti della Scansione del contenuto di email Antivirus. Antispam. Ricerca di contenuti predeterminati. Milano
ANTIVIRUS Va considerata misura di sicurezza (art. 4 dir. e-privacy) inerente il contratto del servizio; Va però garantito: Segretezza del contenuto del messaggio che va rivelato ai destinatari; In caso di virus, il software deve offrire adeguate garanzie di riservatezza; Il contenuto non può essere scansito che automaticamente e per finalità antivirus; Doveri di informazione. Milano
ANTISPAM Non attiene a sicurezza Servizio ma a funzionalità della rete. Lecito ai sensi dell’art. 4 dir. e-privacy come misura di sicurezza e funzionalità della rete e dei servizi. Rischio dei “falsi positivi”: filtrati come spam messaggi legittimi desiderati (violazione di art. 10 CEDU: ingerenza nelle comunicazioni private: Caso Schoneberger&Durmaz 1988). Garanzie: Possibilità dell’utente di disabilitare il filtro e verificare i messaggi Preferenza per sistemi configurabili dall’utente; Informativa. Milano
Scansione di contenuti predeterminati Previsioni della riserva del diritto del provider di cercare ed eliminare contenuti asseritamente illegali, che l’utente non desidera ricevere. Non è misura di sicurezza (art. 4). Divieto salvo consenso espresso dell’utente, tranne il caso di previsione legale specifica dell’obbligo. Milano
Didtheyreadit? Servizio analogo all’acknowledgement (verifica della ricezione), ma con ulteriori funzionalità: • • • È stata letta? Il momento in cui è stata letta; Quante volte; Inoltrata a terzi; A quale server di posta compresa la sua localizzazione; Navigatore web e sistema operativo del destinatario. Non appaiono servizi leciti se avvengono senza l’espresso consenso informato ed univoco al trattamento (che è occulto) dei dati del destinatario. Milano
La giurisprudenza penale Trib. Milano 10. 5. 2002 Personalità non è uguale a riservatezza; Email aziendale deve essere nella disponibilità di accesso e lettura di più persone per funzionalità servizio; Password garantisce l’azienda e non il lavoratore; Non c’è aspettativa lecita di riservatezza. Email è strumento aziendale: l’accesso non costituisce controllo illecito, tutti gli strumenti restano nella disponibilità del datore di lavoro. Milano
Segue Trib. Torino Sezione di Chivasso 15. 9. 2006 Computer aziendale è strumento di lavoro; C’è policy di informativa sull’utilizzo; Password va comunicata al superiore; Questi ha diritto di accesso alla posta per esigenze di lavoro; L’accesso, su informativa, è lecito e corrispondente ai doveri del DPR 318/1999 (misure di sicurezza); Personalità non = a riservatezza; Necessaria costante disponibilità di esso al datore di lavoro; Non c’è aspettativa di riservatezza. No assimilazione posta cartacea nel momento di utilizzo per fini extralavorativi: mai utilizzo illecito di strumento di lavoro può consentire di attribuire diritto a chi l’illecito commette Punto 10, all. B, C. Privacy consente l’accesso per necessità operativa o di sicurezza. ORIENTAMENTO CONFERMATO DA CASS. PEN. 47096/07. Milano
Segue Cass. Sez. V Pen. 13057/16. Un sistema informatico è il complesso organico di elementi fisici (Hardware) e astratti (software) che compongono un apparato di elaborazione dati; Casella posta è uno spazio di memoria del sistema destinato a memorizzare messaggi o informazioni di un soggetto identificato da un account registrato presso un provider di servizio; L’apposizione di PWD dimostra esclusività (domicilio informatico ai sensi 615 ter cp) Le caselle dei dipendenti della PA sono domicilio dei medesimi (ius excludendi alios); Anche il superiore pertanto è estraneo e deve tenerne conto. Conferma l’orientamento (ma è sbagliato) Cass. Pen. 38331/16. Milano
Segue Trib. Verona 5 aprile 2016. Esclude che sia applicabile l'azione di reintegrazione nel possesso d'urgenza da parte del dipendente/amministratore delegato che chiede di essere riammesso all'uso della casella di posta elettronica aziendale. Ciò perchè la casella di posta elettronica di cui si gode durante il rapporto (sia di amministrazione piuttosto che di lavoro) non integra neppure gli elementi della detenzione trattandosi di un godimento relativo la cui unica fonte è il contratto appunto intercorrente con la Società datrice di lavoro/amministrata. Milano
Segue, la giurisprudenza: controlli di polizia. Cass. Sez. lav. , 17 maggio 2013 n. 12091. Le iniziative effettuate mediante videosorveglianza dalla polizia giudiziaria non rientrano nel divieto dell’art. 4 S. L. e pertanto non vi è inutilizzabilità della prova (ai sensi del 654 c. p. p. ). Inoltre per giurisprudenza costante sono comunque ammissibili i controlli ex art. 4 S. L. cosidetti difensivi e cioè rivolti a prevenire illeciti di natura penale o pregiudizi al patrimonio aziendale. Milano
Segue, la giurisprudenza: i delitti. Cass. Pen. Sez. V, n. 20722/2010. Gli articoli 4 e 38 dello Statuto dei lavoratori implicano l’accordo sindacale a fini di riservatezza dei lavoratori nello svolgimento dell’attività lavorativa, ma non implicano il divieto dei c. d. controlli difensivi del patrimonio aziendale da azioni delittuose da chiunque provenienti. Pertanto in tal caso non si ravvisa inutilizzabilità ai sensi dell’art. 191 CPP di prove di reato acquisite mediante riprese filmate, ancorché per ciò sia imputato un lavoratore subordinato. Milano
Segue, la giurisprudenza: la prova nel processo penale. Cass. Pen. Sez. 2 n. 2890/2015 Sono utilizzabili nel processo penale, ancorché imputato sia il lavoratore subordinato, i risultati delle videoriprese effettuate con telecamere installate all’interno dei luoghi di lavoro ad opera del datore di lavoro per esercitare un controllo a beneficio dei patrimonio aziendale messo a rischio da possibili comportamenti infedeli dei lavoratori, perché le norme dello Statuto dei lavoratori poste a presidio della loro riservatezza non fanno divieto dei cosiddetti controlli difensivi del patrimonio aziendale e non giustificano pertanto l’esistenza di un divieto probatorio (Cass. Sez. 5, Sentenza n. 20722 del 18/03/2010 Ud. (dep. 01/06/2010 ) Rv. 247588; Sez. 5, Sentenza n. 34842 del 12/07/2011 Ud. (dep. 26/09/2011 ) Rv. 250947) Milano
I controlli non vietati: le chiamate audio. Milano
I controlli preterintenzionali: il comma 1 e le modalità flat. Il controllo che comporti una modalità c. d. flat, cioè che comprende i modi dell’adempimento della prestazione, implica necessariamente il ricorso alle procedure del comma 1. ma basta la potenzialità astratta del controllo? (E’ sufficiente che le apparecchiature siano state solo installate anche se non ancora funzionanti? : Cass. 9211/97, Cass. 1490/86); No, dal sistema delle deroghe (commi 1 e 2, nonché artt. 2 e 3 L. n. 300/70) preferibile tesi della potenzialità concreta del controllo (Giugni, Cass. 20440/15). Milano
Art. 4 S. L. , co. 2: Art. 4, comma secondo, non si applica la regola del primo comma: • agli strumenti di lavoro; • Badge di accesso e controllo presenze; • Controllo pezzi prodotto lavoro a cottimo. Milano
Controllo degli Accessi Badge magnetico. Trib. Milano 29. 9. 90/30. 12. 2003: Liceità del controllo per la verifica degli accessi, escluso da applicazione dell’art. 4 S. L. ; Pret. Roma 29. 3. 95: Liceità in quanto mezzo di prova dell’esclusivo adempimento della prestazione lavorativa; Pret. Napoli 15. 3. 90: Liceità della rilevazione presenze perché estranea all’attività lavorativa (ma verifica adempimento prestazione fondamentale su base volontaria). Milano
