7 marzo 2011
Divieto per il datore di lavoro di accedere alle informazioni personali del dipendente contenute nel suo computer
Sulla Newsletter n. 346 del 1°marzo 2011 il Garante per la privacy informa del suo provvedimento del 23 dicembre 2010 [doc. web n. 1786116] con il quale inibisce a un datore di lavoro di accedere e trattare le informazioni personali estranee all’attività lavorativa contenute in un computer aziendale assegnato a un dipendente in seguito licenziato che ha presentato ricorso contro la pretesa del datore di lavoro.
La pronuncia dell’Authority è molto interessante, perché dà un’idea di quanto siano forti le barriere poste dalla normativa sulla tutela della privacy di fronte ad una pretesa del datore di lavoro che, a prima vista, potrebbe apparire assolutamente legittima.
Nel caso in questione il Garante, ha deciso sul ricorso di un dipendente che chiedeva al suo ex datore di lavoro di cancellare alcune cartelle personali presenti nel computer portatile restituito dopo il licenziamento, opponendosi ad ogni ulteriore uso dei suoi dati contenuti nel notebook.
Il lavoratore ricorrente aveva sostenuto che nelle cartelle personali contenute nel notebook erano conservate e-mail, fotografie e altra documentazione di carattere esclusivamente personale. L’azienda resistente, invece, aveva affermato che proprio in quel materiale potevano essere presenti prove della concorrenza sleale posta in essere dal lavoratore insieme ad altri colleghi. Pertanto l’azienda voleva mettere l’hard disk del computer (senza alterarlo) a disposizione dell’autorità giudiziaria per far valere i propri diritti nei confronti dell’ex dipendente.
Il Garante, decidendo sul ricorso, non ha accolto la richiesta del dipendente di far cancellare i dati, ma ha vietato all’azienda l’accesso alle cartelle private, poiché il trattamento dei dati personali estranei all’attività lavorativa avrebbe violato i principi di pertinenza e non eccedenza previsti dal D.Lgs. 196/03.
A nulla sono valse le argomentazioni del datore di lavoro di aver operato nel rispetto anche del regolamento aziendale secondo il quale gli strumenti aziendali potevano essere sottoposti “a verifiche e controlli da parte dell’azienda per verificarne il legittimo utilizzo”.
Secondo il Garante, infatti, il datore di lavoro può riservarsi anche di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro, ma, nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché i principi di correttezza, di pertinenza e non eccedenza (art. 11, comma 1, D.Lgs. 196/03), anche perchè tali controlli, indipendentemente dalla loro liceità, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonee a rivelare dati sensibili del dipendente.
In sostanza, secondo l’Authority, l’eventuale accesso da parte dell’azienda resistente alle directory indicate dal ricorrente contenute nel notebook comporterebbe il trattamento di dati personali estranei all’attività lavorativa. Pertanto, l’Authority ha stabilito che l’azienda non può accedere ai file del dipendente, ma può solo conservarli per far valere i suoi diritti in giudizio, utilizzandoli come prova nel contenzioso penale, ma questo solamente su precisa disposizione del giudice che disponga l’acquisizione dei dati contenuti nell’hard disk del computer.
In sostanza, secondo il Garante, il diritto alla riservatezza dei lavoratori deve essere bilanciato con la possibilità per le imprese di tutelarsi nell’ambito di eventuali procedimenti penali.
Scritto il 8-3-2011 alle ore 12:04
Post molto interessante.
Riguardo al regolamento interno richiamato dall’azienda, credo poi che lo stesso non possa violare diritti derivanti da leggi “sovrane“ come quella sul diritto alla Privacy i cui prodromi, almeno riguardo ai rapporti azienda/lavoratori, si trovano anche nello Statuto dei lavoratori. Che dice?
Grazie.
Scritto il 8-3-2011 alle ore 13:06
Dico che ha perfettamente ragione.
Il regolamento interno deve neccessariamente inserirsi in un contesto di leggi e regolamenti previgenti. Il datore di lavoro dovrà quindi necessariamente rispettare le leggi dello Stato e i regolamenti che vincolano le Pubbliche Amministrazioni. Anche Il T.U. sulla privacy non è avulso dalle norme previgenti che disciplinano settori specifici; inoltre, gli artt. 113 e 114 del D.Lgs. 196/03 richiamano espressamente gli artt. 8 e 4 della L. 300/70, stabilendo (e non potrebbe essere diversamente) che resta fermo quanto disposto dai medesimi.
