I controlli sui dipendenti che durante l'emergenza Covid-19 per molto tempo lavorano in smart working potrebbe essere un rischio per le aziende. Allo stesso tempo, i dipendenti che tornano a lavoro potrebbero rappresentare una minaccia per la salute di altri dipendenti. Come controllare questi scenari? Ne discutono Monica Belfi, Giulio Coraggio e Jacopo Liguari quale parte di un webinar del KNet italiano dell IAPP - International Association of Privacy Professionals
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e che tornano a lavoro
1. I controlli sui dipendenti in smart
working e che rientrano sul luogo
di lavoro
KnowledgeNet Chapter Virtual Meeting
Venerdì, 8 maggio 2020
Monica Belfi - Legal, Privacy and Data Protection Counsel, Dolce & Gabbana
Giulio Coraggio – Partner, Head of the Technology Sector, DLA Piper
Jacopo Liguori - Head of the Intellectual Property, Technology & Privacy team, Withersworldwide
3. I controlli sui dipendenti in
smart working
Come gestire la conservazione delle email dei dipendenti?
4. Premesse
Come regolare l’uso e la conservazione dell’email in modo adeguato e proporzionato, soprattutto
adesso che in modalità smart working aumenteranno i volumi di traffico?
Necessità di gestione della conservazione delle e-mail per:
Maggiore utilizzo delle e-mail dovuto alla modalità smart working;
Utilizzo delle e-mail ordinaria come mezzo per la conclusione di accordi, modifiche agli
accordi presi o cessazione di contratti, in sostituzione di mezzi aventi valenza giuridica e
efficacia probatoria determinata:
✓ Pec, raccomandata A/R per invio;
✓ Sottoscrizione dei documenti con firma autografa su documento cartaceo/sottoscrizione del documento
digitale con firma elettronica «forte» (firma digitale, elettronica avanzata, qualificata).
Interventi recenti in proposito:
♦ le Linee Guida emanate da AgID che consentono di firmare documenti online con SPID, in conformità
all’art. 20 del CAD → possibile firmare atti e contratti attraverso SPID con lo stesso valore giuridico della firma
autografa, soddisfacendo il requisito della forma scritta e producendo gli effetti ex art. 2702 del codice civile.
♦ l’intervento del Decreto Liquidità (D.L. 8.4.2020, n. 23) che attribuisce efficacia “straordinaria” al consenso
del correntista prestato con email ordinaria («mediante il proprio indirizzo di posta elettronica non certificata o
altro strumento idoneo»), a determinate condizioni.
5. Necessità e obbligo di conservazione
In relazione alle e-mail, anche del lavoratore cessato, l’azienda ha anche obblighi di conservazione.
Le e-mail avente contenuto e una rilevanza giuridica e commerciale laddove:
Rientrano tra le scritture necessariamente da conservare, ai sensi dell’art. 2214 cod. civ.;
Devono essere tenute e conservate a fini fiscali secondo l'articolo 22 del Dpr 600/1973.
necessità di garantire di una gestione razionale e ordinata del patrimonio informativo, commerciale
e giuridico contenuto nelle e-mail.
Cosa fare?
Assicurare la conservazione delle e-mail in repository ad hoc per garantire l’adeguata
conservazione, predisponendo i mezzi opportuni e formando adeguatamente i lavoratori.
Predisporre dei sistemi di gestione documentale in grado di individuare selettivamente i
documenti che devono essere conservati e archiviati con modalità idonee a garantire le
caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.
Evitare la memorizzazione di file, documenti e/o informazioni personali da parte dei
lavoratori.
6. Determinare i tempi di conservazione
Insieme alle necessità aziendali e al rispetto degli obblighi di conservazione, occorre considerare che:
Il contenuto dei messaggi di posta elettronica riguardano forma di corrispondenza
assistite da garanzia di segretezza, anche in ambito lavorativo;
E-mail nominativa è un dato personale;
La raccolta sistematica delle comunicazioni elettroniche, la loro memorizzazione per un
periodo non predeterminato e la possibilità per il datore di lavoro di accedervi per finalità
indicate in astratto e in termini generali quali la difesa in giudizio o il perseguimento di un
legittimo interesse può consentire alla società di effettuare un controllo dell´attività dei
dipendenti (non consentita ex art. 4 Statuto Lavoratori);
Non è opportuno individuare un unico termine di conservazione adducendo una motivazione
generica:
► non tutte le e-mail hanno contenuto e rilevanza ex art. 2214 cc;
► non posso conservare tutto adducendo una generica finalità di «tutela dei diritti»
(Provvedimento 1/02/2018 [8159221] del Garante: il trattamento di dati personali effettuato per
finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni
precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti).