Controllo degli Accessi Cassazione civ. Sez. Lavoro 9904/2016 Il badge con tecnologia RFl. D, consistente in un chip a radio frequenza contenuto nel badge e in un lettore badge collegato per mezzo della rete LAN all'ufficio del personale, che consenta la trasmissione mediante sistema on line, alla centrale operativa di tutti i dati acquisiti tramite la lettura magnetìca· del badge del singolo lavoratore riguardanti non solo l'orario di ingresso e· di uscita ma anche le sospensioni, permessi, le pause così realizzando in concreto il controllo costante e a distanza circa l'osservanza da parte degli stessi dipendenti del loro obbligo di diligenza, sotto il profilo del rispetto dell'orario di lavoro, rientra nella fattispecie prevista dal secondo comma dell'art, 4 L. 300/1970 (ndr. vecchio testo). Si tratta di strumento di contro. Ilo a distanza e non di mero rilevatore di presenza, tenuto anche conto che il sistema in oggetto consente di comparare immediatamente i dati di tutti i dipendenti realizzando così un controllo continuo, permanente e globale (conf. Cass. 15892/07). (massima non ufficiale). Milano
Controllo degli Accessi - Segue Cassazione Pen. 33567/2016 in tema di apparecchiature di controllo dalle quali derivi la possibilità di verificare a distanza l'attività dei lavoratori, le garanzie procedurali previste dall'art. 4 co. 2 (ndr vecchio testo, oggi co. 1), l. 300/70 non trovano applicazione quando si procede l'accertamento di fatti che costituiscono reato. Tali garanzie riguardano solo l'utilizzabilità delle risultanze delle apparecchiature di controllo nei rapporti interni diritto privato fra datore di lavoro e lavoratore: la loro eventuale inosservanza non assume pertanto alcun rilievo nell'attività di repressione di fatti costituenti reato al cui accertamento corrisponde sempre l'interesse pubblico alla tutela del bene penalmente protetto anche qualora sia possibile identificare la persona offesa nel datore di lavoro (v. Sez. 6, n. 30177 del 04/06/2013 - dep. 12/07/2013, Chielli e altri, Rv. 256640) Milano
Segue Cassazione Pen. 33567/2016 in tema di allontanamento fraudolento dal luogo di lavoro, l'eventuale insussistenza per i lavoratori di un vero e proprio obbligo di vidimare il cartellino o la tessera magnetica delle presenze giornaliere non esclude che qualora tale vidimazione sia comunque effettivamente compiuta, ma con modalità fraudolente tali da indurre in inganno il datore di lavoro, ricorrano gli estremi degli artifizi e raggiri che integrano il delitto di truffa. Infatti, non è la doverosità della vidimazione a rendere quest'ultima, se falsificata, idonea a trarre in inganno il datore di lavoro; al contrario, anche una vidimazione meramente facoltativa di un registro cartaceo o elettronico delle presenze in ufficio, può ingenerare l'inganno di far risultare una presenza falsamente attestata. Ove la vidimazione dell'ingresso e dell'uscita dal luogo di lavoro sia meramente facoltativa, il lavoratore può non ottemperare all'adempimento, ma, qualora vi ottemperi, la falsa indicazione dell'orario di entrata o di uscita configura quindi un artifizio o un raggiro. Milano
Ma cosa sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa? L’accezione semantica allude a congegni, ma è limitativa; Dalla giurisprudenza emerge una nozione connessa alla idoneità ad assolvere complessivamente una funzione normale della prestazione lavorativa (cfr. Cass. 20440/15: in questo senso l'auto ed il suo GPS, software incluso, appartengono -ai fini della norma- alla nozione di strumento in quanto idonei a consentire l'adempimento normale della prestazione). Milano
SEGUE: cosa sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa? Secondo le acquisizioni del mondo scientifico (e della stessa convenzione di Budapest) un sistema informatico è qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma operativo od applicativo, compiono specifiche elaborazioni automatiche dei dati (Cass. Pen. 13057/16) Milano
SEGUE: cosa sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa? In tale nozione, infatti - e con riferimento agli strumenti oggetto del presente provvedimento, vale a dire servizio di posta elettronica e navigazione web - è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza. [GP. doc. web n. 5408460, 13 luglio 2016] Milano
SEGUE: cosa sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa? Occorre mettere in relazione il dispositivo tecnico/normativo/finalistico con le funzioni che definiscono gli strumenti di lavoro aziendali e analizzare la distinzione di questi dagli strumenti di controllo (ricordando che possiamo assumere che nel mondo digitale sia la funzione a stabilire una relazione di connessione che identifica un dispositivo di controllo e che in conseguenza di ciò lo stesso strumento può assumere vesti diverse a seconda del dispositivo in cui è inserito) per verificare se occorra rispettare le procedure dell’art. 4 l. n. 300/70, comma primo prestazione). Milano
Ma allora tramite gli strumenti posso eseguire controllo sull’attività? Co. 2 è una deroga, quindi il principio generale resta valido; Conferma questa interpretazione l’art. 171 Codice Privacy: La violazione delle disposizioni di cui. . (omiss). . all'art. 4, primo e secondo comma, della legge 20 maggio 1970, n. 300 è punita con le sanzioni di cui all'articolo 38 della legge n. 300 del 1970. Milano
posso usare gli analytics ricavati dagli strumenti? Connecting hiring activities with job performance, pioneered by XXXX Analytics, Corp. , uses machine learning to provide an ongoing, analytics-driven, feedback loop. Predictive hiring algorithms learn from every single hiring decision (do employees with these characteristics perform or not). Hiring managers see who performs successfully and who doesn’t. Unbiased. Fair. All based on job performance at your company, and again, easier than you think. • Milano
Argomenti a favore del controllo sull’abuso: le norme penali. 615 ter c. p. Accesso abusivo ad un sistema informatico; • che “ai fini della configurabilità del reato di cui all’art. 615 ter c. p. (accesso abusivo ad un sistema informatico o telematico), per la quale si richiede che il sistema sia «protetto da misure di sicurezza» , non occorre che tali misure siano costituite da «chiavi di accesso» o altre analoghe protezioni interne, assumendo invece rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l’ingresso stesso nei locali in cui gli impianti sono custoditi” (Cass. , sez. V, 07 -11 -2000). Si è inoltre ritenuto (Trib. Torino 4. 12. 1997, in Giur. It. 1998, 1923) che “la norma in questione … punisce anche e disgiuntamente l’azione di chi si trattiene in tale impianto contro la volontà espressa o tacita del titolare” e sono in questa condizione coloro che “erano autorizzati si ad introdurvisi (e ciò –quindi a prescindere dall’esistenza o meno di una misura di sicurezza in senso stretto), ma certamente non erano legittimati a permanervi allo scopo di attuare un comportamento” contrario alla volontà del titolare Milano
Segue. 635 bis c. p. Danneggiamento di sistemi informatici o telematici; • considerata la presenza di cookies e file temporanei di sistema: nel danneggiamento informatico la condotta deve portare alla distruzione, al deterioramento o all’inservibilità, totale o parziale, di un sistema informatico o telematico, o di programmi o dati altrui. Ebbene, posto che per distruzione deve intendersi la condotta che comporta il completo annientamento della cosa; per deterioramento, invece, una modificazione in peggio della cosa, che ne pregiudica la funzione strumentale e per inservibilità la inutilizzabilità, totale o parziale, della cosa in rapporto alla sua originaria funzione strumentale, ne discende che l’integrazione dell’elemento oggettivo del reato dipenderà, nel caso di specie, dalla effettiva consistenza e dal protrarsi, per un periodo di tempo giuridicamente apprezzabile, di patologie invalidanti del sistema informatico. Milano