Per quanto attiene specificatamente alla tutela della privacy poi, il datore di lavoro, nel redigere il proprio regolamento interno, dovrà anche osservare i vari provvedimenti del Garante che riguardano il rapporto di lavoro, come ad esempio: la deliberaz. n.53 del 23/11/2006 contenente le linee guida per il trattammento di dati per la gestione del rapporto di lavoro; il provv. gen. del 1/3/2007 contenente le linee guida per la posta elettronica e internet; il provv. gen. del 19/4/2007 contenente le linee guida per il trattammento di dati per la gestione del rapporto di lavoro in ambito pubblico; il paragrafo 4.1 del provv. gen. dell’8 aprile 2010 sulla videosorveglianza; ecc.
Scritto il 12-3-2011 alle ore 10:05
Forse il regolamento interno dovrebbe proibire di installare sui computers aziendali informazioni private e non pertinenti con l’attività aziendale.
Credo e ritengo nel pieno rispetto della normativa.
Scritto il 12-3-2011 alle ore 12:00
Ha perfettamente ragione Mauro! Infatti, è proprio quello che, tra le altre cose, inserisco nei regolamenti interni che predispongo per le aziende.
Scritto il 6-11-2011 alle ore 17:32
un amministratore di una società(spa)consultare le buste paghe dei dipendenti della stessa?
Grazie
Scritto il 6-11-2011 alle ore 20:08
A mio avviso è corretto l’accesso da parte di un amministratore di una società ai dati retributivi dei dipendenti della società stessa. Devono, invece, essere mantenuti riservati quei dati più specifici che derivano dalla considerazione di vicende diverse dalla retribuzione in senso stretto e relative a circostanze personali o familiari tali da poter avere natura di “dati sensibili” (ad es. l’esistenza di determinate ritenute previdenziali e assistenziali; le cessioni di stipendio; le deleghe per iscrizioni ad associazioni sindacali; i permessi per motivi di salute dei familiari, ecc.).
La legge sulla privacy considera le informazioni relative alle retribuzioni e alle altre indennità come “dati personali”, qualora esse siano collegate a persone fisiche identificate o identificabili. Tuttavia, l’applicabilità di tale legge non comporta necessariamente un regime di assoluta riservatezza dei dati, dovendosi verificare caso per caso se sussistono altri diritti o interessi meritevoli di pari o superiore tutela. Pertanto, i dati personali concernenti le retribuzioni sono da ritenersi conoscibili da parte di chiunque vi abbia un legittimo interesse, come può essere l’amministratore della società. Non può quindi ritenersi prevalente – a mio parere – l’eventuale interesse del dipendente alla riservatezza sulle somme percepite a titolo di retribuzione o di corrispettivo.
Scritto il 13-5-2012 alle ore 11:54
Salve,
io ho una domanda in merito. Se un dipendente rende inaccessibili i dati dell’azienda, all’interno di un Personal Computer all’interno dell’azienda stessa, a quali può andare incontro?
Scritto il 13-5-2012 alle ore 12:17
Posto che il pc aziendale è uno strumento di lavoro e come tale deve essere trattato dal dipendente, se i dati caricati sul computer sono “aziendali” non vi è alcun dubbio che il datore di lavoro possa legittimamente accedervi e che se il dipendente rifiuta/impedisce l’accesso può essere soggetto ad una sanzione disciplinare.
Va però osservato che nel pc aziendale potrebbero risiedere anche dati “personali” del dipendente e che il datore di lavoro deve comunque rispettare la sua privacy. Perciò è necessario che il datore di lavoro adotti un regolamento aziendale che stabilisca qual è l’uso corretto del pc assegnato ai dipendenti e che definisca in quali casi e con quali modalità egli possa effettuare il controllo sulla posta elettronica e la navigazione in internet dei dipendenti (vedi provv. gen. del 1/3/2007 del Garante contenente le linee guida per la posta elettronica e internet).
Scritto il 13-5-2012 alle ore 12:24
Il dipendente ha tutto il diritto di proteggere i suoi dato, ma per quello in questo caso si tratta di negato accesso all’unica postazione della mia piccola impresa dove è posta la contabilità aziendale, alla quale in questo momento non mi è possibile accederci perchè il dipendente si rifiuta di darmene accesso.
