PUBBLICHIAMO qui la seconda parte di UN’ARTICOLO APPARSO SUL NUMERO 3/2023 DELLA RIVISTA DELLA UILTUCS “Partecipazione”.
Le garanzie per i lavoratori
Come si può comprendere questi programmi sono molto invasivi ed è quindi necessario conoscere e controllarne l’utilizzo, ponendo una serie di limiti.
Come vengono conciliate dall’accordo le esigenze di tutela dell’azienda e quelle di riservatezza dei dati personali e di tutela dal controllo a distanza dei lavoratori? (2)
Siccome si parte dal presupposto che “il monitoraggio costante, 24 ore su 24, di tutti i canali informatici su cui opera l’azienda avrà come effetto quello di produrre un controllo indiretto e incidentale dell’attività lavorativa del personale dipendente; resta quindi inteso che i dati raccolti tramite gli impianti non saranno utilizzabili a fini disciplinari, in deroga a quanto previsto dall’art. 4, comma 3, dello Statuto dei Lavoratori, ad eccezione delle azioni compiute con dolo o colpa grave che emergano eventualmente dalla procedura;
i dati raccolti saranno conservati, con adeguate misure di sicurezza, in una forma che consenta l’identificazione dell’interessato per un periodo non superiore a 90 giorni dalla loro raccolta, salvi i casi in cui la legge ne preveda la conservazione obbligatoria per un periodo superiore”.
Rispetto all’introduzione del nuovo sistema, Alpitour si impegna a dare ampia informazione ai lavoratori e, in particolare, “nell’informativa privacy fornita ai lavoratori, in ossequio al disposto dell’art. 4, comma 3, dello Statuto dei Lavoratori, ed in applicazione dell’art. 13 del GDPR”.
Inoltre sono previste ulteriori “procedure di garanzia”, aggiuntive a quelle previste dallo Statuto.
In un comma dell’accordo si indica il compito delle parti nel caso di un rilevamento di anomalie e cioè:
“gli Amministratori di Sistema attiveranno delle funzioni di analisi più dettagliata dell’evento. Se, per esempio, si dovesse trattare di un sospetto accesso non autorizzato dall’esterno, quindi non riguardante l’utente interno, si procederà a verificare quali ambiti siano stati eventualmente violati, a valutarne gli effetti e ad attuare un piano di rimedio.
In caso di anomalia e/o di disservizio o di non corretto utilizzo delle risorse (dispositivi informatici, rete internet, posta elettronica, etc.) si provvederà – a cura degli Amministratori di Sistema dell’area Infrastructure & IT Security – inizialmente ad un controllo diretto su dati aggregati, riferiti all’intera struttura lavorativa.
Previa informazione alle Rsa/Rsu, con il persistere dell’anomalia, si invierà un avviso circoscritto ai gruppi di persone afferenti all’area/settore in cui è stata rilevata l’anomalia. Solo nel caso della prosecuzione dell’anomalia il controllo potrà essere effettuato su base individuale. In tal caso il lavoratore potrà richiedere l’assistenza delle Rsa/Rsu aziendali”.
In buona sostanza la procedura vuole agire in positivo per risolvere i problemi e non aprire contenziosi tra azienda e lavoratori. Con ottime ragioni potremmo definire questa norma contrattuale come un incentivo a relazioni sindacali sempre più partecipative.
I sistemi MDM (Mobile Device Management)
L’installazione di questi sistemi si rende necessaria per completare la “difesa informatica” dell’azienda. Mentre il Siem opera sulle postazioni fisse, questi altri sistemi agiscono sui dispositivi mobili (smartphone, mobile computer e tablet). Del resto è abbastanza comprensibile che, se un’azienda aumenta complessivamente la protezione sulla sua rete “fissa”, non può lasciare aperti dei buchi per la sua sicurezza sui device utilizzati a fini lavorativi dai propri dipendenti (o dirigenti).
Per quanto riguarda l’accordo in esame dobbiamo dire che questo si riferisce esclusivamente a servizi e dati aziendali in mobilità trattati dal lavoratore attraverso dispositivi e Sim totalmente aziendali.
Restano quindi esclusi i dispositivi di proprietà dei lavoratori ed utilizzati sia per il lavoro che per esigenze personali.
Perché questa limitazione?
Un accordo innovativo a metà per le preoccupazioni delle altre organizzazioni sindacali.
Prima abbiamo parlato di nuove frontiere per la contrattazione. In questo caso la cosa è così vera che l’essere i primi ha fatto tremare “le vene e i polsi” alle altre due organizzazioni sindacali!
In effetti la materia è delicata: basti pensare alla possibile grave irruzione nella sfera privata che potrebbe essere causata da questi programmi, in grado di leggere nomi e contenuti delle app installate nei device mobili.
Anche la semplice lettura dei programmi installati potrebbe “carpire” notizie sul loro stato di salute, sulle loro opinioni politiche, sul loro orientamento sessuale ecc. Il problema è dunque reale, ma questo non può spingerci a fermarci impotenti, ma casomai ad esigere le massime garanzie anche tecniche in modo che questo non avvenga. Dobbiamo, inoltre, sapere che, in alternativa, l’azienda può avere l’autorizzazione dall’Ispettorato del lavoro e non crediamo con più garanzie per i lavoratori di quelle che potremmo avere dall’accordo con l’azienda.
Tecnicamente è possibile creare uno spazio nei device per la sola attività di lavoro ed impedire ai programmi aziendali anche semplicemente di leggere i programmi personali installati. Tra l’altro le norme per la tutela della sfera privata dei lavoratori prevedono, in questi casi, che, in maniera preliminare, venga effettuata una “valutazione d’impatto sulla protezione dei dati personali” (data protection impact assessment (DPIA)), che prevede anche l’intervento delle organizzazioni sindacali e dei loro tecnici.