Segue. Cass. Pen. 8631/16 (caso di applicazione dell’art. 615 ter cp) “Il mancato espletamento della procedura (nel caso, quella della l. n. 92/12) per la conferma della volontà del dipendente dimissionario che abbia già dato le dimissioni non fa rivivere il rapporto rispetto a comportamenti che presuppongono la qualità di dipendente (accesso ai sistemi informativi). Nel caso il dipendente dopo le dimissioni aveva acceduto "invito domino" ai sistemi aziendali, dalla postazione di un collega, per scaricarsi l'hard disk del server. La Corte conferma la decisione che ritiene sussistere il reato di accesso abusivo al sistema informatico (art. 615 ter, cod. pen. ). ". Milano
Segue. Cass. Pen. 25453/11 (caso di applicazione dell’art. 615 bis interferenze nella vita privata tramite riprese da distante) … la tutela apprestata dal legislatore alla riservatezza postula "la liceità dell'attività svolta in ambito privato, potendo, diversamente, l'intrusione nell'altrui privacy ritenersi comunque contestata, tanto più in presenza di un diritto, il cui esercizio si intenda garantire o la cui violazione si voglia avvertare o prevenire". Milano
Segue. Cass. Pen. SU 4649/12 “Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’articolo 615 ter cp, la condotta di accesso o di mantenimento nel sistema posta in essere dal soggetto che, pur essendo abilitato, violi le condizioni di limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema” Milano
Segue. Cass. Lav. 2722/12 “I controlli ex post effettuati dal datore di lavoro non rientrano nel campo di applicazione dell'articolo 4 dello statuto dei lavoratori qualora il datore di lavoro ponga in essere una attività di controllo delle strutture informatiche aziendali che prescinde dalla pura e semplice sorveglianza dell'esecuzione della prestazione lavorativa ed invece è diretta ad accertare la perpetrazione di eventuali comportamenti illeciti. Il cosiddetto controllo difensivo in altre parole non riguarda l'esatto adempimento delle obbligazioni discendenti da rapporto di lavoro ma è destinato ad accertare un comportamento che pone in pericolo beni del datore di lavoro. In questo caso entra in gioco il diritto del datore di lavoro di tutelare il proprio patrimonio, che è costituito non solo dal complesso dei beni aziendali ma anche dalla propria immagine esterna così come accreditata presso il pubblico. Questa forma di tutela il datore di lavoro può giuridicamente esercitare con gli strumenti derivanti dall'esercizio dei poteri della supremazia sulla struttura aziendale ” Milano
Segue. Cass. Pen. 8555/12 “Sembra corretto ritenere conforme allo spirito della disposizione dell'articolo 635 bis del codice penale che la cancellazione, che non escluda la possibilità di recupero se non con l'uso-anche dispendioso-di particolari procedure, integri gli estremi oggettivi della fattispecie delittuosa. Il danneggiamento che è presupposto della previsione sostanziale, sottospecie del genus rappresentato dal reato di danneggiamento di cui all'articolo 635 del codice penale, deve intendersi integrato dalla manomissione ed alterazione dello stato del computer, rimediabili solo con un postumo intervento recuperatorio, e comunque non reintegrativo dell'originaria configurazione dell'ambiente di lavoro ” Milano
Segue. Cass. Pen. 37630/12 Conferma l’orientamento seguito dalle Sezioni Unite sottolineando la rilevanza delle procedure aziendali. In particolare, la Suprema Corte rigetta il ricorso in cassazione per insufficiente e contraddittoria motivazione, non avendo la Corte d’Appello di Milano approfondito la questione relativa alla sussistenza di una richiesta di accesso: del resto, l’accesso al sistema avvenuto per finalità diverse da quelle consentite dal titolare dei dati senza richiesta scritta del privato titolare dell’utenza risulta irrilevante, “mentre l’unica cosa che rileva è il rispetto delle modalità di accesso” Milano
Segue. Cass. Pen. 39010/12 “ ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico, nel caso di soggetto munito di regolare password, è necessario accertare il superamento, su un piano oggettivo, dei limiti delle proprie competenze e, pertanto, la violazione delle prescrizioni relative all'accesso ed ai trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite” Milano
Segue. Cass. Pen. 42021/12 “Con la previsione dell'art. 615 ter cod. pen. , introdotto a seguito della L. n. 547/93, il legislatore ha assicurato la protezione del "domicilio informatico" quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto. Tuttavia l'art. 615 ter cod. pen. non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello "jus excludendi alios", quale che sia il contenuto dei dati racchiusi in esso, purchè attinente alla sfera di pensiero o all'attività, lavorativa o non, dell'utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati, sia che titolare dello "jus excludendi" sia persona fisica, persona giuridica, privata o pubblica, o altro ente (Sez. 6, n. 3067 del 4. 10. 1999, rv 214946). ” Milano
C. d. A. di Torino, sez. Lavoro, 13. 03. 2013. “L’aver parecchi mesi e più volte al giorno navigato su siti pornografici o pedopornografici in maniera massiccia rispetto all’orario di lavoro costituisce sicuramente una violazione del rapporto sinallagmatico, con la conseguenza della legittimità del licenziamento. Ciò anche in relazione alla specifica mansione del lavoratore licenziato in quanto addetto alla protezione dei sistemi informativi. ”. Milano
Argomenti a favore del controllo sulla conformità. Il controllo, come accertamento della conformità della prestazione alle istruzioni date, è –nei limiti dei controlli di qualità e quantità e conformitàimmanente al modello giuridico del contratto di lavoro ed è certamente legittimo. Si tratta della verifica di conformità tipica dell’obbligazione fondamentale del rapporto (artt. 2104, 2105, 2106 c. c. ). Milano
Ma i c. d. wearable sono strumenti? Milano
Ma i c. d. wearable sono strumenti? Milano
Ma i c. d. wearable sono strumenti? Milano
Quale utilizzo? Fonte: http: //blog. hrtecheurope. com/wearables-at-work-big-data-or-big-brother/ Forming part of the picture : employee’s character and habits, insightful psychological and emotional information. Combining this with additional data sourced from online personality or psychometric tests gives HR context and an overview of how people respond to given situations in the working environment. Effective in hiring : Wearables provided for candidate use during the hiring process can indicate how they respond to stress levels (in already demanding circumstances) and help HR to understand behavioural patterns. For example, data provided by wearables measures stress by detecting heart rates during pressured situations. To be informative and objective, this requires careful evaluation and assessment – as well as candidate permission. Better quality of hire : Wearables may in this way also prove to be useful in improving the quality of hire, the most important metric identified in Linked. In’s 2016 Global Recruiting Trends. Only a quarter of employers are confident in their ability to assess this metric, with only 5% claiming to be ‘best in class’. Automated hiring : In future, a business planning system may feed skills and hiring requirements directly into its recruitment software, ultimately posting, screening and communicating with new hires through mobile devices. Milano
