GDPR: Schema per Controllo a Distanza - SPPD-RSMSEFT

Vai ai contenuti

Menu principale:

GDPR: Schema per Controllo a Distanza

AREA FORMAZIONE > DISPENSE FORMAZIONE > ISTRUTTORIA MANUALE
GDPR: Schema per Controllo a Distanza
La privacy europea è e sarà perennemente evolutiva!

AUDIT INTERNO: lista di controlli a distanza del lavoratore e privacy

L'art. 4 dello Statuto dei lavoratori (L. 300/1970), come novellato dall'art. 23 del D.Lgs. 151/2015, sospinge decisamente il tema del potere di controllo del datore di lavoro in un'area di con-dominio tra diritto del lavoro e normativa in materia di protezione dei dati personali.

La questione del corretto esercizio e dei limiti del potere di controllo datoriale, almeno quando si tratta di controllo a distanza, è complessa e tutt'altro che agevole da dipanare in molti casi e circostanze concrete, richiedendo una buona capacità di analisi e di valutazione, oltre che particolare prudenza nella scelta delle modalità di controllo. La tematica è abbondantemente trattata sia in dottrina che in giurisprudenza, prima e dopo la riforma del 2015, ciò derivando dalla particolare importanza del bene protetto dall'ordinamento, che per l'appunto è la dignità (e la libertà) dei lavoratori. Non casualmente – riteniamo - si parla di controllo a distanza delle attività dei lavoratori, non già dei lavoratori stessi: la dignità delle persone dei lavoratori costituisce l'argine, il confine non valicabile da parte del potere di controllo datoriale. D'altronde anche il datore di lavoro ha dei diritti, tra cui quello di tutelare il patrimonio aziendale: l'esigenza connessa è per l'appunto inserita, nel novellato art. 4 dello Statuto dei lavoratori, tra le finalità che giustificano il controllo a distanza.

La check list di seguito elaborata ha lo scopo di consentire a ciascun titolare/datore di lavoro di compiere una (quanto meno) prima verifica circa la conformità alla normativa vigente della propria organizzazione. Questa check list, tuttavia, non concerne tutte le forme di controllo a distanza, bensì  quelle che hanno a che fare con gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, oltre che con quelli “di registrazione degli accessi e delle presenze”, di cui al comma 2 del novellato art. 4. La caratteristica di queste fattispecie di controllo è che sono sottratte al previo accordo sindacale/autorizzazione da parte della Direzione territoriale del lavoro.

Come stabilire se il controllo a distanza sull'attività espletata mediante uno specifico strumento di lavoro ricada nel campo di applicazione del comma 1 – che impone l'accordo sindacale o l'autorizzazione - ovvero del comma 2 dell'art. 4? A parte la tipologia dei dispositivi di registrazione degli accessi e delle presenze, si distinguono gli strumenti necessari da quelli non necessari allo svolgimento della prestazione: dei primi si occupa appunto il comma 2 dell'art. 4, i secondi ricadono nel campo di applicazione del comma 1. Naturalmente ciò concentra il dibattito (e i problemi) su ciò che è o sia (ed in quali limiti) da ritenere 'necessario' allo svolgimento della singola prestazione di lavoro.

Dunque la odierna check list non riguarda, per esempio, l'eventuale installazione/utilizzo di apparecchi di videosorveglianza, né altrimenti l'impiego di strumenti “dai quali derivi – è il comma 1 dell'art. 4 – anche la possibilità di controllo a distanza dell'attività dei lavoratori”, laddove il controllo a distanza non concerna strumenti che sono necessari “per rendere la prestazione lavorativa”.

Per l'inquadramento della materia trattata dalla check list devesi tenere conto, in particolare, anche del contenuto: a) del comma 3 dell'art. 4, per il quale “le informazioni raccolte ai sensi del comma 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”; b) del provvedimento del Garante del 1 marzo 2007, avente ad oggetto le linee guida per posta elettronica ed internet. E' inoltre consigliabile tenere conto della Raccomandazione del Comitato dei Ministri del Consiglio d'Europa agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, n. 5/2015. In essa è degno di nota l'incipit del principio 15.1, per il quale “non dovrebbe essere consentito introdurre e utilizzare sistemi informativi e tecnologie aventi per scopo diretto e primario la sorveglianza dell'attività e del comportamento dei dipendenti”, principio comunque già operante nel nostro ordinamento giuridico.
Infine si avverte che, in coerenza con lo specifico scopo dichiarato (ut supra), la seguente check list non include lo sviluppo di quesiti connessi ai compiti e alle responsabilità dell'Amministratore di Sistema (o di funzione/soggetto equipollente), nonché al controllo che il titolare deve attuare sulle attività di monitoraggio dal medesimo eseguite (vedasi Provvedimento del Garante del 27 novembre 2008 e successivi).

CONTROLLI SUGLI STRUMENTI DI LAVORO E DI REGISTRAZIONE DI ACCESSI/PRESENZE

1. Ha il titolare/datore di lavoro formalmente individuato/definito gli strumenti di lavoro sui quali si esercita/si intende esercitare una attività di controllo a distanza delle attività dei lavoratori?

2. Ha il titolare/datore di lavoro distinto, tra essi, quelli che sono necessari (ed in quale misura/limite di utilizzo) allo svolgimento delle mansioni di lavoro, da quelli che invece non lo sono?

