Brunetta: Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro

PRESIDENZA DEL CONSIGLIO DEI MINISTRI, DIRETTIVA N. 2/2009

Oggetto: Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro.

PREMESSA

Lerisorse ICT costituiscono, ormai da tempo, il principale strumento dilavoro posto a disposizione dei dipendenti delle pubblicheamministrazioni.

L’ampia distribuzione di tali risorse tra idipendenti ne favorisce il diffuso utilizzo anche per finalità diverseda quelle lavorative. La prassi, ancorché ben conosciuta dalleAmministrazioni, è difficile da monitorare, sia per il costodell’eventuale attività di monitoraggio, sia per le implicazionirelative alla tutela della riservatezza e dei dati personali.

D’altronde,tale utilizzo non istituzionale non provoca, di norma, costiaggiuntivi, tenuto conto della modalità di pagamento “fìat” (nonriferita, pertanto, al consumo) utilizzata nella generalità dei casidalle Amministrazioni per l’utilizzo di quasi tutte le risorse ICT(postazioni di lavoro, connessioni di rete e posta elettronica).

Inconsiderazione della delicatezza della materia, che tocca i dirittiindividuali (quale il diritto alla segretezza della corrispondenza) erichiede, pertanto, un giusto bilanciamento con il potere di controllodell’Amministrazione, si ritiene opportuno fornire indicazioni utili afacilitare, da un lato, il corretto utilizzo degli strumenti ICT daparte dei dipendenti e, dall’altro, il proporzionato esercizio delpotere datoriale di controllo da parte delle Amministrazioni inindirizzo.

1. Esercizio del potere di controllo e doveri di comportamento dei dipendenti delle pubbliche amministrazioni

LePubbliche Amministrazioni, in quanto datori di lavoro, sono tenute adassicurare la funzionalità ed il corretto impiego degli strumenti ICTda parte dei propri dipendenti, definendone le modalità di utilizzonell’organizzazione dell’attività lavorativa ed adottando le misurenecessarie a garantire la sicurezza, la disponibilità e l’integrità deisistemi informativi.

Nell’esercizio del potere di controllo, le Amministrazioni devono attenersi ad alcune regole e principi generali:

  • innanzituttodeve essere rispettato il principio di proporzionalità, che si concretanella pertinenza e non eccedenza delle attività di controllo. Lelimitazioni della libertà e dei diritti individuali devono, infatti,essere proporzionate allo scopo perseguito; è in ogni caso esclusal’ammissibilità di controlli prolungati, costanti e indiscriminati;
  • inoltre,l’introduzione di tecnologie e di strumenti per il controllo sull’usodella rete e della posta elettronica deve essere fatto rispettando leprocedure di informazione/consultazione delle rappresentanze deilavoratori previste dai contratti collettivi;
  • infine, ilavoratori devono essere preventivamente informati dell’esistenza didispositivi di controllo atti a raccogliere i dati personali.

Afronte del potere di controllo dell’Amministrazione datore di lavoro,esiste in capo ai dipendenti l’obbligo, sancito da norme di legge(anche di rilevanza penale) e di contratto, di adottare comportamenticonformi al corretto espletamento della prestazione lavorativa edidonei a non causare danni o pericoli ai beni mobili ed agli strumentiad essi affidati, tra i quali vi sono le attrezzature ICT ed i sistemiinformativi messi a disposizione dall’Amministrazione.

Alriguardo, si ritiene opportuno ricordare, oltre alle disposizioni delCodice disciplinare contenuto nei contratti collettivi di comparto (chedispongono sanzioni in caso di “negligenza nella cura dei locali edei beni mobìli o strumenti a lui affidati o sui quali, in relazionealle sue responsabilità, debba espletare azione di vigilanza”), ancheil dettato del Codice di comportamento dei dipendenti delle pubblicheamministrazioni di cui al Decreto del Ministro per la funzione pubblicadel 28 novembre 2000 che, ove richiamato dal Codice disciplinare deiCCNL dei diversi comparti, costituisce, oltre che norma di valenzaetico-comporamentale, anche vero e proprio obbligo la cui inosservanzada parte dei dipendenti è passibile di sanzione.

In particolare, l’art. 10, comma 3, del Codice di comportamento dispone che “Il dipendente non utilizza a finì privati materiale o attrezzature di cui dispone per ragioni di ufficio. ” Pertanto,l’utilizzo delle risorse ICT da parte dei dipendenti, oltre a non dovercompromettere la sicurezza e la riservatezza del Sistema informativo,non deve pregiudicare ed ostacolare le attività dell’Amministrazione odessere destinato al perseguimento di interessi privati in contrasto conquelli pubblici.

