Con il Provvedimento del 1ڊ marzo 2007, non ancora pubblicato sulla Gazzetta Ufficiale, il Garante della privacy ritorna sul delicato tema dell'utilizzo degli strumenti informatici sul luogo di lavoro, e in particolare dell'email e di internet, e del relativo controllo da parte dei datori di lavoro.
Il Garante non si discosta dalle indicazioni già fornite a livello comunitario dal Gruppo dei Garanti europei con il Documento del 29 maggio 2002 ( il «WP 55»), adattandole alla realtà italiana. Il Garante,in particolare, si preoccupa del concreto coordinamento tra la normativa italiana sulla protezione dei dati personali (decreto legislativo n.196/03) e le norme dello Statuto dei lavoratori, in vigore dal 1970, in materia di tutela della riservatezza dei lavoratori (articoli 4 e 8 richiamati dal Dlgs 196).In questo senso, di fondamentale importanza la precisazione secondo cui gli strumenti hardware e software per il controllo dell'utente di un sistema di comunicazione elettronica sono ricompresi tra le apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori disciplinate dall'articolo 4 dello Statuto.Così pronunciandosi, il Garante conferma l'orientamento della prevalente giurisprudenza del lavoro in tema di controlli a distanza attraverso internet e la posta elettronica aziendale.In altri termini, il Garante ribadisce il divieto di utilizzare tali mezzi allo scopo di ricostruire e controllare direttamente l'attività dei lavoratori e, tanto più, altre condotte personali, con la conseguente inutilizzabilità dei dati così illecitamente raccolti (ferma restando l'eventuale responsabilità civile e penale del datore di lavoro).
D'altra parte,il Garante ribadisce la possibilità di introdurre i sistemi informatici per esigenze produttive e/o organizzative e/ o per necessità di sicurezza sul lavoro, ma solo a condizione che sia rispettata la procedura prevista dal comma 2 dell'articolo 4 dello Statuto (accordo con le rappresentanze sindacali aziendali o, in mancanza, autorizzazione del Servizio ispettivo della competente Direzione provinciale del lavoro), e ciò proprio in ragione dell'instrinseca idoneità di tali strumenti a consentire, anche solo indirettamente, un controllo sull'attività lavorativa dei dipendenti.Proprio con riferimento a questa seconda ipotesi, e sul presupposto che, in ogni caso,si è sempre in presenza di un trattamento di dati personali dei lavoratori, il Garante detta alcune linee guida cui i datori di lavoro devono conformarsi. Innanzitutto, occorre trasparenza: il datore di lavoro deve preventivamente informare, attraverso apposite policy,
i lavoratori sull'uso che questi possono fare del computer aziendale in loro dotazione, specificando se e in che misura sia consentito o tollerato un uso privato dello stesso.Ma soprattutto il datore di lavoro deve informare i lavoratori che l'uso di tali strumenti può essere oggetto di controllo e, in caso di uso difforme, anche di sanzioni disciplinari, compreso il licenziamento.Per quel che riguarda in particolare la navigazione del dipendente in internet, il Garante prescrive che il datore di lavoro, per ridurre il rischio di usi impropri, debba adottare alcune misure, quali ad esempio, la preventiva individuazione di siti considerati correlati o meno con la prestazione lavorativa, la configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni, come l'accesso a certi siti inseriti in una sorta di black list, e/o il download di file o software aventi particolari caratteristiche (dimensionali o di contenuto).
Quanto, invece, all'uso della posta elettronica aziendale (es: nome.cognome@nomeazienda. it),il Garante precisa correttamente che la mancata indicazione in una policy aziendale dei limiti di utilizzo da parte del dipendente può determinare una legittima aspettativa, da parte di quest'ultimo e di terzi, di riservatezza del messaggio, ilquale, invece, dovrebbe essere considerato come posta tradizionale indirizzata all'impresa, seppure all'attenzione del singolo lavoratore.In questo quadro il Garante,proprio al fine di evidenziare la natura di bene aziendale dello strumento informatico, suggerisce l'adozione di un indirizzo di posta elettronica aziendale condiviso tra più lavoratori (es: ufficiovendite@ nomeazienda.it), a cui eventualmente affiancarne uno, individuale,destinatoa un uso privato,qualora losi voglia consentire.
Alla luce di tale provvedimento, non pare più possibile per i datori di lavoro sottrarsi all'adozione di policy aziendali con le quali informare i propri dipendenti circa l'uso della rete Internet e dell'email aziendale e dei relativi controlli.E ciò a pena dell'inutilizzabilità dei dati raccolti tramite i controlli comunque posti in essere, anche ove gli stessi portino a conoscenza del compimento di gravi inadempimenti.