Divieto di indagini sulle opinioni (art. 8 Stat. Lav. ) E' fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore La violazione del divieto è sanzionata penalmente (art. 38 stat. lav. ) Milano
segue Che succede con il monitoring dei social media? Milano
segue Siete le tracce che lasciate e siete verificabili. Milano
segue "The Appellate Labour Court decided that it does not constitute discrimination in this case if the employer requires the candidate’s criminal record. Such requirement by itself is not enough to justify the awarding of moral damages or to constitute a discriminatory act. The employer's intent was to further learn about the candidates’ backgrounds and place them in compatible positions, as, for example, not to allow a person with a criminal record for larceny to occupy a teller position, considering that it would be a risk for their assets. ” Appellate Labour Court of the 4 th Region, Appeal 515200852104005, 6 a Chamber, reporting Justice Rosane Serafini Casa Nova, May 27 2009 Milano
segue Whitmar Publications Ltd v Gamage (EWHC 1881/2013) In a case of a non compete litigation, the court required the ex employees to give Whitmar "exclusive access management and control" to Linked. In groups managed on behalf of employers by ex-employees. It also ordered them not to access or do anything that inhibited or prevented Whitmar from accessing the Linked. In groups. Fairstar Heavy Transport NV v Adkins (EWCA Civ 886/2013) the Court of Appeal ruled in favour of Fairstar’s right to inspect and copy the emails on Adkins's computer that related to its affairs. The Court found that there had been an agency relationship between Adkins and Fairstar and the duty to allow inspection did not end on termination of the agency relationship. Milano
Art. 4 S. L. : Sanzioni penali ex art. 38 S. L. “Commette il reato di cui agli art. 4, comma 2, e 38 l. 20 maggio 1970 n. 300 il datore di lavoro, il quale, senza preventivo accordo con le rappresentanze sindacali, abbia installato delle telecamere che, seppure destinate ad evitare furti, renda possibile il controllo a distanza dell'attività dei dipendenti (Cass. Pen , sez. III, 2801/03 n. 10268; oggi v. 114 e 171 codice privacy. ) Violazione della procedura: comportamento antisindacale: art. 28 l. n. 300/70 (Trib. Milano 18/3/06); Sul piano processuale civilistico: impossibilità di attribuire valore probatorio al dato informativo acquisito attraverso l’uso di apparecchiature in violazione del divieto di cui all’art. 4 S. L. (Cass. 8250/2000) Milano
Ma non le applica nessuno? Cass. Pen. Sez. III, 4331/2014 L'art. 4, co. 2, L. n. 300/1970, tuttora vigente pur non trovando più sanzione nell'art. 38, co. 1, sempre dello Statuto dei lavoratori, dopo la soppressione del riferimento all'art. 4 nel suddetto art. 38, co. 1, operata dall'art. 179, D. Lgs. n. 196/2003 (che colma la lacuna con il combinato disposto dei suoi artt. 114 e 171), prevede una condotta criminosa rappresentata dalla installazione di impianti audiovisivi idonei a ledere la riservatezza dei lavoratori, qualora non vi sia stato consenso sindacale o autorizzazione scritta di tutti i lavoratori interessati, o permesso dall'Ispettorato del lavoro. L'idoneità degli impianti a ledere il bene giuridico protetto, cioè il diritto alla riservatezza dei lavoratori, è necessaria affinché il reato sussista; peraltro essa è sufficiente anche se l'impianto non è messo in funzione, poiché, configurandosi come un reato di pericolo, la norma sanziona a priori l'installazione, prescindendo dal suo utilizzo o meno. (Nel caso di specie, il datore di lavoro veniva condannato per il reato suddetto in quanto installava un impianto inclusivo di otto micro camere circuito chiuso, "alcune puntate direttamente sulle casse", violando a quindi la privacy dei lavoratori. ) Milano
Ma non le applica nessuno? Cass. Pen. Sez. 3, n. 17027/2014 La Legge n. 300 del 1970, articolo 4, prescrive che gli impianti e le apparecchiature di controllo, la cui installazione sia dovuta ad esigenze organizzative e produttive, ovvero alla sicurezza del lavoro, ma dai quali derivi anche la possibilita' di controllo a distanza della attivita' dei lavoratori, possono essere montati e posizionati soltanto previo accordo con le rappresentanze sindacali aziendali o, in subordine, con la commissione interna. Non e', quindi, richiesto che si tratti di controllo occulto, destinato a verificare la produttivita' dei lavoratori dipendenti, in quanto l'essenza della sanzione sta nell'uso degli impianti audiovisivi, in difetto di preventivo accordo con le parti sociali (Cass. 15/12/2006, n. 8042; Cass. 30/1/2014, n. 4331). Milano
Ma il consenso scrimina? Cassazione penale , sez. III, sentenza 11. 06. 2012 n° 22611 Se è vero che la disposizione di cui all’art. 4 statuto dei lavoratori intende tutelare i lavoratori contro forme subdole di controllo della loro attività da parte del datore di lavoro e che tale rischio viene escluso in presenza di un consenso di organismi di categoria rappresentativi (RSU o commissione interna), a fortiori, tale consenso deve essere considerato validamente prestato quando promani proprio da tutti i dipendenti. (Caso in cui è stata assolta per insussistenza del fatto la legale rappresentante di un’azienda che era stata condannata, in grado di merito, per aver installato quattro telecamere volte a realizzare la videosorveglianza, due delle quali inquadravano direttamente alcune postazioni di lavoro fisse occupate dai lavoratori. L’installazione si era perfezionata soltanto dopo aver acquisito il consenso della totalità dei prestatori di lavoro, espresso per iscritto mediante sottoscrizione di ognuno. Inoltre nei locali aziendali erano stati affissi dei cartelli che segnalavano la presenza del sistema di video sorveglianza. ) Milano
DPL Modena 12 dicembre 2006 Art. 38 S. L. e prescrizione obbligatoria: Limiti. Da valutarsi intensità elemento intenzionale secondo co. 2, art. 4 S. L. e 133 c. p. : 1. L’installazione di telecamere fisse che inquadrino esclusivamente l’attività svolta dai lavoratori ovvero i luoghi adibiti esclusivamente al godimento della pausa, nonché alla consumazione del pasto da parte degli stessi; 2. L’assenza di esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale che rendano necessaria l’installazione dei suddetti strumenti di controllo a distanza; 3. L’installazione degli impianti in parola a totale insaputa del lavoratore. Non v‚è dubbio, difatti, che tale installazione sia maggiormente insidiosa, e la condotta del datore sia maggiormente idonea a mettere in pericolo la riservatezza del lavoratore così come più volte affermato anche dalla Suprema Corte. 4. Devono considerarsi, inoltre, particolarmente insidiosi quei sistemi di controllo che, considerata la relativa collocazione ovvero la specifica funzionalità, siano in grado di raccogliere in via prevalente i dati c. d. „sensibili” del lavoratore così come individuati dal Codice della Privacy (D. Lgs. n. 196/2003) quali, ad esempio, i dati idonei a rilevare le origini razziali, le condizioni sanitarie o lo stato di salute, l‚appartenenza politica o sindacale, la vita o le abitudini sessuali, la sfera psichica, il credo religioso, definire il profilo o la personalità del lavoratore, ecc. . Milano
