| Home | Lista RSU | Guida Sindacale | Accordi Importanti | Indici Tematici | Storico | Contattaci | Iscriviti | Sindacati | Ricerca |
Con questo intervento, fatto a nome delle Rappresentanze Sindacali dei lavoratori IBM, vorrei cogliere l’occasione per far rilevare quegli aspetti di problematicità e ambiguità che sono correlati all’applicazione, nel mondo del lavoro, della Legge sulla Privacy e lo farò riferendomi principalmente agli ambienti dove si fa massiccio utilizzo di tecnologie informatiche.
Il recente Decreto del Presidente della Repubblica (n 318/1999), attuativo della legge sulla privacy (n 675/1996) nel campo dell’informatica, ha generato seri problemi sia in rapporto alle prescrizioni previste dall’art. 4 dello Statuto dei Lavoratori che vieta il controllo a distanza dell’attività lavorativa, sia agli accordi sindacali aziendali che, negli anni ottanta e novanta, hanno consentito di applicare la lettera e lo spirito della legge 300/70 alla realtà aziendale di IBM.
Brevemente, il decreto del Presidente della Repubblica n 318/1999, all’articolo 4, impone l’utilizzo di un’utenza individuale a chi tratta dati informatizzati considerati privati secondo l’accezione prevista dalla legge sulla privacy; infatti, l’uso di un’utenza individuale consente sempre di risalire - tramite l’analisi di quanto registrato nelle memorie degli elaboratori informatici, ovvero nei cosiddetti log - a chi questi dati ha elaborato. L’articolo 4 dello Statuto dei Lavoratori, invece, vieta quel controllo a distanza dell’attività lavorativa che, proprio attraverso l’utilizzo di utenze individuali, il datore di lavoro realizza oppure può realizzare e prescrive l’accordo tra le parti sociali in tutti quei casi in cui sia impossibile evitare totalmente l’utilizzo di strumenti potenzialmente in grado di effettuare il citato controllo (l’accordo è ovviamente finalizzato a stabilire le condizioni e le regole per l’utilizzo di detti strumenti).
Prima di illustrare come in IBM si sia arrivati a impedire il controllo a distanza informatico, vale la pena di accennare brevemente al funzionamento delle utenze, individuali e/o di gruppo, che consentono di accedere ai dati e alle applicazioni informatiche che questi dati elaborano.
Le applicazioni di cui si sta parlando sono applicazioni installate su grandi computer - i cosiddetti mainframe - e per poterle utilizzare ogni singolo lavoratore deve avere un’utenza e una parola d’ordine - la “password” - che ne determinano l’abilitazione all’utilizzo. La gestione dei diversi livelli di abilitazione è ovviamente fatta mediante un software che funge da garante/gestore della sicurezza dei dati e delle applicazioni informatiche. Il responsabile aziendale della sicurezza, ovvero il Central Security Officer, stabilisce se una utenza debba essere individuale o di gruppo e, mediante il software citato, codifica questa utenza e le assegna una serie di abilitazioni; queste abilitazioni possono essere molto generiche (la stessa utenza è abilitata a molte applicazioni), oppure molto specifiche (un’utenza è abilitata a eseguire solo una parte di un’applicazione o addirittura a trattare solo parzialmente i dati gestiti da quella stessa applicazione). Un esempio di abilitazione molto specifica può essere il seguente: un’utenza può utilizzare l’applicazione che gestisce le fatture esclusivamente per la parte che ne consente la visura, ovvero non sono consentiti aggiornamenti e/o variazioni, e ciò limitatamente alle fatture di quei clienti che appartengono alla filiale del detentore dell’utenza stessa.
Questa metodologia di accesso alle applicazioni viene applicata sempre, sia che il lavoratore utilizzi un cosiddetto terminale stupido, sia che il lavoratore utilizzi un personal computer. In quest’ultimo caso, però, oltre all’utenza e alla password citate, il lavoratore può avere anche un’utenza e una password per l’utilizzo del personal computer.
Occorre precisare che il personal computer raramente è isolato (stand-alone, come si dice), ma molto spesso fa parte di una rete gestita da un “server” che, a sua volta, si collega con un main-frame: in questo caso il lavoratore ha bisogno di utenza e password per utilizzare il personal stesso, quindi di un’altra utenza e password per accedere al server e, infine, di un ulteriore autorizzazione elettronica per accedere eventualmente ad altre applicazioni e/o dati messi a disposizione dal più volte citato mainframe. Prima di parlare degli accordi sindacali che regolano l’accesso ai dati gestiti elettronicamente occorre subito precisare che, per quanto riguarda le due situazioni citate per ultime, detti accordi non se ne preoccupano: prima di tutto perché essi risalgono ad un periodo in cui non esistevano situazioni di questo tipo, e poi perché viene ritenuta particolarmente esigua la possibilità di controllo a distanza.
