Per capire e conoscere questo sottile confine occorre che ambo le parti conoscano le leggi in materia e soprattutto come queste gestiscono le apparecchiature informatiche lasciate in uso ai dipendenti.

Occorre partire da un assunto che deve essere fisso ed inamovibile tanto per l’azienda quanto per i lavoratori. Accettando questa regola, e non se ne può fare a meno, possiamo concordare che il controllo messo in essere dall’azienda può essere fatto purché sviluppato attraverso metodi leciti, conosciuti e trasparenti informando i dipendenti dell’eventualità che vengano sottoposti a controllo.

Se sia nato prima l’uovo e poi la gallina è un dubbio che ci porteremo dietro per molto tempo e comunque fin tanto che le contrapposizioni fra le parti continueranno a nascondere dietro i vari diritti le magagne delle aziende, come dei lavoratori.

A ben leggere in materia di privacy possiamo affermare che il legislatore ha già sentito il bisogno di affrontare questo argomento nel momento storico in cui ha validato la legge 300 del 1970, “lo Statuto dei Lavoratori”.

Senza entrare nello specifico dello statuto citiamo solo l’art. 8 dello statuto che riguarda i divieti di indagine sulle opinioni, che dichiara “È fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.”

Ma in contrapposizione a questo e a tanti altri articoli bisogna anche dire che il CCNL al titolo XXV (doveri del personale e norme disciplinari) parla e detta le regole, obblighi e divieti in carico al dipendente.

Ma per meglio comprendere le norme, le concrete attuazioni ed i limiti quando i due interessi vanno in contrapposizione occorre adesso cominciare ad analizzare qualche caso pratico che accompagna le due realtà in modo praticamente giornaliero.

Ad esempio le aziende e per esse i datori di lavoro vogliono e devono garantire efficaci livelli di sicurezza ( a volte ma non sempre queste sono normate nelle policy aziendali relative alla sicurezza) della rete aziendale monitorando il traffico web sviluppato nell’arco della giornata lavorativa dai propri dipendenti, senza però volerne violare la privacy e la riservatezza delle informazioni che i dipendenti inviano o ricevono tramite terminale.

Queste tipologie di controlli possono essere definiti leciti purché vengano effettuati nel rispetto del divieto del controllo a distanza del lavoratore.

Traducendo significa che l’azienda e per essa i suoi organi, per i soli motivi di sicurezza, può decidere regole stringenti attraverso le quali ad esempio vieta l’accesso a determinati siti internet perché ritenuti dannosi e pericolosi per la sicurezza.

Ma attenzione all’applicazione di questa regola, si può evitare l’accesso secondo le regole determinate in precedenza, ma per nessun motivo si deve cercare di appurare l’eventuale utilizzo “privato” o pericoloso dell’accesso a Internet da parte del dipendente utilizzando software di monitoraggio, e ancor di più non si possono in alcun modo verificare i contenuti dei siti utilizzati in quanto ciò comporterebbe senza nessuna ombra di dubbio la violazione della privacy del dipendente.

Per cui se da un lato si può verificare e dall’altro non se ne può constatare cosa succede? Sicuramente costituisce elemento sanzionatorio per il dipendente, il riscontro ad aver navigato su siti definiti pericolosi o comunque per fini personali, ma la sanzione deve limitarsi all’accesso a questi siti e non può in alcun modo comportare la verifica dei contenuti perché ciò comporterebbe una grave limitazione della privacy.

Stessa regola vale per i lavoratori che contengono sulle apparecchiature aziendali software personale.

Come detto all’inizio, la verifica deve essere fatta in maniera lecita e trasparente e avendo provveduto ad informare i dipendenti dell’eventualità di controlli mirati.

I problemi di oggi sono stati evidenziati già nel passato infatti già lo statuto dei lavoratori all’art. 4 Impianti audiovisivi, dichiarava:

È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori.
Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. …………………….”