7. Determinare i tempi di conservazione
Cosa fare?
Determinare i tempi di conservazione delle e-mail in modo specifico, es. distinguendo:
Termine ex artt. 2214 e 2220 cc.
Termine/i di conservazione per e-mail non rientranti nella definizione sopra:
a. Determinare tempi di conservazione in modo specifico differenziarli in base ai
ruoli/divisioni aziendali e funzioni/attività svolte;
b. Prevedere accesso possibile solo a determinati soggetti, in casi individuati e seguendo una
determinata procedura.
Alcuni riferimenti normativi:
• Regolamento (U.E.) 2016/679 (GDPR);
• D.Lgs.196/2003 (Codice Privacy);
• Artt. 2214 e 2220 cc.;
• “Linee guida per posta elettronica e internet”, adottate dal Garante per la protezione dei dati personali con
provvedimento n. 13 del 1° marzo 2007;
• Legge n. 300 del 20/5/1970 (Statuto dei Lavoratori);
• "Trattamento di dati personali effettuato sugli account di posta elettronica aziendale", provvedimento del Garante per
la protezione dei dati personali n. 53 del 1 ° febbraio 2018;
• Corte Europa dei Diritti Umani n. 61496/08 del 05 Settembre 2017, caso Brbulescu v. Romania;
• WP29 Opinione 2/2017: Trattamento dei dati sul posto di lavoro.
8. Tempi di conservazione
Provvedimento del Garante per la protezione dei dati personali 1.2.2018 [8159221]:
La conservazione sistematica dei dati esterni e del contenuto di tutte le comunicazioni elettroniche
scambiate dai dipendenti attraverso gli account aziendali, allo scopo di poter ricostruire gli scambi di
comunicazioni tra gli uffici interni nonché tutti i rapporti intrattenuti con esterni (clienti, fornitori….), anche in
vista di possibili contenziosi, effettuata da soggetti diversi dal titolare della specifica casella di posta elettronica
per l´intera durata del rapporto di lavoro e successivamente all´interruzione dello stesso, non risulta altresì
conforme ai principi di liceità, necessità e proporzionalità del trattamento.
La legittima necessità di assicurare l´ordinario svolgimento e la continuità dell´attività aziendale
nonché di provvedere alla dovuta conservazione di documentazione in base a specifiche disposizioni
dell´ordinamento è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale
con i quali attraverso l´adozione di appropriate misure organizzative e tecnologiche individuare i
documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con
modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e
reperibilità prescritte dalla disciplina di settore applicabile.
Pertanto lo scopo di predisporre strumenti per l´ordinaria ed efficiente gestione dei flussi
documentali aziendali può ben essere perseguito con strumenti meno invasivi per il diritto alla riservatezza dei
dipendenti e dei terzi, rispetto all’attività di sistematica ed estesa conservazione delle comunicazioni
elettroniche.
9. Alcuni spunti
Individuare in modo specifico i tempi di conservazione secondo criteri determinati, nel rispetto dei
principi ex art 5 GDPR e indicazioni dell’Autorità Garante.
Identificare la base giuridica sottesa alla conservazione.
Inserire il trattamento nel Registro dei trattamenti.
Informare preventivamente gli interessati ex art. 13 GDPR.
Indicare tempi di conservazione in una policy sull’utilizzo delle strumentazioni informatiche e
della posta elettronica, indicando se, in che misura e con quali modalità vengano effettuati
controlli (con particolare riferimento alla possibilità di accedere al contenuto delle comunicazioni
elettroniche scambiate).
Effettuare un’analisi dei rischi sul trattamento e valutare le misure di sicurezza da adottare per
proteggere le e-mail conservate.
Verificare la necessità di una Data Protection Impact Assessment (DPIA).
Predisporre sistemi di cancellazione automatica e periodica.
Formare adeguatamente i dipendenti.
