Cerca

Pagine

domenica 4 ottobre 2015

Privacy e controlli a distanza: uno scudo?

Prima di cominciare, devo fare pubblica ammenda. Io la legge sulla privacy l'ho sempre odiata, considerandola inutile, quando non dannosa, e comunque foriera di innumerevoli complicazioni lavorative di cui, sinceramente, non ho mai sentito il bisogno. Se poi ripenso a quando Garante era Rodotà-tà-tà... Ora, invece, mi tocca quasi parlarne bene.
Mi pare un raro caso, a pro nostro, di Heterogonie der Zwecke, per dirla con i nostrani fan di quel Paese le cui auto, da qualche giorno, sono un po' meno del popolo.
Bene. Coscienza lavata. D'altra parte
vidi una porta, e tre gradi di sotto
per gire ad essa, di color diversi,
dice il Sommo Poeta. Io ne ho fatti un paio. Venendo a noi.
Nel post precedente ho cercato di dimostrare che il clamore suscitato dalla riscrittura dell'art. 4 dello Statuto dei lavoratori non rappresenta, propriamente, un caso di much ado about nothing, nonostante i pareri, giornalistici e politici, di senso contrario. Per cui, non rientro in argomento, se non per ricordare la differenza fra i controlli a distanza "diretti", che restano vietati, ed i controlli "indiretti", i quali in sostanza divengono immediatamente leciti, laddove siano rispettate le disposizioni del Garante sulla privacy, e segnatamente (per quanto riguarda l'utilizzo di internet e delle e-mail aziendali) il Provvedimento del 1° marzo 2007.
In breve, i sistemi informativi aziendali si devono conformare: (a)  al principio di necessità, secondo cui i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi; (b) al principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note, in modo puntuale, ai lavoratori; (c)  ai criteri di determinatezza e legittimità dei trattamenti.
Questi principi, devono essere trasfusi in un "disciplinare interno redatto in modo chiaro e senza formule generiche". Ripeto: devono essere trasfusi in un "disciplinare interno redatto in modo chiaro e senza formule generiche". Dove questo disciplinare manca, il nuovo art. 4 dello Statuto non si applica. Ricordatevelo.
Il Garante, inoltre, prende in specifica considerazione i "controlli indiretti", evidenziando come il datore di lavoro sia in primo luogo chiamato a promuovere ogni opportuna misura, organizzativa e tecnologica, volta a prevenire il rischio di utilizzi impropri, in modo da minimizzare controlli (che implicano il trattamento di dati personali dei lavoratori) e relative misure "repressive". Ad esempio: rispetto all'utilizzo di internet, è preferibile rendere impossibile, a monte, l'accesso a un certo numero di siti , piuttosto che controllare la cache dei computer per vedere se quei medesimi siti siano stati effettivamente visitati; rispetto alla posta elettronica, è auspicabile che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori, valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato, metta a disposizione di ciascun lavoratore apposite funzionalità di sistema per inviare automaticamente, in caso di assenze, messaggi di risposta automatici.
Qualche protezione, resta. Ed i conti, d'altronde, si fanno soltanto in fondo.



Però... non è tutto oro quel che luccica. Dice espressamente il Garante che "i datori di lavoro privati..., se ricorrono i presupposti sopra indicati (v., in particolare, art. 4, secondo comma, dello Statuto), possono effettuare lecitamente il trattamento dei dati personali diversi da quelli sensibili. Ciò, può avvenire: ... c) anche in assenza del consenso, ma per effetto del presente provvedimento che individua un legittimo interesse al trattamento in applicazione della disciplina sul c.d. bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice ). Per tale bilanciamento si è tenuto conto delle garanzie che lo Statuto prevede per il controllo indiretto a distanza presupponendo non il consenso degli interessati, ma un accordo con le rappresentanze sindacali".
Non solo, ancora il Garante, già nel 2006, precisava: "il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza)".
In altri termini, le condotte datoriali anche volte al controllo indiretto dei lavoratori, laddove conosciute dai lavoratori stessi, con la novella dell'art. 4 divengono in sostanza tutte lecite, perché private del filtro "preventivo" del sindacato. In questo senso - ma sospetto per interessi opposti, visto i personaggi avicoli che frequenta - concordo con Luca Bolognini:

o, più scherzosamente, con le "nuove politiche" di questo supposto Marchionne:

Al di là degli scherzi, ribadisco: da ora in poi i lavoratori sono chiamati assolutamente a leggere, con grandissima attenzione, i documenti relativi alle policy aziendali in materia di privacy, perché proprio lì troveranno, con un po' di attenzione, le politiche dell'azienda in materia di utilizzo dei loro principali strumenti di lavoro (sopratutto per quanto riguarda l'accesso a Internet e l'utilizzo della posta elettronica).
Se anche un solo di coloro che leggono questo blog lo farà, non avrà sprecato tempo.

Nessun commento:

Posta un commento