Segue. 5. Vanno, inoltre, annoverate nelle ipotesi di maggiore gravità tutte quelle circostanze che non solo hanno messo in pericolo la libertà individuale del lavoratore, ma che hanno altresì comportato un effettivo danno allo stesso, quali, ad esempio, le registrazioni e/ol‚utilizzazione (a qualunque fine) delle immagini riprese dai sistemi audio-visivi installati dal trasgressore (sarebbe, infatti, indice di un maggior disvalore della condotta del datore di lavoro l‚utilizzazione delle immagine che abbiano facilitato atteggiamenti mobbizzanti nei confronti dei lavoratori, ovvero, che abbiano determinato l‚adozione di provvedimenti disciplinari). In ultimo, alla luce dell’art. 162 -bis c. p. , sono da ritenersi ostative all‚applicazione del provvedimento di prescrizione obbligatoria, le ipotesi in cui il contravventore si dimostri specificatamente recidivo alla violazione degli obblighi in materia, ovvero, contravventore abituale o professionale, in quanto sono da considerare, queste ipotesi, come indici di una maggiore pericolosità sociale del reo. Fuori dalle suddette ipotesi e ferma restando la necessità di operare una valutazione specifica del caso concreto, si può genericamente ritenere applicabile, invece, l’istituto premiale della prescrizione obbligatoria di cui all‚art. 15, del D. Lgs. n. 124/2004 Milano
Principi in materia di controllo della posta elettronica. Posta on line e posta ordinaria non vanno trattate diversamente senza validi motivi; le comunicazioni elettroniche fatte a partire da locali commerciali possono rientrare nella nozione di “vita privata” e “corrispondenza” a termini dell’articolo 8, paragrafo 1 della convenzione europea; l’ubicazione e la proprietà del mezzo elettronico utilizzato non escludono la segretezza delle comunicazioni; Occorre un motivo legittimo per trattare i dati derivanti dalla corrispondenza dei dipendenti; Non basta il consenso (non realmente libero); trattamento deve essere necessario per il perseguimento degli interessi legittimi del responsabile del trattamento oppure dei terzi cui vengono comunicati i dati. Milano
Contenuto minimo di informazioni: a) Eventuale diritto di un dipendente a disporre di un indirizzo e mail per finalità puramente personali, eventuale liceità dell’impiego d’indirizzi webmail sul posto di lavoro ed eventuale raccomandazione del datore di lavoro che i dipendenti impieghino un indirizzo webmail privato quando vogliano utilizzare la posta elettronica per scopi puramente personali. b) Accordi raggiunti con i dipendenti circa l’accesso ai contenuti di un messaggio di posta elettronica, con particolare riferimento ai casi di assenza imprevista del dipendente, e finalità specifiche di tale accesso. c) Laddove dei messaggi venga fatta una copia di backup, durata del periodo in cui tale copia è conservata. d) Informazioni circa il momento in cui i messaggi di posta elettronica vengono definitivamente cancellati dal server. e) Questioni di sicurezza. f) Coinvolgimento dei rappresentanti dei dipendenti nel definire la politica aziendale. Milano
I principi in materia di controllo dell’utilizzo dell’Internet spetta all’impresa disciplinare se ed in che modalità è consentito ai dipendenti l’utilizzo per fini personali dell’Internet; prevenire gli abusi piuttosto che a reprimerli ; controllo deve rappresentare una “risposta commisurata” ai rischi; Occorre nella valutazione delle risultanze dei controlli “di far prova di prudenza nell’arrivare a determinate conclusioni”; diritto di vedersi presentare i fatti contestati e di avere l’occasione di ribattere alle accuse d’abuso. Milano
Contenuto minimo delle policy. · Illustrazione condizioni a cui è consentito l’impiego privato dell’Internet, precisando quale materiale non può essere visionato o copiato; · Informativa sui sistemi messi in opera per impedire l’accesso a determinati siti e per individuare i casi d’abuso. La portata di tali controlli andrà indicata, precisando ad esempio se essi possono riguardare singole persone o sezioni dell’impresa oppure se in circostanze particolari il contenuto dei siti visitati è visionato o registrato dal datore di lavoro. Precisare quale uso può all’occorrenza venir fatto dei dati raccolti in rapporto alle persone che hanno visitato determinati siti; · Informativa sulla partecipazione dei rappresentanti all’attuazione della policy e all’indagine sulle presunte infrazioni. Milano
Posta elettronica: Provv. Garante 21 marzo 2007 Diritto di accesso nei soli limiti dell’operatività aziendale dichiarata in policy; Obbligo di disattivazione dell’indirizzo email e di non trattamento dei dati; Necessità di accordo per la riattivazione (accordo tra le parti sulla separazione tra email private da quelle aziendali). Milano
Il provvedimento del Garante 2 febbraio 2006. . sebbene i dati personali siano stati raccolti nell'ambito di controlli informatici volti a verificare l'esistenza di un comportamento illecito (che hanno condotto a sporgere una querela, ad una contestazione disciplinare e al licenziamento), le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia "indispensabile" (art. 26, comma 4, lett. c), del Codice; autorizzazione n. 1/2004 del Garante). Milano
Provvedimento Garante 18 maggio 2006 Il riferimento delle Linee guida della società all’obbligo di utilizzare gli strumenti elettronici affidati per esclusive finalità professionali non riporta alcuna informativa specifica in riferimento al trattamento di dati personali effettuato potenzialmente in caso di controlli né le modalità da seguire per gli stessi. La visione dei contenuti dei file, in presenza di più persone, comporta un trattamento eccedente le finalità perseguite (realizzabili con il riferimento mero a natura e dimensione files). Milano
Provvedimento 25 gennaio 2007 Indagine sul PC per alterazione della configurazione del sistema (installazione abusiva HW e SW per accesso abusivo al sistema centrale di banca); Internal audit disciplinato da manuali, COBE, MO 231/01; Controllo lecito: Previsto dalla policy; Previsto dalla legge (dlgs. 58/98); Disciplinato dal DPS sul fronte misure di sicurezza; Conformità degli incarichi agli ispettori. Informativa e consenso. Conforme provv. 5 ottobre 2006. Milano
Provvedimento 10. 06. 10 sul regime dei controlli dei file porno scaricati dal lavoratore sul pc aziendale RILEVATO che il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l'effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ. ), ma che lo stesso, anche nell'esercizio di tale prerogativa, deve rispettare la libertà e la dignità dei lavoratori nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11, comma 1, del Codice; ciò tenuto anche conto che tali controlli, indipendentemente dalla loro liceità, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonee a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale (cfr. § 5. 2 e 6. 1 del provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007, di seguito "Linee guida per posta elettronica e Internet"); Milano
