E’ stato finalmente adottato l’atteso provvedimento con il quale il Garante per la protezione dei dati personali fornisce le linee guida per l’utilizzo della posta elettronica e di internet in azienda e le conseguenti regole per il trattamento dei dati personali dei lavoratori.
Il principio generale a cui deve essere in ogni caso ispirato il trattamento dei dati personali relativi alla navigazione in internet e recati dai messaggi di posta elettronica è quello di trasparenza: grava sul datore di lavoro l’onere di indicare chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, ricorda il Garante, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.
Il Garante riconosce che il dovere di informazione che incombe sul datore di lavoro può trovare applicazioni diverse a seconda delle dimensioni della struttura, con particolare riferimento, ad esempio, ai casi di piccole realtà dove vi è una continua condivisione interpersonale di risorse informative.
In conformità al canone di trasparenza e correttezza, il Garante suggerisce di adottare un disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, ecc.) e da sottoporre ad aggiornamento periodico.
Il contenuto del disciplinare potrebbe essere il seguente:
– se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
– in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
– quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
– se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di backup, della gestione tecnica della rete o di file di log );
– se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime – specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
– quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
– le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
– se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell’interessato;
– quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
– le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B), in particolare regole 4, 9, 10).
Quanto al controllo a distanza dei lavoratori, il Garante ribadisce, circostanziando le prescrizioni già in passato formulate nell’ambito di provvedimenti di diversa natura, che non è consentito il trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire l’attività di lavoratori.
A titolo esemplificativo lo stesso Garante formula alcune ipotesi:
– lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
– riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
– lettura e della registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
– analisi occulta di computer portatili affidati in uso.
Garante per la protezione dei dati personali, Deliberazione 1° marzo 2007, n.13