Privacy: le linee guida del Garante per posta elettronica e internet

Il Garante della Privacy, con provvedimento generale del 1° marzo 2007 ha fornito concrete indicazioni in ordine all´uso dei computer sul luogo di lavoro, prescrivendo ai datori di lavoro l’obbligo di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di internet e della posta elettronica e sulla possibilità che vengano effettuati controlli.

Il Garante ha indicato ai datori di lavoro, le seguenti linee guida:

a) adozione e pubblicizzazione di un disciplinare interno

Il disciplinare interno deve essere redatto in modo chiaro e senza formule generiche e pubblicizzatoe adeguatamente verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall´art. 7 dello Statuto dei lavoratori

Il documento deve indicare chiaramente le regole per l´uso di internet e della posta elettronica, specificando, a seconda dei casi:

· se determinati comportamenti non sono tollerati rispetto alla navigazione in internet (download di software o di file musicali) o alla tenuta di file nella rete interna;

· in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l´arco temporale di utilizzo (fuori dall´orario di lavoro, durante le pause o anche nel tempo di lavoro);

· quali informazioni sono memorizzate temporaneamente e chi (anche all´esterno) vi può accedere legittimamente;

· se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );

· se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche – per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);

· quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;

· le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell´attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all´attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;

· se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell´interessato;

· quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l´eventuale segreto professionale cui siano tenute specifiche figure professionali;

· le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B), in particolare regole 4, 9, 10).

b) adozione di misure di tipo organizzativo

Dopo attenta valutazione dell´impatto sui diritti dei lavoratori, si deve individuare preventivamente (anche per tipologie) non solo a quali lavoratori è accordato l´utilizzo della posta elettronica e dell´accesso a internet, ma anche quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi;

c) adozione di misure di tipo tecnologico rispetto alla "navigazione" in internet

Individuazione di categorie di siti considerati correlati o non correlati con la prestazione lavorativa; configurazione di sistemi o l´utilizzo di filtri che prevengano determinate operazioni; trattamento di dati in forma anonima o tale da precludere l´immediata identificazione degli utenti mediante opportune aggregazioni; eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza; graduazione dei controlli

d) adozione di misure di tipo tecnologico e rispetto all´utilizzo della posta elettronica

Messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali; eventuale attribuzione al lavoratore di un diverso indirizzo destinato ad uso privato; messa a disposizione di ciascun lavoratore, con modalità di agevole esecuzione, di apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le "coordinate" di altro soggetto o altre utili modalità di contatto dell´istituzione presso la quale opera il lavoratore assente.

Il Garante vieta ai datori di lavoro privati e pubblici, ai sensi dell´art. 154, comma 1, lett. d), del Codice, di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori, svolti in particolare mediante:

a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;

b) la riproduzione e l´eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;

c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;

d) l´analisi occulta di computer portatili affidati in uso;

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l´area da richiamare all´osservanza delle regole. Solo successivamente, ripetendosi l´anomalia, si potrebbe passare a controlli su base individuale.

Giovanni Scotti