Ad oggi la situazione, anche alla luce di una sentenza n. 20722/2010 della Corte di Cassazione è che, l’azienda può controllare a distanza, attraverso apparecchiature di videosorveglianza, i lavoratori dipendenti che tengono comportamenti illeciti superando quindi l’articolo 4 dello Statuto dei Lavoratori.

A dare maggiore forza alla possibilità che la videosorveglianza sia lecita vi è poi lasentenza 11 giugno 2012, n. 22611 della Cassazione nella quale la Corte ha accolto il ricorso di un datore di lavoro già condannato per aver fatto installare un sistema di videosorveglianza, oltretutto con due telecamere direttamente orientate sulle postazioni di lavoro.

In proposito di videosorveglianza naturalmente si è espresso anche il garante che ha richiamato proprio l’art. 4 dello statuto dei lavoratori. In buona sostanza Il Garante della privacy vieta l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, a meno che la loro installazione non sia richiesta da esigenze organizzative e/o produttive oppure non sia resa opportuna dalla necessità di garantire la sicurezza del lavoro.

Specificando e rafforzando ove mai ve ne fosse stato bisogno che l’installazione e l’uso degli strumenti di videosorveglianza in azienda dovranno essere preceduti da un accordo con i sindacati presenti in azienda, ed in sua mancanza deputando l’Ispettorato del lavoro competente a:

  • effettuare un sopralluogo per verificare, in particolare, se l’angolo di ripresa delle telecamere sia o meno compatibile con il divieto sancito dalla legge;
  • indicare le prescrizioni da osservare e le modalità d’uso degli impianti.

Riportandosi alla pratica quotidiana la normativa permette la videosorveglianza solo se volta a tutelare ed accertare comportamenti illeciti da parte dei lavoratori. Esempi classici sono ad esempio la videosorveglianza per verificare ammanchi di cassa o di materiale dagli ambiente di lavoro.

Resta inteso che l’installazione di apparecchiature di controllo può avvenire solo dopo accordo con le rappresentanze sindacali.

Si tenga nella dovuta considerazione che nei casi in cui i riscontri sono vietati non è possibile attribuire alle riprese alcun valore probatorio né per fini disciplinari né risarcitori, ed inoltre per chi utilizza sistemi non autorizzati di sorveglianza a distanza dell’attività del lavoratore sono previste sanzioni penali come l’arresto nonché sanzioni amministrative che possono arrivare anche a 36.000 euro.

Ma vediamo bene alcuni software di monitoraggio dei dipendenti.

Come abbiamo già detto, il controllo informatico sui dipendenti in Italia è vincolato a severe norme a tutela della privacy dei lavoratori. Tuttavia, essendo validi alcuni controlli in casi particolari, in commercio esistono diversi software di monitoraggio

Prima si proseguire spieghiamo meglio che con il termine software di monitoraggio intendiamo quegli applicativi software che stando in “ascolto” sulla rete captano e conservano le informazioni che passano sulla rete aziendale, questi software sono utilizzati spesso per monitorare prima e migliorare poi il consumo delle risorse aziendali come potrebbe essere ad esempio la Banda di navigazione.

Per spiegare bene cosa possono fare questi software ne citiamo e ne spieghiamo per grandi linee qualcuno, come ad esempio:

Activity Monitor – E’ un software che permette di monitorare la LAN aziendale (la rete quindi) restituendo informazioni sulle attività che gli utenti (quindi i dipendenti) compiono sulla rete. E’ un software client/server, necessita quindi sia dell’installazione lato server che però può essere effettuata su qualsiasi computer sia dell’installazione lato client che deve essere effettuata sui computer della rete da monitorare. Il software installato in locale, quello che in termine tecnico viene chiamato agent, capta le operazioni svolte e le invia al server. Stiamo parlando di un software abbastanza sviluppato che può registrare molte operazioni tra cui alcune sono:

  • utilizzo di internet;

o sit su cui si è acceduto

o messaggi mail

o messaggi IM

  • utilizzo dei software installati sul pc;
  • utilizzo e interpretazione attraverso funzionalità di Keylog di cosa viene digitato sulla tastiera (attenzione quindi anche password);

NetVizor permette, invece, di monitorare tutte le attività che si susseguono sulla rete in tempo reale da una postazione centralizzata.