Scritto il 13-5-2012 alle ore 17:19
Simone, evidentemente il suo dipendente ha qualcosa da nascondere….
In ogni caso alla contabilità aziendale è suo diritto accedere!
Scritto il 15-5-2012 alle ore 15:53
salve
avrei una domanda da farle
la situazione e’: medico di base con ambulatorio presso struttura in cui operano piu’ medici (ognuno pero’ ha propria stanza con prpprio pc)
i pc sono collegati in rete e ogni medico con la pass di chi sostituisce puo’ accedere nell’archivio di quello per cui deve effettaure le sostituzioni (hanno questi accordi)
uno di questi si vuole mettere a posto con privacy. cosa fare? nominare gli altri medici incaricati, responsabili esterno o altro? possono usare la pass del medico che sostituiscono ovviamente dietro sua autorizzazione e come procedere?
grazie
Scritto il 15-5-2012 alle ore 16:43
Buonasera Carla.
La situazione da lei descritta è molto frequente (anche il mio medico è organizzato così), ma non è in regola con la normativa sulla privacy. A mio modo di vedere i vari medici presenti nell’ambulatorio sono autonomi titolari del trattamento, o tutt’al più sono contitolari del trattamento riferito ai medesimi pazienti. Non sono certamente incaricati o responsabili del trattamento. Inoltre, non può”mettersi a posto con la privacy” un solo medico: o lo fanno tutti i medici presenti nell’ambulatorio o non serve a nulla.
Mi spiego meglio. La prima cosa da fare è regolarizzare l’utilizzo delle password. Non basta essere “autorizzati” per poter utilizzare la password altrui. La legge sulla privacy non lo consente, anzi lo vieta espressamente. Ogni utente della rete deve avere il proprio account (username + password) individuale e la password deve assolutamente essere mantenuta segreta, deve essere formata da almeno 8 caratteri ed essere cambiata minimo ogni 3 mesi (perché i medici trattano dati “sensibili”). Se vi è la necessità che diversi dottori accedano ai medesimi dati loggandosi dal pc di un collega assente, lo possono fare solo utilizzando le proprie credenziali individuali (username + password), perché la legge richiede che si debba poter sapere in qualunque momento chi ha avuto accesso a che cosa, e ciò non sarebbe possibile se venissero utilizzate le credenziali altrui. La cosa tecnicamente è molto semplice. Basta interpellare la software house che gestisce la rete LAN dell’ambulatorio e dirgli di fare in modo (sul server) che i vari dottori presenti nell’ambulatorio possano accedere a tutti i dati e alle cartelle alle quali hanno la necessità di accedere (comprese quelle dei colleghi), ma solo autenticandosi (cioè facendosi riconoscere dal pc) con le proprie credenziali. Tutto questo è chiaramente indicato nel Disciplinare Tecnico sulle misure minime di sicurezza, contenuto nell’allegato B) al D.Lgs. n. 196/03 Codice della privacy.
Scritto il 21-6-2012 alle ore 22:02
Ho scoperto per puro caso che la mia ex-resposnabile ha copiato parte dei miei files inseriti in C: e la messa su una cartelle condivisa. In detta cartella c’erano anche file persoanle. Oltretutto l’ha fatto senza chiedermi il permesso è legittimo?
Scritto il 26-6-2012 alle ore 19:32
No sig. Niccolai, non è assolutamente legittimo ciò che ha fatto la sua responsabile!
Scritto il 17-8-2012 alle ore 16:22
Buon pomeriggio Sig. Polacchini, le chiedo gentilmente un informazione, durante le mie ferie il mio capo ha utilizzato il mio PC e qui nessun problema ero al corrente della cosa, il problema è che ha cancellato delle impostazioni (regole di ricezione messaggi) su OUTLOOK, ricevendo centinaia di email al giornio lo smitamento automatico è per me molto utile nell’organizzazione del mio lavoro, il prblema per me è che ora devo reimpostare il tutto, lavoro che mi portera via parecchio tempo. Le chiedo quindi se l’aver modificato le impostazioni del mio Outlook il mio capo ha fatto una cosa a lui permessa o posso giustamente fargli presente che non avrebbe potuto farlo?Grazie mille.