Provvedimento 10. 06. 10 sul regime dei controlli dei file porno scaricati dal lavoratore sul pc aziendale - segue RILEVATO che, nel caso di specie, la società resistente ha affermato di avere effettuato un controllo sull'hard disk del computer in uso al ricorrente allo scopo di "accertare la presenza sull'host di materiale coperto da diritto d'autore", dichiarando altresì che il predetto controllo è stato determinato da una segnalazione – non documentata - proveniente da Telecom s. p. a. di "illegittime operazioni di scarico effettuate dall'user id” dell'interessato; considerato che, dalla documentazione acquisita al procedimento, risulta che la resistente ha esperito l'anzidetto controllo informatico in assenza di una previa idonea informativa all'interessato relativa al trattamento dei dati personali (art. 13 del Codice) e, più specificamente, al trattamento di dati che il datore di lavoro potrebbe effettuare in attuazione di eventuali controlli sugli strumenti informatici affidati ai lavoratori per esclusive finalità professionali, ovvero alle modalità da seguire per gli stessi (ad es. , circa la presenza dell'interessato, di rappresentanti sindacali, di personale all'uopo incaricato); rilevato infatti che, a tal fine, non possono ritenersi sufficienti le indicazioni che la società ha dichiarato di avere impartito ai propri dipendenti, contenute nella "Policy di gruppo relativa alle procedure di sicurezza informatica" e nella "Normativa per l'uso dei servizi informatici" (quest'ultima, peraltro, diramata al personale solo il giorno precedente all'ispezione); Milano
Provvedimento 10. 06. 10 sul regime dei controlli dei file porno scaricati dal lavoratore sul pc aziendale - segue CONSIDERATO che, fermo restando il diritto della società di verificare la violazione da parte del ricorrente degli obblighi a cui lo stesso era soggetto in qualità di prestatore di lavoro (e ciò avendo conservato su uno strumento messo a sua disposizione per l'attività lavorativa file ad essa non attinenti), la società resistente ha effettuato un trattamento di dati eccedente rispetto alle finalità perseguite. Nel caso di specie, stante il divieto, contenuto nella citata "normativa per l'uso dei servizi informatici" di "visitare siti e /o memorizzare file che abbiano un contenuto contrario a norme di legge, all'ordine pubblico o al buon costume", la resistente avrebbe potuto accertare la non conformità del comportamento del ricorrente agli obblighi contrattuali in tema di uso corretto degli strumenti affidati sul luogo di lavoro, limitandosi a constatare l'esistenza, nel computer, di una cartella - "travaso_XY - che già nella denominazione rimandava ad un contenuto di carattere personale, senza la necessità di prendere conoscenza degli specifici "contenuti" della cartella medesima, rispetto ai quali è scaturito un trattamento di informazioni personali eccedenti e non pertinenti (art. 11 del Codice); Milano
Provvedimento 10. 06. 10 sul regime dei controlli dei file porno scaricati dal lavoratore sul pc aziendale - segue alla luce delle considerazioni sopra esposte, accoglie il ricorso e dispone, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente le informazioni relative agli specifici file conservati nella cartella "travaso_XY" contenuti nell'hard disk del pc in uso al ricorrente e raccolte nei modi contestati con il ricorso; Milano
Provvedimento 7. 4. 11 sul regime dei controlli dei file acquisiti da backup del pc aziendale - Segue Nel caso di specie, dalle risultanze istruttorie è emerso che la società ha trattato dati personali riferiti alla reclamante acquisendoli in occasione di una verifica effettuata sui propri sistemi informativi; tale attività, però, risulta compiuta senza che fosse stata fornita ai dipendenti –e quindi neanche all'odierna reclamante un'idonea e preventiva informativa sul punto (art. 13 del Codice), non potendo a tal fine ritenersi sufficienti le scarne indicazioni contenute nel regolamento del 9 giugno 2008, unico documento avente contenuto informativo posto a conoscenza dell'interessata (l'altro regolamento richiamato dalla società infatti, risulta predisposto ed entrato in vigore in data successiva al licenziamento della predetta). Difatti, benché il regolamento del giugno 2008 rechi un riferimento all'obbligo di utilizzare gli strumenti elettronici affidati ai lavoratori per esclusive finalità professionali, esso non riporta alcuna indicazione circa la possibilità per la società di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup (cfr. Punto 3. 2 delle Linee guida del 1° marzo 2007, cit. ; cfr. altresì Provv. 2 febbraio 2006, doc. web n. 1229854), né sull'eventualità di trattare tali dati in vista di possibili controlli (anche occasionali), le cui modalità di effettuazione, peraltro, non risultano neanche adombrate Milano
Segue. Parità di rango dei diritti. Trib. Milano 10. 5. 02: Strumentalità dei beni aziendali ed aspettativa di riservatezza; Rilevanza penalistica della conoscenza dei cookies; Misura della fondatezza dell’illiceità ex 635 bis c. p. ; l’indagine sulla natura degli accessi (trattandosi di accessi che rivelano tendenze o peculiarità della “vita sessuale”) consente di accertare l’integrazione di altre, gravi, ipotesi di reato (ad esempio, la “detenzione di materiale pornografico” – art. 600 quater c. p. ): ovvero, di fattispecie tipizzata da una peculiare – ed assai deplorevole – tipologia di materiale pornografico “scaricato” dall’utente/lavoratore (ovvero, quello originato dallo sfruttamento dell’immagine di minori di anni 18). Fattispecie di reato da cui discende, peraltro, anche la c. d. “responsabilità amministrativa” della persona giuridica (datore di lavoro) ai sensi del D. lgs. n. 231/01 per il reato commesso dal lavoratore (art. 25 quinquies D. lgs. 231/01 ex lege 228/2003). WD 29. 5. 2002. Milano
Segue. Linee guida del Garante Tedesco sull’uso di Internet e della email sul lavoro (GP 13. 1. 2003). Se solo per servizio: possibili controlli regoalri a campione dei log files. Inutilizzabilità per valutazione prestazione; Se accordo per l’uso privato: • • • Le email di servizio possono essere visionate; Possibile eliminare messaggi per sicurezza (. exe, . bat, . com); Email private = corrispondenza; Controlli di sicurezza accessi internet (verifica abusi); Controlli a campione sui siti visitati, ma non individualizzati (salvo illecito); • Accesso ai dati di connessione limitato ad amministratori di sistema, con incarico e rispetto privacy. Milano
Segue: gli RFID. Garante provv. 9. 3. 2005: i principi. Rispetto norme privacy; Rispetto art. 4 S. L. Provv. Servizio Ispettivo DPL di Milano 18. 4. 2005 (esclude liceità); Provv. Garante 23. 2. 06 e 22. 8. 06 (liceità valutata nel caso concreto). Milano
Segue: I controlli biometrici Non liceità in generale; Obblighi di notificazione preventiva; Verifica mediante interpello (art. 17 CP): Provv. 23. 11. 05 (sicurezza nazionale); Provv. 15. 6. 06 (sicurezza fisica dipendenti); Provv. 1 febbraio 2007 (commercio preziosi in area ad alto tasso criminalità organizzata). Matching on device (esclusione formazione di archivio dati biometrici). Esclusione utilizzo per rilevazione presenza (doc. web. 1306551). Milano
Segue: che succede all’estero? Privacy Commission Belga, Advice 5. 6. 2013. Quality Calls monitoring “The commission ruled that, taking into consideration the guarantees provided by the employer, the system was legitimate, as no breach of the Processing Personal Data Act could be established. However, the employer was reprimanded for the fact that the system was not provided for in the work rules before it became operational. According to the commission, the monitoring of sales calls is a form of supervision. Therefore, it must be mentioned in the work rules in accordance with Article 6(1)(5) of the Work Rules Act. The advice statementions other relevant issues for employers that wish to listen to employees’ sales conversations: • The employer must inform and consult with the employees' representation, but the introduction of such a system cannot be impeded, as ultimately only the employer can decide whether to introduce the system. • Such a system can also be used to grant premiums or bonuses”. Milano