E’ un software in grado di fornire una serie di informazioni su tutti i client collegati attraverso un semplice clic del mouse. L’amministratore può connettersi ai Pc client posti sulla rete utilizzando una connessione remota.

Il software permette di memorizzare in un file log una serie di informazioni come ad esempio siti web visitati, password inserite, conversazioni di chat, email inviate e ricevute, applicazioni eseguite e cartelle aperte.

Realtime-Spy è un software spia di alta tecnologia valido per il monitoraggio a distanza sia dei computer di una rete sia di un singolo computer e permette di installare l’agent da remoto. Non c’è bisogno di ricordare gli indirizzi IP o direttamente la connessione al PC remoto – tutto quello che occorre fare è puntare il browser al proprio Realtime-Spy.

Realtime-Spy può registrare qualsiasi cosa un utente fa sul computer, e permette la visualizzazione, in tempo reale, di ciò che gli utenti stanno facendo e digitando.

Con questo software è tra l’altro possibile:

  • monitorare l’uso completo di internet, non solo i siti vistati ma anche il tempo speso nella navigazione
  • scattare screenshot del desktop per visualizzare le attività del computer in un dato momento
  • monitorare l’uso delle chat
  • sapere quali programmi sono stati utilizzati e per quanto tempo
  • registrare tutti i tasti digitati sulla tastiera

Internet Access Monitor è un software che permette di monitorare l’utilizzo della banda Internet su rete aziendale, elencando i maggiori fruitori in termini di tempo e byte scaricati, fino a delineare la qualità degli oggetti navigati.

Il software produce inoltre report periodici che sintetizzano i dati raccolti: per ogni accesso web o per ogni file scaricato, viene effettuata una registrazione in un file di log.

Il software elabora i file di log, fornendo ai controllori normalmente gli amministratori di rete una serie di report, ed includono:

  • download di file;
  • lettura di testi;
  • visualizzazione di immagini;
  • ascolto di musica;
  • ed altro.

Naturalmente, come abbiamo visto, è chiaro che l’utilizzo di questi software porta con se tanti aspetti che violano la normativa italiana in riferimento alla privacy dei dipendenti.

In Italia le norme prevedono che i dipendenti debbano essere avvisati in anticipo della presenza di software di questo tipo e comunque di qualsiasi strumento che verifica con certezza l’identità di una persona condizionandone il comportamento lavorativo, da cui è facile intuire che non è consentito l’uso dei log che permettono di ricostruire la sequenza dei tasti digitati, entrando nel merito dell’attività del lavoratore, nè la presenza nascosta dell’agent.

Determinato quindi che l’uso di questi software se non in circostanza particolari e senza scendere nei dettagli privati delle varie attività è fuori legge, vediamo però come possono essere usati in azienda senza generare aspetti di contrapposizione tra azienda e lavoratori.

Un utilizzo valido e quindi lecito di questi software è sicuramente l’uso preventivo dello stesso.

Un software di tal genere può essere preventivo quando in anticipo bloccano

  • tipologie di siti;
  • di categorie e in questo caso ci riferiamo alle chat (naturalmente non quella aziendale ed i vari social networks;
  • limitazione per le mail come ad esempio la grandezza dei file che si possono allegare alla stessa.

Così facendo si riduce al minimo la possibilità che il dipendente operi in contrapposizione alle regole della professionalità, dell’onestà e della correttezza che deve tenere in azienda.

In questo modo si evita che il dipendente possa attuare dei comportamenti “sbagliati” senza l’esigenza di doverlo controllare passo passo.

Prima dell’implementazione di ognuna di queste restrizioni è comunque necessario avvisare il personale per richiamarlo alle proprie responsabilità e doveri lavorativi, ed è obbligatorio condividere la policy aziendale che si intende attuare. Solo attraverso una politica condivisa, chiara, trasparente e sincera si realizzano i presupposti per una collaborazione proficua e basata su una rinnovata fiducia. Come dire, patti chiari, amicizia lunga!

