PRESIDENZA DEL CONSIGLIO DEI MINISTRI, DIRETTIVA N. 2/2009
Oggetto: Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro.
PREMESSA
Le risorse ICT costituiscono, ormai da tempo, il principale strumento di lavoro posto a disposizione dei dipendenti delle pubbliche amministrazioni.
L'ampia distribuzione di tali risorse tra i dipendenti ne favorisce il diffuso utilizzo anche per finalità diverse da quelle lavorative. La prassi, ancorché ben conosciuta dalle Amministrazioni, è difficile da monitorare, sia per il costo dell'eventuale attività di monitoraggio, sia per le implicazioni relative alla tutela della riservatezza e dei dati personali.
D'altronde, tale utilizzo non istituzionale non provoca, di norma, costi aggiuntivi, tenuto conto della modalità di pagamento "fìat" (non riferita, pertanto, al consumo) utilizzata nella generalità dei casi dalle Amministrazioni per l'utilizzo di quasi tutte le risorse ICT (postazioni di lavoro, connessioni di rete e posta elettronica).
In considerazione della delicatezza della materia, che tocca i diritti individuali (quale il diritto alla segretezza della corrispondenza) e richiede, pertanto, un giusto bilanciamento con il potere di controllo dell'Amministrazione, si ritiene opportuno fornire indicazioni utili a facilitare, da un lato, il corretto utilizzo degli strumenti ICT da parte dei dipendenti e, dall'altro, il proporzionato esercizio del potere datoriale di controllo da parte delle Amministrazioni in indirizzo.
1. Esercizio del potere di controllo e doveri di comportamento dei dipendenti delle pubbliche amministrazioni
Le Pubbliche Amministrazioni, in quanto datori di lavoro, sono tenute ad assicurare la funzionalità ed il corretto impiego degli strumenti ICT da parte dei propri dipendenti, definendone le modalità di utilizzo nell'organizzazione dell'attività lavorativa ed adottando le misure necessarie a garantire la sicurezza, la disponibilità e l'integrità dei sistemi informativi.
Nell'esercizio del potere di controllo, le Amministrazioni devono attenersi ad alcune regole e principi generali:
innanzitutto deve essere rispettato il principio di proporzionalità, che si concreta nella pertinenza e non eccedenza delle attività di controllo. Le limitazioni della libertà e dei diritti individuali devono, infatti, essere proporzionate allo scopo perseguito; è in ogni caso esclusa l'ammissibilità di controlli prolungati, costanti e indiscriminati;
inoltre, l'introduzione di tecnologie e di strumenti per il controllo sull'uso della rete e della posta elettronica deve essere fatto rispettando le procedure di informazione/consultazione delle rappresentanze dei lavoratori previste dai contratti collettivi;
infine, i lavoratori devono essere preventivamente informati dell'esistenza di dispositivi di controllo atti a raccogliere i dati personali.
A fronte del potere di controllo dell'Amministrazione datore di lavoro, esiste in capo ai dipendenti l'obbligo, sancito da norme di legge (anche di rilevanza penale) e di contratto, di adottare comportamenti conformi al corretto espletamento della prestazione lavorativa ed idonei a non causare danni o pericoli ai beni mobili ed agli strumenti ad essi affidati, tra i quali vi sono le attrezzature ICT ed i sistemi informativi messi a disposizione dall'Amministrazione.
Al riguardo, si ritiene opportuno ricordare, oltre alle disposizioni del Codice disciplinare contenuto nei contratti collettivi di comparto (che dispongono sanzioni in caso di "negligenza nella cura dei locali e dei beni mobìli o strumenti a lui affidati o sui quali, in relazione alle sue responsabilità, debba espletare azione di vigilanza"), anche il dettato del Codice di comportamento dei dipendenti delle pubbliche amministrazioni di cui al Decreto del Ministro per la funzione pubblica del 28 novembre 2000 che, ove richiamato dal Codice disciplinare dei CCNL dei diversi comparti, costituisce, oltre che norma di valenza etico-comporamentale, anche vero e proprio obbligo la cui inosservanza da parte dei dipendenti è passibile di sanzione.
