3.1.
Disciplina interna
In base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di
trasparenza, come prevede anche la disciplina di settore (
art. 4, secondo comma, Statuto dei lavoratori;allegato VII,
par. 3 d.lg. n. 626/1994 e successive integrazioni e modificazioni in materia di "uso di attrezzature munite di
videoterminali", il quale esclude la possibilità del controllo informatico "all'insaputa dei lavoratori"
).
(5)
Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali
siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali
modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di
informazione, concertazione e consultazione delle organizzazioni sindacali.
Per la predetta indicazione il datore ha a disposizione vari mezzi, a seconda del genere e della complessità delle
attività svolte, e informando il personale con modalità diverse anche a seconda delle dimensioni della struttura,
tenendo conto, ad esempio, di piccole realtà dove vi è una continua condivisione interpersonale di risorse
informative.
3.2.
Linee guida
In questo quadro, può risultare opportuno adottare un disciplinare interno redatto in modo chiaro e senza formule
generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui
luoghi di lavoro con modalità analoghe a quelle previste dall'art. 7 dello Statuto dei lavoratori, ecc.) e da sottoporre
ad aggiornamento periodico.
A seconda dei casi andrebbe ad esempio specificato:
se determinati comportamenti non sono tollerati rispetto alla "navigazione" in Internet (ad es., il
download
di
software
o di
file
musicali), oppure alla tenuta di file nella rete interna;
in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche
solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di
webmail
, indicandone le
modalità e l'arco temporale di utilizzo (ad es., fuori dall'orario di lavoro o durante le pause, o consentendone
un uso moderato anche nel tempo di lavoro);
quali informazioni sono memorizzate temporaneamente (ad es., le componenti di
file
di
log
eventualmente
registrati) e chi (anche all'esterno) vi può accedere legittimamente;
se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o
meno (anche per effetto di copie di
back up
, della gestione tecnica della rete o di
file
di
log
);
se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche
saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati
(anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso
di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli
nominativi o su singoli dispositivi e postazioni);
quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la
posta elettronica e la rete Internet sono utilizzate indebitamente;
le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell'attività lavorativa
in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all'attivazione
di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell'interessato;
quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l'eventuale
segreto professionale cui siano tenute specifiche figure professionali;
le prescrizioni interne sulla sicurezza dei dati e dei sistemi (
art. 34 del Codice, nonché Allegato B), in
particolare regole 4, 9, 10
).
3.3.
Informativa (art. 13 del Codice)
All'onere del datore di lavoro di prefigurare e pubblicizzare una
policy
interna rispetto al corretto uso dei mezzi e agli
eventuali controlli, si affianca il dovere di informare comunque gli interessati ai sensi dell'art. 13 del Codice, anche
unitamente agli elementi indicati ai punti 3.1. e 3.2..
Rispetto a eventuali controlli gli interessati hanno infatti il diritto di essere informati preventivamente, e in modo
chiaro, sui trattamenti di dati che possono riguardarli.
Le finalità da indicare possono essere connesse a specifiche esigenze organizzative, produttive e di sicurezza del
lavoro, quando comportano un trattamento lecito di dati (
art. 4, secondo comma, l. n. 300/1970
); possono anche
riguardare l'esercizio di un diritto in sede giudiziaria.
Devono essere tra l'altro indicate le principali caratteristiche dei trattamenti, nonché il soggetto o l'unità
Pagina 3 di 10
Garante Privacy
04/09/2010
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522