E-mail aziendali? Cautela. Le linee guida del Garante Privacy

Con doc. web 1387522 pubblicato in Gazzetta Ufficiale n. 58 del 10.3.2007 e reperibile al seguente link: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1387522 il Garante Privacy ha dettato le regole a tutela della privacy dei lavoratori per l’ “Utilizzo della posta elettronica e della rete Internet nel rapporto di lavoro”.

In estrema sintesi i datori di lavoro devono:

1) adottare le misure necessarie a garanzia degli interessati/lavoratori, specificando le modalità di utilizzo da parte loro della posta elettronica e della rete Internet, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli;

2) adottare (e rendere noto ai lavoratori) un disciplinare interno;

3) adottare misure organizzative per valutare l’impatto sui diritti dei lavoratori, individuare (anche per tipologie) a quali lavoratori è accordato l’utilizzo della posta elettronica e dell’accesso a Internet, quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi;

4) adottare misure di tipo tecnologico, più precisamente:

          4.1- rispetto alla “navigazione” in Internet:

– individuare le categorie di siti considerati correlati con la prestazione lavorativa;

– configurare sistemi (o utilizzare filtri) che prevengano determinate operazioni;

– fare in modo di trattare i dati in forma anonima o comunque in maniera tale da precludere l’immediata identificazione degli utenti;

– limitare l’eventuale conservazione di dati al tempo strettamente necessario al perseguimento di finalità organizzative, produttive e di sicurezza;

– graduare i controlli (evitando un’interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori e soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata, rispettando i principi di pertinenza e non eccedenza, preferendo, ove sufficiente, un controllo preliminare su dati aggregati, riferiti all’intera struttura lavorativa o a sue aree, evitando inammissibili controlli prolungati, costanti o indiscriminati).

          4.2- Rispetto all’utilizzo della posta elettronica:

– mettere a disposizione indirizzi di posta elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali;
– mettere a disposizione di ciascun lavoratore, con modalità di agevole esecuzione, apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di altro soggetto o altre utili modalità di contatto dell’istituzione presso la quale opera il lavoratore assente;
– consentire che, qualora si debba conoscere il contenuto dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività lavorativa, l’interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa.
– inserire nei messaggi un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale del messaggio e sia specificato se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente;
– graduare i controlli (v. sopra).

5) astenersi dall’effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori svolti in particolare mediante:

– la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
– la riproduzione e l’eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
– la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
– l’analisi occulta di computer portatili affidati in uso;

6) individuare i casi nei quali il trattamento dei dati personali di natura non sensibile può essere effettuato per perseguire un legittimo interesse del datore di lavoro anche senza il consenso degli interessati (Art. 24, co. 1, lett. f, g Codice Privacy).
(Per i Datori di lavoro pubblici i presupposti sono diversi: artt. 18-22 e 112 Codice Privacy).
In tutti i casi predetti resta impregiudicata la facoltà del lavoratore di opporsi al trattamento per motivi legittimi (art. 7, comma 4, lett. a), del Codice ).