Cordiali saluti
Giorgio Casatta
Scritto il 18-8-2012 alle ore 08:16
Giorgio, nonostante il pc aziendale sia uno strumento di lavoro di proprietà dell’azienda, ritengo che il suo datore di lavoro non avrebbe potuto modificare le impostazioni della casella di posta del pc assegnatole senza averglielo prima comunicato.
Scritto il 31-8-2012 alle ore 13:19
Buongiorno, e grazie di ospitarmi.
Volevo porle un quesito ancora sui dati retributivi: mi è capitato che in passato un mio alto dirigente, a sua discrezione e a mia insaputa, condividesse con un mio superiore (non dirigente) le informazioni sul mio RAL, a cui altrimenti quest’ultimo non aveva accesso mediante i preposti sistemi informativi aziendali.
Ciò apparentemente senza alcuna necessità diretta, in quanto il mio superiore non aveva nè accesso diretto a tali informazioni nè le deleghe sul mio stipendio (ad esempio non poteva autorizzare concessioni di incentivi o variazioni: semmai solo proporne al suo superiore).
Mi chiedevo quindi come debba/possa essere definibile il “legittimo interesse” a conoscere/diffondere i dati retributivi di un dipendente e se – a suo avviso – ho gli elementi per contestare la condotta del dirigente che diffuse i dati che mi riguardavano.
Grazie e cordiali saluti.
Scritto il 31-8-2012 alle ore 18:12
Gianni non è facile rispondere alla sua domanda.
Il concetto di “legittimo interesse” non è definibile a priori, ma deriva dalle decisioni dei giudici di merito nel singolo caso loro prospettato.
Lei dice che il dirigente apparentemente non aveva alcuna necessità di conoscere la sua RAL, ma per contestare il suo accesso ai dati personali che la riguardano lei dovrebbe essere assolutamente sicuro di ciò. Il rischio è quello di avviare un inutile contenzioso che, dati i rapporti gerarchici esistenti all’interno della sua azienda, potrebbe solo esporla a spiacevoli conseguenze.
Purtroppo le cause per violazione della privacy in ambito aziendale di solito vengono promosse solo all’atto della cessazione del rapporto, quando il dipendente non ha da temere possibili ritorsioni…
Scritto il 10-9-2012 alle ore 15:11
Buon giorno,
oggi mi è stata contestato che durante il mio periodo di ferie, in seguito ad un’attività di manutenzione(della quale non sono stato avvisato) del computer aziendale a me in uso sono state rinvenute, nella parte del disco rigido a me riservata tramite password, numerose immagini definite “pornografiche”. In aggiunta, tra le immagini salvate sul computer a me assegnato sono state trovate immagini col logo dell’azienda modificate in modo da rappresentare la stessa in modo denigratorio. Mi si contesta che tali contenuti sono in contrasto con le policy sull’utilizzo di tecnologie aziendali oltre che con il più generale dovere di diligenza previsto dall’art.1024 Cod.civ. è risultato altresì idonei a procurare grave nocumento morale all’azienda e alla sua immagine.
Sono attualmente sospeso dal lavoro in attesa di una mia giustificazione. La mia domanda è se detta procedura è lecita e su come dovrei eventualmente comportarmi e tutelarmi.
Grazie
Scritto il 10-9-2012 alle ore 18:23
mi correggo l’art. è il 2104 Cod. civ.
Scritto il 10-9-2012 alle ore 19:16
Massimo deve rivolgersi a un avvocato del lavoro.
Scritto il 16-11-2012 alle ore 23:35
Signor Polacchini,
Le chiedo una grande cortesia … mi aiuti a capire …
Sono una dipendente di una agenzia viaggi e oggi collegandomi alla mia posta aziendale ho visto che alle ore 13.00 la mia responsabile o da un altro ufficio o da casa è entrata nella mia mail e si è inoltrata una mail che ho ricevuto (un invito da parte di un T.O. per visitare una struttura) e me ne sono accorta in quanto ha dimenticato di cancellarla dalle mail inviate.
Sono in cassa integrazione e la mia giornata lavorativa iniziava alle ore 15,00.
Io, come da richiesta dell’azienda, ho fornito alla resp.le la mia pass. ma all’interno c’è una cartella personale con dati sensibili di mamma e papà entrambi con forte invalidità.
