L’Amministratore di sistema può accedere al PC del dipendente?

Privacy 0 Comment
L’Amministratore di sistema può accedere al PC del dipendente?

bloccare-pc

Con il presente parere voglio rispondere al seguente quesito che ci è stato posto qualche giorno orsono: “è possibile che l’amministratore di Sistema acceda e recuperi i documenti presenti su un PC aziendale senza l’autorizzazione dell’utente, nel caso in cui tale utente abbia cambiato mansione senza effettuare il passaggio di consegne al suo ufficio/servizio di provenienza?”

La domanda non è delle più banali e sicuramente andrebbe approfondito il contesto della fattispecie esaminata per poter rispondere con un “si” o con un “no” a bruciapelo, tantopiù che come sempre in ambito giuridico l’unica risposta sensata è la seguente: “dipende”.

Cerchiamo di fare chiarezza su quali siano i paletti da prendere in considerazione al fine di poter sviscerare i singoli casi concreti che possono derivare dalla domanda da cui siamo partiti. In generale i due ambiti normativi da prendere in considerazione sono:

  • controlli sui lavoratori – art. 4 Legge 300/1970 (Statuto dei Lavoratori);
  • tutela della riservatezza, D.Lgs. 196/2003 (Codice Privacy), Linee guida per posta elettronica ed internet (Garante privacy).

Per effettuare le scelte del caso è innanzitutto necessario valutare se dalla situazione di fatto presa in esame possano derivare fattispecie di controllo a distanza sui lavoratori ed in caso affermativo verificare se questo è avvenuto nel rispetto dell’art. 4 dello Statuto dei Lavoratori. In secondo luogo, che si sia o meno in costanza di applicazione dell’art. 4, è necessario applicare le indicazioni del Garante Privacy inerenti la tutela della riservatezza.

Contattaci per approfondire l’argomento

Non prenderemo in considerazione nel presente parere il contenuto dell’art. 23 dello “Schema di decreto recante disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini ed imprese  e altre disposizioni in materia di rapporto di lavoro e pari opportunità, in attuazione della Legge 10/12/2014n. 183” proposto dal Governo Renzi (che modificherà la disciplina di cui all’art. 4 dello Statuto dei Lavoratori) non essendosi ancora concluso l’Iter che  porterà tale decreto ad entrare in vigore.

I principi applicabili alla fattispecie proposta dalla domanda iniziale sono i seguenti:

  1. i controlli a distanza dei lavoratori diretti sull’attività lavorativa sono vietati; qualora il controllo possa scaturire indirettamente dall’installazione di tecnologie aventi finalità organizzative, produttive o di sicurezza, è necessario in via preventiva un accordo con le rappresentanze sindacali interne o l’autorizzazione dell’ispettorato del lavoro;
  2. compete ai datori di lavoro assicurare la funzionalità ed il corretto impiego degli strumenti messi a disposizione dei lavoratori, definendo le modalità d’uso nell’organizzazione dell’attività lavorativa;
  3. spetta ai datori di lavoro adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità dei sistemi informativi e dei dati;
  4. ai fini della tutela della riservatezza è necessario rispettare il principio di correttezza secondo cui le caratteristiche essenziali dei trattamenti devono essere note ai lavoratori. Grava quindi sul datore di lavoro l’onere di indicare in ogni caso, chiaramente ed in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenuti corretti e se, in che misura e con quali modalità vengano effettuati controlli.

Applicazione dei principi al caso concreto

Nel caso di specie ivi esaminato la prima cosa da verificare è inerente la tipologia di documenti che devono essere recuperati mediante l’accesso al PC: potremmo parlare di documenti strettamente attinenti l’attività lavorativa e necessari al corretto e materiale svolgimento della stessa (se non anche patrimonio documentale dell’ente nel caso di Enti Pubblici – quindi documenti tutelati dal Codice dei Beni Culturali) e quindi da recuperarsi a tal fine, oppure potremmo parlare di documenti “personali”, non strettamente legati all’attività lavorativa, presenti sul PC da recuperarsi per finalità non direttamente connesse alla prestazione lavorativa (contestazione disciplinare o altro). In considerazione del fatto che la fattispecie posta alla mia attenzione pare rientrare nel primo caso (documenti attinenti l’attività lavorativa) approfondirò solo quest’ultimo, precisando che qualora fossimo invece in costanza del secondo caso la situazione presenterebbe qualche profilo di complessità supplementare.