Segue: che succede all’estero? Guimaraes Cd. Aappeal. GPS. Case 20/14. 7 T 8 VRL. G 1 (March 3 2016). . The Guimaraes Court of Appeal held that an employer may not engage in remote surveillance of the workplace using technological equipment aimed at checking the professional performance of the employee. However, in the case at hand, the court found that the GPS installed in the vehicle of the medical sales representative was not intended to check on his professional performance, but rather to check the number of kilometres travelled. The concept of professional performance is linked to the duties allocated to the employee and to the way in which the employee performs those duties – that is, where, how and when. Therefore, if the employer uses the equipment in question to obtain another type of data (ie, to check the number of kilometres actually travelled against the data provided by the employee), it is not evaluating professional performance. In that situation, the data obtained is lawful. Milano
Segue: che succede all’estero? EAT. Email and Photos da Mobile. Garamukanwa v Solent NHS Trust. . . The EAT confirmed that whether an employee has an expectation of privacy depends on the facts of the individual case. Did Garamukanwa have a reasonable expectation of privacy in emails and photographs which the police had obtained? Based on these facts, the answer was no. He could not have an expectation of privacy in relation to material regarding a personal relationship with a work colleague, as his own conduct had turned this personal issue into a workplace issue. The EAT disagreed with this contention, ruling that Garamukanwa had no expectation of privacy in respect of what he called "private" material because he brought it all into the workplace and used work email addresses. There were also adverse consequences in the workplace for employees to whom the trust owed a duty of care. Milano
Segue: che succede all’estero? Court of Appeal of Luxembourg, November 12 2015, Role 41245 In regards to checking which websites had been visited by the employee, the court first pointed out the following principles: Even if no prior notice has been given to the National Commission for Data Protection or there has been no authorisation regarding the handling of personal information, an employer is nevertheless entitled to monitor its employees' activities in the workplace. To be valid, the evidence gathered by the employer must respect the employee's privacy – in particular, the confidentiality of private correspondence in the workplace – even if this correspondence involves the use of a work computer and any personal use of the computer is prohibited. The employer is not allowed to check employees' workstations (including their messages) to punish their behaviour, if such checks are exclusive and regular. For the court, such a check would constitute 'surveillance' in accordance with the modified Law of August 2 2002 on the Protection of Individuals Regarding the Processing of Personal Data, which would not be covered by the circumstances authorised by Article L 261 -1 of the Employment Code. On the basis of these principles, the court held that the checking of websites visited by the employee during working hours was valid evidence. Milano
Segue: che succede all’estero? Hungary DPA and Courts opinion on Monitoring. March 2, 2016. Principles that employers should follow when establishing their internal policies include the following: • The surveillance must relate to the employer's properations. • The surveillance is allowed only to the extent necessary to protect the employer's rightful interests and any restriction of employees' privacy must be proportionate. • Employees must be informed in advance of the possibility of surveillance. • Employers need to request the opinion of employee representatives (eg, works councils and unions) before establishing policies and methods of surveillance. • Personal data related to the surveillance must be handled in accordance with the general principles and rules of the Act on Data Protection. • court found an employee termination based on the operation of tracking software on his smartphone without his knowledge to be lawful and well founded. • Employers may access the contents of messages sent or received by employees in professional matters. However, if a message can be assumed to be private, the employer may not access its contents. • Controlling access to websites is allowed only if employees are informed in advance of this possibility. If access is granted to certain sites on which private data or content is stored (eg, private email accounts and electronic banking accounts), such data may not be accessed by the employer. Milano
Segue: che succede all’estero? Luxembourg Court of Appeal, Fifth Chamber, April 28 2015, 159/15 V. The Court of Appeal reiterated that emails received or sent via an employer's electronic communication system are presumed to be of a professional nature. However, this is a rebuttable presumption and does not allow the employer to read the employee's personal emails. Accordingly, the court analysed each of the three contentious emails to determine whether the presumption of their professional nature could be rebutted. The presumption of the professional nature of an email can therefore be rebutted if its title unequivocally highlights its private nature. In such case the message will normally fall outside the scope of the employer's control. Following the April 28 2015 criminal court ruling, the following points should be borne in mind: According to the Court of Appeal, associating the word 'private' with the word 'confidential' in an email title necessarily implies its private nature (however, 'confidential' is commonly used in professional email titles). The indication 'private' in an email title does not automatically suffice to put the message outside the scope of the employer's control. To do so, the word 'private' must be associated with other words in order to establish unequivocally the private nature of the message's content. It remains to be seen which expressions other than 'confidential' are considered sufficiently unequivocal. Milano
Segue: che succede all’estero? Labour COURT OF MONS (Belgio) 9 feb 2011 • • • Article 8 CEDU apply to workplace. Right to privacy is not absolute. The employer can ask to respect moral norms and standards of good behaviour and can monitor whether work is carried in compliance; Monitoring needs: • An information duty (esplicit policy); • The objectives of the investigations is justified and targeted; • The monitoring is proportionate (only the illicit conducts are investigated). Milano
Segue: che succede all’estero? Czech Supreme Court 5. 12. 2012 The Labour Code stipulates that employees may not use an employer's equipment (both computers and other telecommunications equipment) for personal use without the employer's consent. The employee made a frequent personal use of company equipment (a total of 102 hours in 1 month). In the present case, the employee argued that details about his personal internet use were not admissible evidence because the monitoring infringed on his privacy. The Supreme Court rejected this claim. According to the court, the rules on employee monitoring do not apply to inspections to protect the employer's property interests, provided that such inspections are adequate, and do not excessively interfere with employees’ privacy. The employer may conduct reasonable employee monitoring to ensure compliance with the aforementioned requirement. Milano