Le comunico inoltre che tutte noi invece oltre ad avere la mail personale possiamo vedere senza passw. quella generale.
Le chiedo gentilmente se posso fare le mie dimostranze direttamente in Direzione. La mia agenzia fa parte di un gruppo di 28 agenzie e la sede è a 150 KM.
Rimango in attesa di un Suo gentile riscontro e La ringrazio.
Monica
Scritto il 18-11-2012 alle ore 15:57
Monica, mi pare che, anche alla luce di varie pronunce dell’Autorità Garante per la protezione dei dati personali e della giurisprudenza, lei abbia pienamente diritto a lamentare una violazione della sua privacy a seguito dell’accesso da parte del suo datore di lavoro nella sua casella di posta elettronica.
Il controllo delle mail inviate/ricevute dal dipendente è lecito, ma va fatto adottando opportune garanzie di rispetto delle informazioni di carattere personale del dipendente (vedi provvedimento del Garante n. 13 del 1 marzo 2007).
Le sue rimostranze mi paiono più che legittime.
Scritto il 11-3-2013 alle ore 17:23
È possibile che il mio datore di lavoro abbia cancella ti il mio account lavorativo mentre sono in maternità anticipata?? Lo può fare???
Scritto il 11-3-2013 alle ore 18:26
Mila, la sua domanda non ha una risposta secca: bisogna vedere le motivazioni (magari di caratere tecnico).
In ogni caso il computer aziendale è e rimane sempre uno strumento di lavoro di proprietà dell’azienda, come pure la casella di posta elettronica aziendale assegnata al dipendente; pertanto il datore di lavoro può legittimamente disporne.
Cosa diversa è se il datore di lavoro, in assenza del lavoratore, accede alla sua casella di posta. Questo è ammesso solo con il rispetto delle particolari garanzie e con i imiti stabiliti dal Garante per la privacy nel provvedimento del 1° marzo 2007 (Linee guida per la posta elettronica e internet).
Scritto il 23-4-2013 alle ore 13:45
Gent.mo Dott.
costretta a casa a seguito di un delicato ed improvviso intervento chirurgico – di cui avevo informato l’AD dell’azienda in cui lavoro il giorno stesso del ricovero – è accaduto quanto segue:
1.l’AD mi ha fatta contattare, 3gg dopo l’intervento, al cell aziendale da una collega per chiedermi di inviarmi alcuni file in mio possesso
2. l’AD mi ha fatto nuovamente contattare dalla stessa collega, dopo 4giorni, per richiedermi ulteriori file, per altro già da me inviati allo stesso numerosissime volte di cui l’ultima 10gg prima
3. il responsabile del personale mi ha mandato un sms su cell aziendale chiedendomi se leggevo le mail aziendali
4. il responsabile del personale mi ha mandato la seguente mail aziendale:
“Ciao Martina,
come stai? Volevamo sapere se puoi fornirci una data stimata del tuo rientro in azienda, e se sei in grado di controllare le email che ti stanno arrivando e nel caso gestirle e girarle alle tue colleghe in ufficio. Qualora tu non potessi rientrare al lavoro entro i prossimi uno o due giorni, o non fossi nelle condizioni di occuparti della corrispondenza che viene indirizzata dall’esterno (banche, clienti, fornitori), ti pregherei di informarci in modo che possiamo farlo al posto tuo. In tal caso, provvederemo a resettare la password del tuo utente, in modo da poter accedere al tuo computer e controllare, attraverso outlook, i messaggi che ti arrivano dall’esterno. Questo per evitare che eventuali messaggi importanti vengano ignorati senza risposta al mittente. Al tuo ritorno, potrai reimpostare la password in modo da avere accesso esclusivo al tuo pc.”
5. l’AD ha comunicato al responsabile del personale il motivo della mi assenza su cui avevo chiesto massima riservatezza
In merito vorrei sapere:
1. se i “solleciti”lavorativi ricevuti come descritto dal dipendente in malattia possano configurarsi come mobbing
2. se l’accesso alla mia mail è lecito
3. se l’informazione data dall’AD circa il mio stato di salute possa configurarsi come violazione della privacy/diritto alla riservatezza
La ringrazio anticipatamente per il suo tempo
Cordialmente