In particolare, l'art. 10, comma 3, del Codice di comportamento dispone che "Il dipendente non utilizza a finì privati materiale o attrezzature di cui dispone per ragioni di ufficio. " Pertanto, l'utilizzo delle risorse ICT da parte dei dipendenti, oltre a non dover compromettere la sicurezza e la riservatezza del Sistema informativo, non deve pregiudicare ed ostacolare le attività dell'Amministrazione od essere destinato al perseguimento di interessi privati in contrasto con quelli pubblici.
Anche la giurisprudenza, in particolare quella della Corte dei conti (tra le altre, Sez. giurisd. Piemonte, sent. 1856/2003, e Sez. giurisd. Basilicata, sent. n. 83/2006), ha sanzionato l'indebito utilizzo della connessione ad internet da parte di un dipendente, statuendo che essa configura profili di responsabilità a carico del medesimo per il danno patrimoniale cagionato all'Amministrazione, consistente nel mancato svolgimento della prestazione lavorativa durante le ore di connessione. Con riferimento al potere di controllo, la Corte ha, inoltre, osservato come, a seguito di ripetute e significative anomalie (rilevate, ad esempio, per la presenza di virus provenienti da siti non istituzionali), l'Amministrazione possa svolgere verifiche ex post sui dati inerenti l'accesso alla rete dei propri dipendenti.
Per adempiere il proprio dovere di diligenza e vigilanza nell'utilizzo dei beni e strumenti ad esso affidati, il dipendente ha, pertanto, anche l'obbligo di impedire ad altri indebiti utilizzi della propria apparecchiatura informatica, non rilevando, al fine del difetto di responsabilità, il fatto che altri, in sua assenza, abbia potuto usare la postazione lavorativa. In difetto, il comportamento del dipendente si configura come negligente, inescusabile e gravemente colposo.
2.1 principi contenuti nelle linee guida del Garante della protezione dei dati personali
Con deliberazione del 1° marzo 2007, n. 13 (pubblicato in G.U. n. 58 del 10 marzo 2007), il Garante della protezione dei dati personali ha fornito le linee guida per l'utilizzo nei luoghi di lavoro della posta elettronica e di internet.
Allo stato, lasciando da parte i profili di illecito penale e/o disciplinare sopra richiamati, tale deliberazione costituisce, in particolare per quanto attiene alla disciplina del trattamento dei dati, sicuro punto di riferimento e regolamentazione delle modalità di utilizzo del Sistema informativo delle pubbliche amministrazioni da parte dei dipendenti nell'ambito del rapporto di lavoro.
La deliberazione, nel definire, per i datori di lavoro, le regole in materia di trattamento dei dati personali raccolti in occasione delle attività di verifica del corretto utilizzo della rete Internet e del sistema di posta elettronica da parte dei lavoratori, fissa dei principi che non riguardano esclusivamente la tutela della privacy ma riprendono anche le disposizioni contenute nel "Codice dell'amministrazione digitale" (decreto legislativo 7 marzo 2005, n. 82 pubblicato in G.U. del 16 maggio 2005, n. 112 - S.O. n. 93, aggiornato dal d.lgs. n. 159 del 4 aprile 2006, pubblicato in G.U. del 29 aprile 2006, n. 99 - S.O. n. 105 recante "Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82 recante codice dell'amministrazione digitale").
In particolare, come definito anche dalle linee guida del Garante, il datore di lavoro (secondo i poteri a lui affidati dalle norme del codice civile, articoli 2086, 2087 e 2104), può riservarsi di controllare l'effettivo adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro. Nell'esercizio di tali prerogative, tuttavia, deve rispettare la libertà e la dignità dei lavoratori, tenendo presente, al riguardo, quanto disposto dalle norme poste a tutela del lavoratore (ci si riferisce, in particolare, al divieto di installare "apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori" di cui all'art. 4 della legge n. 300 del 1970).
Inoltre, secondo i richiamati principi di pertinenza e non eccedenza, i mezzi e l'ampiezza del controllo devono essere proporzionati allo scopo: in base a tale considerazione il datore di lavoro potrebbe, ad esempio, verificare se vi è stato indebito utilizzo della connessione ad internet da parte del dipendente attraverso il controllo degli accessi e dei tempi di connessione, senza però indagare sul contenuto dei siti visitati.
I lavoratori devono essere posti in grado di conoscere quali sono le attività consentite, a quali controlli sono sottoposti, le modalità del trattamento dei dati e in quali sanzioni possono incorrere nel caso di abusi. Al riguardo, viene raccomandata l'adozione di un disciplinare interno adeguatamente pubblicizzato e di idonee misure di tipo organizzativo.