Analizziamo un caso pratico per verificare i limiti dei controlli che un’ azienda può effettuare.

In proposito prendiamo ad esempio uno dei più classici conflitti tra produttività, sicurezza e privacy: il monitoraggio online della banda Internet utilizzata.

Tale monitoraggio può e anzi deve essere fatto per fini produttivi, purché i dati non vengano storicizzati e collegati ad uno specifico dipendente. Difatti quest’ultima pratica renderebbe il controllo oltre i limiti di legge e lo renderebbe quindi inservibile per eventuali contestazioni.

Tradotto in poche e semplici parole è ammesso il controllo della banda internet ai soli fini statistici da dedicarsi alla relazione con la produttività, ma in nessun modo il controllo può diventare personale rispetto ai singoli dipendenti. Del resto recenti sentenze hanno sempre dato ragione al dipendente quando questi ha contestato all’azienda comportamenti mirati al controllo personale e laddove le aziende avevano provveduto al licenziamento ne è stato disposto il reintegro.

Nel nostro caso le aziende possono ad esempio:

  • mettere un limite preventivo ai download dei dipendenti
  • mettere una limitazione in banda fissata sul proxy,
  • mettere blocchi ad una seria di siti internet perché ritenuti pericolosi, dispersivi della professionalità o addirittura nocivi

Naturalmente è cosa buona e giusta, e tutela ambedue le parti che l’azienda inserisca questi limiti nella propria policy di sicurezza e ne dia ampia conoscenza ai lavoratori.

Le aziende hanno naturalmente una rete ed una connettività alle quali normalmente hanno libero accesso i lavoratori. In tal senso le verifiche informatiche sulla gestione del traffico sviluppato su internet non possono eccedere il limite dettato dalle normative, e quindi non possono in alcun modo essere utilizzate per verificare il comportamento del lavoratore.

Nel tempo la giurisprudenza ha definito illecita la conservazione dei dati della cache. In ambito IT, i provvedimenti riguardano il monitoraggio “all’insaputa dei lavoratori” della posta elettronica e delle pagine visitate via Internet.

Il datore di lavoro ha l’obbligo di indicare chiaramente e in modo particolareggiato quali usi sono consentiti per questi strumenti, se vengono effettuati controlli e con quali modalità, in che orari vigono divieti e o permessi, in quale misura ne è consentito l’uso, quali informazioni sono memorizzate e per quanto tempo, chi ha accesso a tali dati e in quale misura e per quali ragioni possono aver luogo delle verifiche.

In ogni caso, vige su tutto il divieto di ricostruire l‘attività del lavoratore, anche tramite apparecchiatura software. E’ dunque illecita:

  • la lettura e registrazione dei messaggi di posta elettronica del lavoratore;
  • la riproduzione ed eventuale memorizzazione delle pagine web visualizzate dal lavoratore (usando la cache dei proxy);
  • la lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
  • l’analisi occulta di computer portatili affidati in uso.

Sono solo consentite, le misure preventive, che limitano alla fonte un uso improprio dei mezzi informatici. In ambito web si tratta dell’accesso limitato ad alcune categorie di siti (social network, porno, musica altro) e la dimensione dei file scaricabili. Per la posta, il datore di lavoro – nell‘ambito di particolari attività lavorative – deve prevedere indirizzi postali che siano accessibili senza ricorrere alla posta elettronica del singolo dipendente, nel caso in cui questo non sia presente in azienda (malattia, ferie).

Vale in generale il principio della liceità del controllo solo se sono rispettati i principi di pertinenza e non eccedenza. Sono quindi giudicati inammissibili i controlli prolungati, costanti o indiscriminati. In particolare, in ambito di conservazione dei dati, i sistemi software devono essere programmati e configurati in modo da cancellare periodicamente e automaticamente (attraverso procedure di sovra-registrazione come, ad esempio, la rotazione dei log file) i dati personali relativi agli accessi a Internet e al traffico telematico, la cui conservazione non sia ritenuta necessaria.