parimenti suscettibili (anche attraverso la tenuta di
log file
di traffico
e-mail
e l'archiviazione di messaggi) di
controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento)
del contenuto della corrispondenza;
e) le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi,
identificati o identificabili.
(1)
1.2.
Tutela del lavoratore
Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la
vita privata di lavoratori e di terzi. La linea di confine tra questi ambiti, come affermato dalla Corte europea dei diritti
dell'uomo, può essere tracciata a volte solo con difficoltà.
(2)
Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e
della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l'esplicazione
della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e
professionali (
artt. 2 e 41, secondo comma, Cost.; art. 2087 cod. civ.; cfr. altresì l'art. 2, comma 5, Codice
dell'amministrazione digitale (d.lg. 7 marzo 2005, n. 82), riguardo al diritto ad ottenere che il trattamento dei dati
effettuato mediante l'uso di tecnologie telematiche sia conformato al rispetto dei diritti e delle libertà fondamentali,
nonché della dignità dell'interessato
).
(3)
Non a caso, nell'organizzare l'attività lavorativa e gli strumenti utilizzati, diversi datori di lavoro hanno prefigurato
modalità d'uso che, tenendo conto del crescente lavoro in rete e di nuove tariffe di traffico forfettarie, assegnano
aree di lavoro riservate per appunti strettamente personali, ovvero consentono usi moderati di strumenti per finalità
private.
2. Codice in materia di protezione dei dati e discipline di settore
2.1.
Principi generali
Nell'impartire le seguenti prescrizioni il Garante tiene conto del diritto alla protezione dei dati personali, della
necessità che il trattamento sia disciplinato assicurando un elevato livello di tutela delle persone, nonché dei principi
di semplificazione, armonizzazione ed efficacia (
artt. 1 e 2 del Codice
). Le prescrizioni potranno essere aggiornate
alla luce dell'esperienza e dell'innovazione tecnologica.
2.2.
Discipline di settore
Alcune disposizioni di settore, fatte salve dal Codice, prevedono specifici divieti o limiti, come quelli posti dallo
Statuto dei lavoratori sul controllo a distanza (
artt. 113, 114 e 184, comma 3, del Codice; artt. 4 e 8 l. 20 maggio
1970, n. 300
).
La disciplina di protezione dei dati va coordinata con regole di settore riguardanti il rapporto di lavoro e il connesso
utilizzo di tecnologie, nelle quali è fatta salva o richiamata espressamente (
art. 47, comma 3, lett. b) Codice
dell'amministrazione digitale
).
(4)
2.3.
Principi del Codice
I trattamenti devono rispettare le garanzie in materia di protezione dei dati e svolgersi nell'osservanza di alcuni
cogenti principi:
a) il principio di
necessità
, secondo cui i sistemi informativi e i programmi informatici devono essere
configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi in relazione alle finalità
perseguite (
art. 3 del Codice; par. 5.2
);
b) il principio di
correttezza
, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note
ai lavoratori (
art. 11, comma 1, lett. a), del Codice
). Le tecnologie dell'informazione (in modo più marcato
rispetto ad apparecchiature tradizionali) permettono di svolgere trattamenti ulteriori rispetto a quelli connessi
ordinariamente all'attività lavorativa. Ciò, all'insaputa o senza la piena consapevolezza dei lavoratori,
considerate anche le potenziali applicazioni di regola non adeguatamente conosciute dagli interessati (
v. par.
3
);
c) i trattamenti devono essere effettuati per finalità
determinate
,
esplicite
e
legittime
(
art. 11, comma 1,
lett. b), del Codice: par. 4 e 5
), osservando il principio di
pertinenza
e
non eccedenza
(
par. 6
). Il datore di
lavoro deve trattare i dati
"nella misura meno invasiva possibile"
; le attività di monitoraggio devono essere
svolte solo da soggetti preposti (
par. 8
) ed essere
"mirate sull'area di rischio, tenendo conto della normativa
sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza"
(
Parere n. 8/2001
,
cit., punti 5 e 12
).
3. Controlli e correttezza nel trattamento
Pagina 2 di 10
Garante Privacy
04/09/2010
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522