3. La individuazione degli strumenti necessari allo svolgimento delle prestazioni di lavoro è stata eventualmente condivisa con la rappresentanza dei lavoratori?

4. Detta individuazione riguarda (ivi includendo ove connesse, come di regola, le funzionalità dell'accesso ad internet e dei servizi di posta elettronica):

    • personal computers?
    • computers portatili?
    • computers palmari?
    • tablets?
    • telefoni cellulari/smartphones?
    • altro _____________________ ?

      • strumenti di registrazione degli accessi/uscite dai luoghi di lavoro?
      • dispositivi di registrazione degli accessi intra-aziendali?

5. Per tali strumenti/dispositivi ha il titolare/datore redatto e formalmente adottato un  documento contenente la 'policy' dell'organizzazione relativa alle condizioni e ai limiti del loro utilizzo (d'ora in poi solo 'policy')?

6. E' la policy comunicata a tutto il personale (dipendenti e collaboratori) interessato?

7. In particolare, ciò è avvenuto mediante:

      • la consegna a ciascuno del documento cartaceo?
      • la messa a disposizione del medesimo sulla rete intranet aziendale?
      • la sua affissione in luogo accessibile a tutti?

8. Ha il titolare/datore di lavoro anche provveduto a spiegare/illustrare la policy nel corso di eventi specifici di (in)formazione?

9. Sono documentate/documentabili:

      • la comunicazione/messa a disposizione della policy?
      • la (in)formazione sui contenuti della medesima?

10. La policy contiene le informative relative al trattamento dei dati derivanti dalle attività di controllo a distanza?

11. Il contenuto delle informative è coerente con le diverse tipologie di strumenti di lavoro/dispositivi, ovvero è redatta ove necessario una informativa per ciascuna tipologia di strumento/dispositivo?

12. Le informative dichiarano finalità determinate, esplicite, legittime?

13. Dette finalità corrispondono a quelle effettivamente perseguite?

14. Le informative indicano le categorie di dati che possono divenire oggetto di trattamento nell'ambito delle attività di controllo a distanza?

15. Sono esplicitate le caratteristiche essenziali dei relativi trattamenti?

16. Le informative definiscono le categorie di destinatari cui i dati personali potranno/dovranno essere comunicati?

17. Sono le attività di monitoraggio affidate ad una funzione aziendale formalmente e correttamente preposta?

18. I lavoratori sono resi edotti, nelle informative, della funzione/unità organizzativa interna cui possono rivolgersi per l'esercizio dei diritti (art. 7 Dlg.196/2003)?

19. Ha il titolare pianificato l'aggiornamento delle informative ai requisiti previsti dal Regolamento UE 2016/679 entro il 25 maggio 2018?

20. In particolare, è stato assunto un impegno specifico, con relativo termine, per la definizione del periodo di conservazione dei dati personali, ovvero del criterio utilizzato per determinarlo?

21. La policy contiene le informative relative alle modalità di controllo?

22. In particolare, vi è contenuta, se coerente  e necessaria, una informativa distinta per ciascuna tipologia di strumento/dispositivo?

23. Le informative sul trattamento dei dati e quelle sulle modalità di controllo sono correttamente estese alle seguenti funzionalità (in quanto connesse all'uso di
alcuni strumenti necessari allo svolgimento delle prestazioni):

      • accesso ad internet?
      • servizio di posta elettronica?

24. Per quanto concerne la navigazione in internet ha il titolare/datore di lavoro, eventualmente:

      • definito le categorie di siti non correlate alla prestazione lavorativa?
      • disposto l'applicazione di filtri che prevengano determinate operazioni?

25. Per ciò che riguarda l'utilizzo del servizio di posta elettronica ha il titolare/datore di lavoro, eventualmente:
messo a disposizione di ciascun lavoratore agevoli funzionalità di sistema che consentano l'invio automatico, in caso di assenze, di messaggi di rinvio ad altro lavoratore/funzione interna o altre modalità utili di contatto dell'organizzazione?

      • disciplinato nella policy, in caso di assenza imprevista o prolungata del lavoratore, l'accesso alla sua casella di posta elettronica da parte di un collega fiduciario previamente delegato dal lavoratore interessato?
      • disposto l'inserzione automatica nei messaggi di un avviso ai destinatari della natura professionale e non personale/confidenziale del messaggio stesso?

26. E' rispettato nella scelta delle modalità  il criterio della gradualità dei controlli?

27. I software mediante i quali è disposto il controllo sono configurati in modo da cancellare periodicamente e automaticamente i dati personali relativi agli accessi internet e al traffico telematico?

28. La policy specifica le fattispecie in cui il titolare/datore si riserva il prolungamento dei tempi di conservazione di determinati dati?

29. Le attività di controllo impostate sono conformi al principio di necessità dei trattamenti, con l'operatività di misure organizzative e tecnologiche finalizzate a prevenire il rischio di utilizzi impropri dei dati dei lavoratori?

30. Ha il titolare/datore accertato che le attività di controllo non comportino in alcun modo funzionalità vietate quali, a mero titolo di esempio:

      • la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, oltre quanto necessario tecnicamente per
      • lo svolgimento del servizio e-mail?
      • la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore?
      • la lettura e la registrazione dei caratteri inseriti tramite la tastiera?

Torna ai contenuti | Torna al menu