Anche la giurisprudenza, in particolare quelladella Corte dei conti (tra le altre, Sez. giurisd. Piemonte, sent.1856/2003, e Sez. giurisd. Basilicata, sent. n. 83/2006), ha sanzionatol’indebito utilizzo della connessione ad internet da parte di undipendente, statuendo che essa configura profili di responsabilità acarico del medesimo per il danno patrimoniale cagionatoall’Amministrazione, consistente nel mancato svolgimento dellaprestazione lavorativa durante le ore di connessione. Con riferimentoal potere di controllo, la Corte ha, inoltre, osservato come, a seguitodi ripetute e significative anomalie (rilevate, ad esempio, per lapresenza di virus provenienti da siti non istituzionali),l’Amministrazione possa svolgere verifiche ex post sui dati inerentil’accesso alla rete dei propri dipendenti.

Per adempiere ilproprio dovere di diligenza e vigilanza nell’utilizzo dei beni estrumenti ad esso affidati, il dipendente ha, pertanto, anche l’obbligodi impedire ad altri indebiti utilizzi della propria apparecchiaturainformatica, non rilevando, al fine del difetto di responsabilità, ilfatto che altri, in sua assenza, abbia potuto usare la postazionelavorativa. In difetto, il comportamento del dipendente si configuracome negligente, inescusabile e gravemente colposo.

2.1 principi contenuti nelle linee guida del Garante della protezione dei dati personali

Condeliberazione del 1° marzo 2007, n. 13 (pubblicato in G.U. n. 58 del 10marzo 2007), il Garante della protezione dei dati personali ha fornitole linee guida per l’utilizzo nei luoghi di lavoro della postaelettronica e di internet.

Allo stato, lasciando da parte iprofili di illecito penale e/o disciplinare sopra richiamati, taledeliberazione costituisce, in particolare per quanto attiene alladisciplina del trattamento dei dati, sicuro punto di riferimento eregolamentazione delle modalità di utilizzo del Sistema informativodelle pubbliche amministrazioni da parte dei dipendenti nell’ambito delrapporto di lavoro.

La deliberazione, nel definire, per i datoridi lavoro, le regole in materia di trattamento dei dati personaliraccolti in occasione delle attività di verifica del corretto utilizzodella rete Internet e del sistema di posta elettronica da parte deilavoratori, fissa dei principi che non riguardano esclusivamente latutela della privacy ma riprendono anche le disposizioni contenute nel”Codice dell’amministrazione digitale” (decreto legislativo 7 marzo2005, n. 82 pubblicato in G.U. del 16 maggio 2005, n. 112 – S.O. n. 93,aggiornato dal d.lgs. n. 159 del 4 aprile 2006, pubblicato in G.U. del29 aprile 2006, n. 99 – S.O. n. 105 recante “Disposizioni integrative ecorrettive al decreto legislativo 7 marzo 2005, n. 82 recante codicedell’amministrazione digitale”).

In particolare, come definitoanche dalle linee guida del Garante, il datore di lavoro (secondo ipoteri a lui affidati dalle norme del codice civile, articoli 2086,2087 e 2104), può riservarsi di controllare l’effettivo adempimentodella prestazione lavorativa ed il corretto utilizzo degli strumenti dilavoro. Nell’esercizio di tal
i prerogative, tuttavia, deve rispettarela libertà e la dignità dei lavoratori, tenendo presente, al riguardo,quanto disposto dalle norme poste a tutela del lavoratore (ci siriferisce, in particolare, al divieto di installare “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” di cui all’art. 4 della legge n. 300 del 1970).

Inoltre,secondo i richiamati principi di pertinenza e non eccedenza, i mezzi el’ampiezza del controllo devono essere proporzionati allo scopo: inbase a tale considerazione il datore di lavoro potrebbe, ad esempio,verificare se vi è stato indebito utilizzo della connessione adinternet da parte del dipendente attraverso il controllo degli accessie dei tempi di connessione, senza però indagare sul contenuto dei sitivisitati.

I lavoratori devono essere posti in grado di conoscerequali sono le attività consentite, a quali controlli sono sottoposti,le modalità del trattamento dei dati e in quali sanzioni possonoincorrere nel caso di abusi. Al riguardo, viene raccomandata l’adozionedi un disciplinare interno adeguatamente pubblicizzato e di idoneemisure di tipo organizzativo.

3. Utilizzo della rete internet

Incapo all’Amministrazione datore di lavoro, alla cui proprietà èriconducibile il Sistema informativo (ivi inclusi le apparecchiature, iprogrammi ed i dati inviati, ricevuti e salvati), è posto l’onere dipredisporre misure per ridurre il rischio di usi impropri di internet,consistenti in attività non correlate alla prestazione lavorativa,quali la visione di siti non pertinenti, l’upload e il download difiles, l’uso di servizi di rete con finalità ludiche o comunqueestranee all’attività lavorativa.