3. Utilizzo della rete internet
In capo all'Amministrazione datore di lavoro, alla cui proprietà è riconducibile il Sistema informativo (ivi inclusi le apparecchiature, i programmi ed i dati inviati, ricevuti e salvati), è posto l'onere di predisporre misure per ridurre il rischio di usi impropri di internet, consistenti in attività non correlate alla prestazione lavorativa, quali la visione di siti non pertinenti, l'upload e il download di files, l'uso di servizi di rete con finalità ludiche o comunque estranee all'attività lavorativa.
A tale proposito, si raccomanda alle Amministrazioni di dotarsi di software idonei ad impedire l'accesso a siti internet aventi contenuti e/o finalità vietati dalla legge.
Inoltre, T Amministrazione, tenendo conto delle peculiarità proprie di ciascuna organizzazione produttiva ed, eventualmente, anche dei diversi profili professionali autorizzati all'uso della rete, potrà adottare una o più delle misure indicate dalla citata deliberazione del Garante' della privacy che, a mero titolo riepilogativo, si riportano di seguito:
individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;
configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni -reputate inconferenti con l'attività lavorativa- quali Yupload o l'accesso a determinati siti (inseriti in una sorta di Hack list-) e/o il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato);
trattamento di dati in forma anonima o tale da precludere l'immediata identificazione di utenti mediante loro opportune aggregazioni (ad es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori);
eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza.
Tuttavia, l'utilizzo di internet per svolgere attività che non rientrano tra i compiti istituzionali potrebbe essere regolamentato e, quindi, consentito ai dipendenti per assolvere incombenze amministrative e burocratiche senza allontanarsi dal luogo di lavoro (ad esempio, per effettuare adempimenti on line nei confronti di pubbliche amministrazioni e di concessionari di servizi pubblici, ovvero per tenere rapporti con istituti bancari e assicurativi). Tale modalità, purché contenuta nei tempi strettamente necessari allo svolgimento delle transazioni, avrebbe, inoltre, il vantaggio di contribuire a ridurre gli spostamenti delle persone e gli oneri logistici e di personale per l'amministrazione che eroga il servizio, favorendo, altresì, la dematerializzazione dei processi produttivi.
4. Utilizzo della posta elettronica istituzionale
Con riferimento all'utilizzo della casella di posta elettronica istituzionale deve osservarsi che il contenuto dei messaggi, come pure i file allegati e i dati esteriori delle comunicazioni, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali (qual è anche il luogo di lavoro); un'ulteriore protezione deriva dalle norme penali a tutela dell'inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, comma 4, c.p. ; art. 49 Codice dell'amministrazione digitale).
* Reato di violazione, sottrazione e soppressione di corrispondenza: "Agli effetti delle disposizioni di questa sezione, per "corrispondenza"si intende quella epistolare, telegrafica, telefonica, informatica o telematica, ovvero effettuata con ogni altra forma di comunicazione a distanza".
Al fine di contemperare le esigenze di corretto ed ordinato svolgimento della vita lavorativa e di prevenzione di inutili intrusioni nella sfera personale dei lavoratori e di violazioni della segretezza della corrispondenza, sarebbe, pertanto, opportuno che le Amministrazioni esplicitassero regole e strumenti per l'utilizzo della posta elettronica.
Ciò consentirebbe, infatti, di evitare, ovvero almeno limitare, l'insorgere di difficoltà in ordine all'utilizzo della posta elettronica poiché, per la configurazione stessa dell'indirizzo e-mail, nei singoli casi, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta operando quale espressione dell'Amministrazione o ne faccia, invece, un uso personale pur restando nell'ambito lavorativo istituzionale.
Si invitano, pertanto, le Amministrazioni in indirizzo, attraverso i dirigenti responsabili, ad attuare tutte le misure di informazione, controllo e verifica consentite al fine regolamentare la fruizione delle risorse ICT e responsabilizzare i dipendenti nei confronti di eventuali utilizzi non coerenti con la prestazione lavorativa e non conformi alle norme che disciplinano il lavoro alle dipendenze delle pubbliche amministrazioni.
IL MINISTRO PER LA PUBBLICA AMMINISTRAZIONE E L'INNOVAZIONE
Renato Brunetta
* * *