Come RSU IBM, siamo tuttavia consapevoli della necessità di affrontare nuovamente la questione delle possibilità di controllo a distanza in questo nuovo contesto di elaboratori portatili collegati saltuariamente alla rete all’interno e all’esterno delle sedi aziendali. Se è vero che nella maggior parte dei casi i tempi di connessione sono abbastanza ridotti, è altresì vero che nel corso di questi collegamenti viene scambiata una grande quantità di dati, alcuni dei quali potrebbero documentare in dettaglio l’attività del lavoratore. Per comprendere come questa potenzialità tecnologica esista effettivamente, possiamo prendere come esempio, in IBM, l’applicazione inizialmente realizzata per verificare l’adeguamento di tutte le stazioni di lavoro alla corretta gestione dell’Anno 2000: essa è stata modificata per verificare periodicamente la correttezza dell’intera installazione di ciascuna macchina in rete che viene quindi, per così dire, “esplorata a distanza”. E’ inoltre tutta da affrontare la nuova tematica dei servizi telefonici di assistenza remota (i cosiddetti “Call Center”), oltretutto spesso esternalizzati e/o ubicati all’estero, grandi utilizzatori di stazioni di lavoro in rete, in cui i controlli quali/quantitativi della prestazione lavorativa potrebbero essere molto pesanti.
Nel 1982 IBM le Rappresentanze Sindacali siglarono un accordo, rinnovato nel 1985 nel 1991, che prevedeva due ordini di soluzioni al problema del controllo a distanza:
L’intesa sindacale consente inoltre:
Raggiungere l’intesa appena sommariamente descritta fu particolarmente difficile e impegnativo: fu infatti necessario, da parte delle Rappresentanze e delle Organizzazioni Sindacali, ricorrere alla Magistratura e affrontare un processo lungo e faticoso.
Il processo si concluse con una sentenza, sostanzialmente anche se non formalmente, favorevole al Sindacato: IBM venne assolta per insufficienza di prove in quanto non aveva la consapevolezza dell’antisocialità del comportamento. La sentenza costrinse IBM ad affrontare il negoziato con un atteggiamento di maggiore disponibilità e ne ha consentito la positiva conclusione.
Ma all’inizio del 2000, invocando la legge sulla privacy, IBM ha deciso di abolire tutte le utenze di gruppo dicendosi costretta a disattendere quanto previsto dalle intese sindacali precedentemente descritte e sostenendo il prevalere della legge citata rispetto allo Statuto dei Diritti dei Lavoratori.
Le Rappresentanze Sindacali, che come si può immaginare la pensano in tutt’altro modo, si oppongono fermamente all’iniziativa aziendale, ma, altrettanto fermamente, ritengono che il Garante debba mettere ordine in questa materia e si debba comunque esprimere sul caso specifico: a questo scopo hanno rivolto un quesito al Garante e attendono con pazienza la risposta.
… E non si può neppure nascondere il contrasto fra norme legislative di pari grado: con la Legge sulla Privacy e i conseguenti decreti attuativi si vuole difendere il diritto del cittadino i cui dati vengono elaborati, calpestando però il diritto del lavoratore che li elabora e al quale vanno applicate le tutele previste dalla legge 300/70.
Un’ultima considerazione.
Le intese sindacali aziendali realizzate in IBM riguardano principalmente applicazioni informatiche nate negli anni ottanta e nei primi anni novanta, quelle che, come già accennato, nel gergo dell’informatica si chiamano applicazioni “legacy”: esse sono ancora moltissime, sia in IBM sia nel mondo economico industriale, ma il loro peso sta diminuendo e la loro importanza si sta riducendo. Sempre più le attività lavorative si svolgono tramite personal computer, tramite reti di computer, tramite Internet e Intranet, tramite sistemi e mondi al tempo stesso più semplici, se presi singolarmente, ma più complessi se considerati nel loro insieme e nelle loro interconnessioni: le possibilità di controllo a distanza, insomma, non solo non diminuiscono, bensì aumentano a dismisura.
Pochi mesi fa un tribunale francese ha assolto un dipendente IBM, che era stato accusato perché passava troppo del suo tempo lavorativo a navigare in Internet: è stato assolto perché IBM stessa aveva più volte sollecitato i propri dipendenti a usare Internet e a entrare in confidenza con questo tipo di mondo. Occorre sottolineare, però, che l’accusa era basata sulle statistiche ricavate dai “log” di Internet, ovvero da registrazioni che consentono ai titolari di siti e di portali, nonché ai provider ecc., di verificare chi, come, quando, quanto, ecc. accede alla rete.
In questi e altri casi, il problema è sia quello del controllo a distanza sia quello della privacy, il controllo a distanza del lavoratore quando lavora e la sua privacy quando fa altro: la traccia sottile di tutto quello che facciamo, sia sul lavoro che nel tempo libero, è là: su tutti i log di tutti i computer del mondo. Forse i presunti controllori potranno essere assolti perché non si rendono conto di quali controlli possono esercitare, oppure perché hanno una tale massa di informazioni che non riescono più a gestirle, ma l’incoscienza o l’incapacità non possono tranquillizzare nessuno: “prima di tutto il legislatore che deve tutelare i diritti e la libertà di tutti”.
R.S.U. IBM Italia S.p.A.
Milano e Segrate