A questo punto risulta necessario capire se i documenti presenti sul PC che devono essere recuperati siano disponibili a seguito dell’utilizzo di un particolare sistema di controllo e/o di registrazione finalizzato al controllo, oppure semplicemente in quanto memorizzati sull’hard disk del PC. Se fossimo nel primo caso (sistema di controllo) saremmo in costanza di applicazione dell’art. 4 dello Statuto dei Lavoratori, se invece fossimo nel secondo caso l’art. 4, con le relative procedure, non si applicherebbe perché non sarebbe riscontrabile alcuna fattispecie di controllo a distanza. Qualora si applicasse l’art. 4 il controllo (e quindi il reperimento del documento) sarebbe illecito  se il sistema fosse volto ad effettuare un controllo diretto sull’attività lavorativa; se invece il controllo risultasse indiretto a causa dell’utilizzo di sistemi installati ad altri fini (rispetto a quello di controllare) comunque sarebbe stato preventivamente necessario l’accordo sindacale o la richiesta all’ispettorato del lavoro (descritta la paragrafo 1) del presente parere) prima di operare l’attività.

Sviscerato il passaggio di cui sopra sarebbe necessario valutare la possibilità di reperire i documenti oggetto dell’operazione di accesso al PC in altre modalità, magari meno invasive, che potessero evitare il potenziale accesso anche a dati/informazioni/documenti diversi da quelli ricercati, rischio che potrebbe invece concretizzarsi in conseguenza di un accesso libero ai dati salvati sul PC. Qualora tali modalità alternative vi fossero andrebbero utilizzate, qualora non vi fossero (in presenza di tutte le altre condizioni di liceità descritte in questo parere) sarebbe comunque possibile proseguire con l’operazione di accesso al PC ma con il rischio di operare un trattamento di dati personali che violi il principi di proporzionalità.

A questo punto sarebbe necessario verificare la presenza di apposite policy o regole attraverso le quali il datore di lavoro abbia dettato le norme di utilizzo degli strumenti elettronici aziendali, le modalità di intervento dell’Amministratore di Sistema, l’eventuale possibilità (e le modalità di svolgimento) dei controlli. Tale presupposto di natura informativa e regolamentare risulterebbe fondamentale sia nel caso di applicazione dell’art. 4 dello Statuto dei Lavoratori sia nel caso di una sua non applicazione perché costituirebbe il presupposto per non violare la normativa privacy e quindi per “poter effettuare con una certa tranquillità di carattere giuridico” l’operazione di accesso al PC e recupero dei documenti interessati. Qualora il datore di lavoro non avesse mai emanato policy ed informative di nessun genere e fosse comunque fondamentale accedere ai documenti presenti sul PC, i quali fossero di natura strettamente aziendale e non reperibili in altra maniera, nell’ipotesi comunque di non applicazione dell’art. 4, ritengo di poter affermare che sarebbe possibile procedere all’accesso al PC mantenendo però aperto un potenziale profilo di rischio non tanto per il reperimento del documento necessario ma più che altro per il possibile accesso ad altra documentazione di vario genere eventualmente presente sul PC e che potrebbe contenere anche dati personali.

Le policy (di solito da impostarsi nei regolamenti informatici)  nei contesti come quello esaminato risultano quindi essere determinanti in quanto volte a prevedere le procedure tassativamente individuate dal datore di lavoro per l’utilizzo degli strumenti elettronici, procedure da strutturarsi per ridurre al minimo l’invasività delle attività, le possibilità di controllo e l’utilizzo dei dati. A fronte di tali policy sarebbe possibile andare a limitare, grazie ai percorsi regolamentati, le incertezze di carattere giuridico scaturenti dall’effettuazione di determinate attività oltre che porre il presupposto giuridico di liceità di un determinato trattamento di dati.

Dott. Luigi Recupero

Vuoi approfondire l'argomento? Scrivici e ti chiamiamo noi

Il tuo nome (richiesto)

La tua email (richiesto)

Il tuo telefono (richiesto)

Oggetto

Il tuo messaggio

Luigi Recupero