GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 1 marzo 2007 | Edilone.it

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 1 marzo 2007

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 1 marzo 2007 - Trattamento di dati personali relativo all'utilizzo di strumenti elettronici da parte dei lavoratori. (GU n. 58 del 10-3-2007)

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 1 marzo 2007

Trattamento di dati personali relativo all’utilizzo di strumenti
elettronici da parte dei lavoratori.

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Giuseppe Fortunato e del dottor Mauro Paissan, componenti, e
del dott. Giovanni Buttarelli, segretario generale;
Visti i reclami, le segnalazioni e i quesiti pervenuti riguardo ai
trattamenti di dati personali effettuati da datori di lavoro riguardo
all’uso, da parte di lavoratori, di strumenti informatici e
telematici;
Vista la documentazione in atti;
Visti gli articoli 24 e 154, comma 1, lettere b) e c) del Codice in
materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.
196);
Viste le osservazioni formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
Premesso
1. Utilizzo della posta elettronica e della rete Internet nel
rapporto di lavoro.
1.1. Premessa.
Dall’esame di diversi reclami, segnalazioni e quesiti e’ emersa
l’esigenza di prescrivere ai datori di lavoro alcune misure,
necessarie o opportune, per conformare alle disposizioni vigenti il
trattamento di dati personali effettuato per verificare il corretto
utilizzo nel rapporto di lavoro della posta elettronica e della rete
Internet.
Occorre muovere da alcune premesse:
a) compete ai datori di lavoro assicurare la funzionalita’ e il
corretto impiego di tali mezzi da parte dei lavoratori, definendone
le modalita’ d’uso nell’organizzazione dell’attivita’ lavorativa,
tenendo conto della disciplina in tema di diritti e relazioni
sindacali;
b) spetta ad essi adottare idonee misure di sicurezza per
assicurare la disponibilita’ e l’integrita’ di sistemi informativi e
di dati, anche per prevenire utilizzi indebiti che possono essere
fonte di responsabilita’ (articoli 15, 31 ss., 167 e 169 del Codice);
c) emerge l’esigenza di tutelare i lavoratori interessati anche
perche’ l’utilizzazione dei predetti mezzi, gia’ ampiamente diffusi
nel contesto lavorativo, e’ destinata ad un rapido incremento in
numerose attivita’ svolte anche fuori della sede lavorativa;
d) l’utilizzo di Internet da parte dei lavoratori puo’ infatti
formare oggetto di analisi, profilazione e integrale ricostruzione
mediante elaborazione di log file della navigazione web ottenuti, ad
esempio, da un proxy server o da un altro strumento di registrazione
delle informazioni. I servizi di posta elettronica sono parimenti
suscettibili (anche attraverso la tenuta di log file di traffico
e-mail e l’archiviazione di messaggi) di controlli che possono
giungere fino alla conoscenza da parte del datore di lavoro (titolare
del trattamento) del contenuto della corrispondenza;
e) le informazioni cosi’ trattate contengono dati personali anche
sensibili riguardanti lavoratori o terzi, identificati o
identificabili 1)
1.2. Tutela del lavoratore.
Le informazioni di carattere personale trattate possono riguardare,
oltre all’attivita’ lavorativa, la sfera personale e la vita privata
di lavoratori e di terzi.La linea di confine tra questi ambiti, come
affermato dalla Corte europea dei diritti dell’uomo, puo’ essere
tracciata a volte solo con difficolta’ 2).
Il luogo di lavoro e’ una formazione sociale nella quale va
assicurata la tutela dei diritti, delle liberta’ fondamentali e della
dignita’ degli interessati garantendo che, in una cornice di
reciproci diritti e doveri, sia assicurata l’esplicazione della
personalita’ del lavoratore e una ragionevole protezione della sua
sfera di riservatezza nelle relazioni personali e professionali
(articoli 2 e 41, secondo comma, Cost.; art. 2087 cod. civ.; cfr.
altresi’ l’art. 2, comma 5, Codice dell’amministrazione digitale
(d.lg. 7 marzo 2005, n. 82), riguardo al diritto ad ottenere che il
trattamento dei dati effettuato mediante l’uso di tecnologie
telematiche sia conformato al rispetto dei diritti e delle liberta’
fondamentali, nonche’ della dignita’ dell’interessato) 3).
Non a caso, nell’organizzare l’attivita’ lavorativa e gli strumenti
utilizzati, diversi datori di lavoro hanno prefigurato modalita’
d’uso che, tenendo conto del crescente lavoro in rete e di nuove
tariffe di traffico forfettarie, assegnano aree di lavoro riservate
per appunti strettamente personali, ovvero consentono usi moderati di
strumenti per finalita’ private.
2. Codice in materia di protezione dei dati e discipline di
settore.
2.1. Principi generali.