Predisporre apposite procedure per accesso, che includano obblighi di verbalizzazione almeno per
l’accesso alle e-mail per il caso di assenza o malattia del lavoratore, alle e-mail
successivamente alla cessazione del rapporto di lavoro, alle e-mail in backup.
10. I controlli sui dipendenti in
Smart working
Come procedere alle contestazioni
e come accedere agli account in caso di emergenza
11. Quali sono i controlli che il datore di lavoro può effettuare?
NO
SISTEMI DI CONTROLLO PER
ESIGENZE PRODUTTIVE
ORGANIZZATIVE
SISTEMI DI CONTROLLO
DELLA SICUREZZA
(es. CCTV)
SI
CONTROLLI
CORRETTO SVOLGIMENTO
PRESTAZIONE LAVORATIVA
SI
(previo accordo/DPIA)
Non si può verificare che
lo smart worker sia alla
sua postazione
No a software che esegue scatti a
cadenza fissa dalla webcam del
lavoratore anche se per migliorare
contatto umano nel telelavoro
• si a wearable operatori
ecologici per organizzazione
raccolta rifiuti
• no a controllo in tempo reale
operatività call center
CONTROLLI
PER REPRIMERE
ATTIVITA’ ILLECITE
12. Come procedere al controllo per esigenze difensive?
DURANTE
Coinvolgimento
Amministratore
di Sistema e
DPO
Assicurare
gradualità nel
controllo
DOPO
Redazione
verbale
operazioni
Report al
dipendente
MANCATO RISPETTO
CAUTELE E CONDIZIONI DI
CORRETTO CONTROLLO
Dati non utilizzabili
PRIMA
Procedura sulle
modalità di
controllo
Informativa al
dipendente
(salvo
pregiudizio
indagini)
13. Come assicurare la gradualità nei controlli?
CONTROLLI GENERALI
• Verifiche a campione in forma
anonima/aggregata e
avvertimento generalizzato
CONTROLLI INDIVIDUALI
1° LIVELLO
• Informazioni rispetto al solo oggetto,
mittente/destinatario, data, ora
CONTROLLI INDIVIDUALI
2° LIVELLO
• Verifica anche del contenuto
ATTENZIONE
No controllo generalizzato e indiscriminato ex ante su tutti i contenuti dell’account
Si utilizzo parole chiave e range temporali predefiniti
EVENTO
• Audit
• Segnalazione
14. Accesso account dipendente assente
Preservare operatività aziendale in un momento di emergenza
TERZO STEP – FOLLOW UP
Informativa e report per il dipendente Verbale operazioni compiute
SECONDO STEP – LIMITAZIONI DI ACCESSO/RICERCA
Utilizzo di parole chiave (es., per thread) Limitazione del range temporale di ricerca
PRIMO STEP – MECCANISMO DI DELEGA
Dipendente delega per iscritto un collega
In assenza richiesta di accesso al legale rappresentante
15. Accesso all’archivio dell’account del dipendente il cui
rapporto è cessato
•Rimozione contenuti privati
dall’account
•Assicurare diritto di
accesso e diritto alla
portabilità
PRIMA DELLA
CESSAZIONE DEL
RAPPORTO
•Disattivazione immediata
dell’account
•Messaggio di risposta
automatica che informa i
terzi
ALLA CESSAZIONE
DEL RAPPORTO
Cancellazione dell’account
entro 30/90 gg. (a seconda del
ruolo)
DOPO LA
CESSAZIONE DEL
RAPPORTO
•Conservazione dei
contenuti per un periodo
di tempo definito
•Accesso limitato
ARCHIVIAZIONE E
ACCESSO
ATTENZIONE
NON EFFETTUARE UN RE-INDIRIZZAMENTO AUTOMATICO INDISCRIMINATO DELLA POSTA IN
ARRIVO
SE SI ACCEDE, UTILIZZARE SEMPRE CHIAVI DI RICERCA (ES. PER THREAD, DATA, etc.), REDIGERE
UN VERBALE E INFORMARE L’EX DIPENDENTE
RECUPERO di prove per difesa in giudizi o email/contenuti disponibili solo all’ex dipendente
16. Mitigazione del rischio durante accessi/controlli
Può comportare
limitazioni
accesso/controllo
Difficile scindere
informazioni
aziendali e private
Consentire utilizzo
strumenti propri
per ragioni
aziendali
strumenti aziendali
anche per fini
privati
No utilizzo strumenti propri per fini aziendali o
strumenti aziendali per ragioni private
Difficile da applicare nella pratica, soprattutto in questo momento di
crisi, ma consigliato
Account collettivi per area/business unit Possibile, da valutare in base al business
Spazio di archiviazione ad uso strettamente
personale
Necessità di regolarne attentamente l’uso
17. I controlli sui dipendenti che
tornano al lavoro nella fase 2
18. Dovete “proteggervi” dai vostri dipendenti?
ERANO CONTAGIATI?