Segue: che succede all’estero? Brazilian Court Rules on monitoring at work. Court precedents hold that the monitoring of corporate email does not violate an employee's privacy, since it is a work tool owned by the company. Courts have also upheld penalties against employees based on evidence collected through the employer's IT systems, provided that: • clear rules existed regarding employee use of the employer's IT systems; • the employees knew that personal information disclosed in the corporate environment would not be deemed private; and • such monitoring did not affect any personal files belonging to the employee and stored in the employer's systems. Milano
Segue: che succede all’estero? UK Data Protection Act. Monitoring at work Q How does the Act affect monitoring? • If you monitor your workers by collecting or using information about them, the Data Protection Act will apply. This can happen, for example, when you video workers to detect crime, when you check telephone logs to detect excessive private use, and when you monitor e-mails or check internet use. • The Act doesn’t generally prevent monitoring. However, it sets out principles for the gathering and use of personal information. In short, data protection means that if monitoring has any adverse effect on workers, this must be justified by its benefit to the employer or others. • The Act requires openness. Workers should be aware of the nature, extent and reasons for any monitoring unless, exceptionally, covert monitoring is justified. Milano
Segue: che succede all’estero? Q Are there other points to consider for particular types of monitoring? • Be particularly careful when monitoring communications, such as e-mails, that are clearly personal. Avoid wherever possible opening e-mails, especially those that clearly show they are private or personal. Monitor the message’s address or heading only. • If it is necessary to check the e-mail accounts or voice-mails of workers in their absence, make sure they are aware this will happen. • Where video or audio monitoring is justified, target the monitoring, where possible, at areas of particular risk, and only use it where workers wouldn’t expect much privacy. • Ensure that if you use information for monitoring which is held by third parties, such as credit reference or electoral roll information, you can justify this. Take particular care with any information you hold about workers as a result of non-employment dealings with them, for example where they are also your customers. • If you are justified in obtaining information about a worker’s criminal convictions for monitoring, only do so through a ‘disclosure’ from the Criminal Records Bureau • If you monitor workers through information held by a credit reference agency, you must tell the agency what you will use the information for. Do not use a facility for carrying out credit checks on customers to monitor over workers. Milano
Segue: che succede all’estero? Q Can I ever undertake secret monitoring? • The covert monitoring of workers can rarely be justified. Do not carry it out unless it has been authorised at the highest level in your business. You should be satisfied that there are grounds for suspecting criminal activity or equivalent malpractice, and that telling people about the monitoring would make it difficult to prevent or detect such wrongdoing. • Use covert monitoring only as part of a specific investigation, and stop when the investigation has been completed. Do not use covert monitoring in places such as toilets or private offices unless you suspect serious crime and intend to involve the police. Milano
Notazioni conclusive. Segue SENTENZA N. 18279 DEL 5 AGOSTO 2010 La S. C. ha statuito che il richiamo ad opera di una parte processuale al doveroso rispetto del diritto (suo o di un terzo) alla privacy - cui il legislatore assicura in ogni sede adeguati strumenti di garanzia - non può legittimare una violazione del diritto di difesa, diritto inviolabile in ogni stato e grado del procedimento (art. 24, comma 2, Cost. ) che non può incontrare, nel suo esercizio, ostacoli ed impedimenti nell’accertamento della verità materiale a fronte di gravi addebiti (nella specie, asserite molestie sessuali nei confronti di una collega di lavoro), suscettibili di determinare ricadute pregiudizievoli per la controparte in termini di irreparabile vulnus alla sua onorabilità o la perdita di altri diritti fondamentali (come il diritto al posto di lavoro). Milano
Notazioni conclusive. Segue Provvedimento Garante 23 settembre 2010 doc. web n. 1756065 (conforme doc. web n. 1779765 17. 11. 10) Dagli elementi sopra riportati – noti a entrambe le parti e non contestati nella loro componente fattuale – risulta, pertanto, che, effettivamente, gli avvocati YY e ZZ e KK hanno trattato dati personali giudiziari (art. 4, comma 1, lett. e) del Codice) relativi al sig. XY. Il trattamento è consistito nella produzione nel giudizio in corso fra le parti avanti al Tribunale civile di KW di una sentenza penale di condanna a carico del segnalante contenente i predetti dati, parzialmente riportati nella memoria giudiziale di costituzione e difesa con domanda riconvenzionale redatta dai convenuti. In tale situazione, spetta al Giudice adito - ove ritualmente richiesto - stabilire se tale trattamento sia lecito. L'art. 160, comma 6, del Codice stabilisce, infatti, che la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali, ancorché non conforme a disposizioni di legge o di regolamento, restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale. Milano
Notazioni conclusive. Segue Milano
Cass. Pen. Sz. III, n. 37197/2010. • Vanno distinte videoriprese di comportamenti comunicativi (uguali a intercettazioni) da riprese di comportamenti non comunicativi (solo condotte), nessun vincolo tranne la liceità della ripresa (tutela del domicilio); • Se le riprese però sono fatte si nel domicilio altrui ma da colui che non può esservi escluso (dipendente nel luogo di lavoro), la ripresa sia pure furtiva eseguita dal medesimo che documenta comportamenti illeciti altrui che lo riguardano (molestie sessuali) riguardando atti non comunicativi è lecita come prova atipica ed ammissibile in giudizio. Milano
Notazioni conclusive. Segue Cass. S. U. n. 3034/2011 In altri termini deve ritenersi che la disciplina generale in tema di trattamento dei dati personali subisca deroghe ed eccezioni quando si tratti di far valere in giudizio il diritto di difesa, le cui modalità di attuazione risultano disciplinate dal codice di rito. Deve dunque concludersi che se è astrattamente legittima l'utilizzazione del dato personale altrui a fine di giustizia, e se l'atto processuale che lo contiene risulta essere stato posto in essere nell'osservanza del codice di rito non è configurabile alcuna lesione del diritto alla privacy. Milano
Notazioni conclusive. Bilanciamento degli interessi in gioco. Necessità di predisposizione di policy adeguate. Principio della minore intrusività possibile del controllo. Rispetto delle procedure di cui all’art. 4 l. n. 300/70, se ricorre il caso. Caso CEDU KU v. Finlandia: viola art 13 norma che impedisce accertamento responsabile di reato. Milano
Grazie per attenzione Via Podgora, 1 Milano T+39 02 546 95 22 Email studio@stanchilaw. it Milano
766fbac888b81a6944cf760190fefa58.ppt