Privacy posta elettronica - internet e dati dei lavoratori

Le nuove linee guida del Garante per posta elettronica, internet e gestione dei dati dei lavoratori

Dal sito del Garante:

Le regole aziendali, il doppio indirizzo e-mail, il fiduciario, i siti non accessibili

I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

Il Garante privacy, con un provvedimento generale che sarà pubblicato sulla “Gazzetta Ufficiale”, fornisce concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. “La questione è particolarmente delicata – afferma il relatore Mauro Paissan – perché dall'analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori”.

L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il  monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda.

Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre  controlli successivi sui lavoratori.  Per quanto riguarda Internet è opportuno ad esempio:

• individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
• utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta  di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l'azienda:

• renda disponibili anche indirizzi condivisi tra più lavoratori  (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
• valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
• preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
• metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare  il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale.

Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

Gestione dei dati dei lavoratori:

"No ad archivi centralizzati per i dati biometrici, dati sanitari conservati in fascicoli separati, cartellini identificativi a prova di privacy, lavoratori informati sui loro diritti. Il Garante ha definito, per la prima volta in un quadro unitario, misure ed accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro. Il provvedimento generale, relatore Mauro Paissan, è stato adottato anche in seguito a numerose istanze di lavoratori, organizzazioni sindacali e imprese. A questo provvedimento ne seguiranno altri che affronteranno specifiche tematiche, come l'uso delle e-mail e la navigazione in Internet.
Queste in sintesi i punti principali delle linee guida.

Principi generali 
Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve individuare il personale che  può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni.
Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e  gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso

Cartellini identificativi, Intranet, bacheche aziendali
Nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale.
Senza consenso non si possono comunicare informazioni  ad associazioni di datori di lavoro, di ex dipendenti o a conoscenti, familiari, parenti. Il consenso è necessario anche per pubblicare informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet. Nella bacheca aziendale possono essere affissi solo ordini di servizio,  turni lavorativi o feriali. Non si possono invece diffondere emolumenti percepiti,  sanzioni disciplinari, assenze per malattia, adesione ad associazioni.

Dati sanitari
I dati sanitari vanno conservati in fascicoli separati. Il lavoratore  assente per malattia è tenuto a consegnare al proprio ufficio un  certificato senza la diagnosi ma con la sola indicazione dell'inizio e della durata presunta dell'infermità.  Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia  di infortuni o malattie professionali all'Inail, il datore di lavoro deve limitarsi a  comunicare solo le informazioni connesse alla patologia denunciata.

Dati biometrici
Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad "aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti riservati).  Anche quando l'uso è consentito non è ammessa la costituzione di banche dati centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del dipendente."