Nell’impartire le seguenti prescrizioni il Garante tiene conto del
diritto alla protezione dei dati personali, della necessita’ che il
trattamento sia disciplinato assicurando un elevato livello di tutela
delle persone, nonche’ dei principi di semplificazione,
armonizzazione ed efficacia (articoli 1 e 2 del Codice). Le
prescrizioni potranno essere aggiornate alla luce dell’esperienza e
dell’innovazione tecnologica.
2.2. Discipline di settore.
Alcune disposizioni di settore, fatte salve dal Codice, prevedono
specifici divieti o limiti, come quelli posti dallo Statuto dei
lavoratori sul controllo a distanza (articoli 113, 114 e 184,
comma 3, del Codice; articoli 4 e 8 legge 20 maggio 1970, n. 300).
La disciplina di protezione dei dati va coordinata con regole di
settore riguardanti il rapporto di lavoro e ilconnesso utilizzo di
tecnologie, nelle quali e’ fatta salva o richiamata espressamente
(art. 47, comma 3, lettera b) Codice dell’amministrazione digitale)
4).
2.3. Principi del Codice.
I trattamenti devono rispettare le garanzie in materia di
protezione dei dati e svolgersi nell’osservanza di alcuni cogenti
principi:
a) il principio di necessita’, secondo cui i sistemi informativi
e i programmi informatici devono essere configurati riducendo al
minimo l’utilizzazione di dati personali e di dati identificativi in
relazione alle finalita’ perseguite (art. 3 del Codice;
paragrafo 5.2);
b) il principio di correttezza, secondo cui le caratteristiche
essenziali dei trattamenti devono essere rese note ai lavoratori
(art. 11, comma 1, lettera a), del Codice). Le tecnologie
dell’informazione (in modo piu’ marcato rispetto ad apparecchiature
tradizionali) permettono di svolgere trattamenti ulteriori rispetto a
quelli connessi ordinariamente all’attivita’ lavorativa. Cio’,
all’insaputa o senza la piena consapevolezza dei lavoratori,
considerate anche le potenziali applicazioni di regola non
adeguatamente conosciute dagli interessati (v. paragrafo 3);
c) i trattamenti devono essere effettuati per finalita’
determinate, esplicite e legittime (art. 11, comma 1, lettera b), del
Codice: paragrafi 4 e 5), osservando il principio di pertinenza e non
eccedenza (par. 6). Il datore di lavoro deve trattare i dati «nella
misura meno invasiva possibile»; le attivita’ di monitoraggio devono
essere svolte solo da soggetti preposti (par. 8) ed essere «mirate
sull’area di rischio, tenendo conto della normativa sulla protezione
dei dati e, se pertinente, del principio di segretezza della
corrispondenza» (Parere n. 8/2001, cit., punti 5 e 12).
3. Controlli e correttezza nel trattamento.
3.1. Disciplina interna.
In base al richiamato principio di correttezza, l’eventuale
trattamento deve essere ispirato ad un canone di trasparenza, come
prevede anche la disciplina di settore (art. 4, secondo comma,
Statuto dei lavoratori; allegato VII, paragrafo 3 d.lg. n. 626/1994 e
successive integrazioni e modificazioni in materia di «uso di
attrezzature munite di videoterminali», il quale esclude la
possibilita’ del controllo informatico «all’insaputa dei lavoratori»)
5).
Grava quindi sul datore di lavoro l’onere di indicare in ogni caso,
chiaramente e in modo particolareggiato, quali siano le modalita’ di
utilizzo degli strumenti messi a disposizione ritenute corrette e se,
in che misura e con quali modalita’ vengano effettuati controlli.
Cio’, tenendo conto della pertinente disciplina applicabile in tema
di informazione, concertazione e consultazione delle organizzazioni
sindacali.
Per la predetta indicazione il datore ha a disposizione vari mezzi,
a seconda del genere e della complessita’ delle attivita’ svolte, e
informando il personale con modalita’ diverse anche a seconda delle
dimensioni della struttura, tenendo conto, ad esempio, di piccole
realta’ dove vi e’ una continua condivisione interpersonale di
risorse informative.
3.2. Linee guida.
In questo quadro, puo’ risultare opportuno adottare un disciplinare
interno redatto in modo chiaro e senza formule generiche, da
pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete
interna, mediante affissioni sui luoghi di lavoro con modalita’
analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori,
ecc.) e da sottoporre ad aggiornamento periodico.
A seconda dei casi andrebbe ad esempio specificato:
se determinati comportamenti non sono tollerati rispetto alla
«navigazione» in Internet (ad es., il download di software o di file
musicali), oppure alla tenuta di file nella rete interna;
in quale misura e’ consentito utilizzare anche per ragioni
personali servizi di posta elettronica o…

[Continua nel file zip allegato]

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 1 marzo 2007

Edilone.it