Che attestazione di avventa
negativizzazione è stata fornita?
DOVE SONO STATI?
Sono stati in zone od edifici ad
alto rischio di contagio?
CON CHI SONO STATI IN CONTATTO?
Cosa fanno i loro familiari o conviventi?
CHE SINTOMI HANNO?
Che temperatura corporea
hanno? Hanno febbre, tosse,
problemi respiratori etc.?
19. Come “potreste” controllare il rischio di
contagio? CONTROLLO DELLA TEMPERATURA CORPOREA
E’ possibile registrare la temperatura corporea di ogni
accesso? Che strumenti possono essere usati per la
misurazione? Termometri, termoscanner, telecamere
termiche?
ANALISI DEL LIVELLO DI RISCHIO
Si possono obbligare i dipendenti ad
usare App dotate di sistemi di
intelligenza artificiale che definiscono il
livello di rischio processando
informazioni da diverse fonti e
registrando i contatti?
COMPILAZIONE DI QUESTIONARI O
AUTOCERTIFICAZIONI?
E’ possibile chiedere ai dipendenti di
compilare questionari in cui dichiarano di
non trovarsi in una delle situazioni di
rischio di contagio da Covid-19?
ESECUZIONE DI TEST CLINICI
Si possono obbligare i dipendenti
(e i loro familiari) ad eseguire il
tampone e/o il test sierologico?
20. Il medico competente è il “motore”
delle vostre difese
1
2
3
SUGGERISCE I MEZZI DI DIAGNOSTICI
Bisogna comprendere se le misure sono
finalizzate a ridurre il rischio o solo delle
raccomandazioni
RICEVE LE INFORMAZIONI SULLO
STATO DI SALUTE DEI DIPENDENTI
Ha accesso alle informazioni attuali e
pregressi dei lavorare e valuta l’idoneità
all’attività lavorativa
IDENTIFICA CHI PUO’ RIENTRARE AL
LAVORO E A QUALI CONDIZIONI
Esegue le visite ai contagiati negativizzati e
identifica i lavoratori con patologie pregresse
o attuali che non possono rientrare al lavoro
o devono essere sottoposti a diverse
mansioni
21. Dovete avere un “programma di difesa”
Le raccomandazioni dei Privacy Experts for Italy
1.Comunicazione preventiva sui limiti di
accesso, ma senza autocertificazioni
2.Controlli della temperatura all’ingresso, ma
senza registrazioni;
3.Informativa trasparente sul trattamento dei
dati;
4.Gestione centralizzata delle azioni da
compiere;
5.Limitazione della comunicazione relativa ai
contagiati;
6.Coordinamento con le autorità sanitarie nel
tracciamento dei contagiati, ma non iniziative
isolate;
7.Protezione delle informazioni raccolte
23. Rimaniamo in contatto nelle iniziative
dello IAPP KnowledgeNet italiano
► Prossimo Virtual Meet-Up
► “Le criticità della gestione di un sito di eCommerce durante l’emergenza
Covid-19: dai cookies, ai plug-in alla gestione di un CRM multichannel” -
4 giugno 2020
► Quando la situazione ritornerà al normale, organizzeremo anche degli eventi,
meet-up e aperitivi fisici, ed è già in programma un evento sul CCPA
► Gruppo WhatsApp italiano che opera come Think Tank con circa 150 persone
già iscritte e molto attive > se volete unirvi al canale, mandate un’email a
Giulio Coraggio, Christian Bernieri o Alessandra Boghi
Monica Belfi - Legal, Privacy and Data Protection Counsel, Dolce & Gabbana
Giulio Coraggio – Partner, Head of the Technology Sector, DLA Piper
Jacopo Liguori - Head of the Intellectual Property, Technology & Privacy team,
Withersworldwide