Atale proposito, si raccomanda alle Amministrazioni di dotarsi disoftware idonei ad impedire l’accesso a siti internet aventi contenutie/o finalità vietati dalla legge.

Inoltre, T Amministrazione,tenendo conto delle peculiarità proprie di ciascuna organizzazioneproduttiva ed, eventualmente, anche dei diversi profili professionaliautorizzati all’uso della rete, potrà adottare una o più delle misureindicate dalla citata deliberazione del Garante’ della privacy che, amero titolo riepilogativo, si riportano di seguito:

  • individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;
  • configurazionedi sistemi o utilizzo di filtri che prevengano determinate operazioni-reputate inconferenti con l’attività lavorativa- quali Yupload o l’accesso a determinati siti (inseriti in una sorta di Hack list-) e/o il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato);
  • trattamentodi dati in forma anonima o tale da precludere l’immediataidentificazione di utenti mediante loro opportune aggregazioni (ad es.,con riguardo ai file di log riferiti al traffico web, su basecollettiva o per gruppi sufficientemente ampi di lavoratori);
  • eventualeconservazione nel tempo dei dati strettamente limitata al perseguimentodi finalità organizzative, produttive e di sicurezza.

Tuttavia,l’utilizzo di internet per svolgere attività che non rientrano tra icompiti istituzionali potrebbe essere regolamentato e, quindi,consentito ai dipendenti per assolvere incombenze amministrative eburocratiche senza allontanarsi dal luogo di lavoro (ad esempio, pereffettuare adempimenti on line nei confronti di pubblicheamministrazioni e di concessionari di servizi pubblici, ovvero pertenere rapporti con istituti bancari e assicurativi). Tale modalità,purché contenuta nei tempi strettamente necessari allo svolgimentodelle transazioni, avrebbe, inoltre, il vantaggio di contribuire aridurre gli spostamenti delle persone e gli oneri logistici e dipersonale per l’amministrazione che eroga il servizio, favorendo,altresì, la dematerializzazione dei processi produttivi.

4. Utilizzo della posta elettronica istituzionale

Conriferimento all’utilizzo della casella di posta elettronicaistituzionale deve osservarsi che il contenuto dei messaggi, come purei file allegati e i dati esteriori delle comunicazioni, riguardanoforme di corrispondenza assistite da garanzie di segretezza tutelateanche costituzionalmente, la cui ratio risiede nel proteggereil nucleo essenziale della dignità umana e il pieno sviluppo dellapersonalità nelle formazioni sociali (qual è anche il luogo di lavoro);un’ulteriore protezione deriva dalle norme penali a tuteladell’inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, comma 4, c.p. ;art. 49 Codice dell’amministrazione digitale).

* Reato di violazione, sottrazione e soppressione di corrispondenza: “Aglieffetti delle disposizioni di questa sezione, per “corrispondenza”siintende quella epistolare, telegrafica, telefonica, informatica otelematica, ovvero effettuata con ogni altra forma di comunicazione adistanza”.

Al fine di contemperare leesigenze di corretto ed ordinato svolgimento della vita lavorativa e diprevenzione di inutili intrusioni nella sfera personale dei lavoratorie di violazioni della segretezza della corrispondenza, sarebbe,pertanto, opportuno che le Amministrazioni esplicitassero regole estrumenti per l’utilizzo della posta elettronica.

Ciòconsentirebbe, infatti, di evitare, ovvero almeno limitare, l’insorgeredi difficoltà in ordine all’utilizzo della posta elettronica poiché,per la configurazione stessa dell’indirizzo e-mail, nei singolicasi, può risultare dubbio se il lavoratore, in qualità di destinatarioo mittente, utilizzi la posta operando quale espressionedell’Amministrazione o ne faccia, invece, un uso personale pur restandonell’ambito lavorativo istituzionale.

Si invitano, pertanto, leAmministrazioni in indirizzo, attraverso i dirigenti responsabili, adattuare tutte le misure di informazione, controllo e verificaconsentite al fine regolamentare la fruizione delle risorse ICT eresponsabilizzare i dipendenti nei confronti di eventuali utilizzi noncoerenti con la prestazione lavorativa e non conformi alle norme chedisciplinano il lavoro alle dipendenze delle pubbliche amministrazioni.

IL MINISTRO PER LA PUBBLICA AMMINISTRAZIONE E L’INNOVAZIONE

Renato Brunetta

Related Posts
Leave a Reply

Your email address will not be published.