Il tema dell’utilizzo di Internet e della posta elettronica da parte dei dipendente è uno di quelli sul quale il Garante per la Privacy è più volte intervenuto, dato il continuo permeare di queste tecnologie all’interno del rapporto di lavoro e data la stringente necessità di contemperare due legittimi ma diversi interessi: da un lato, l’interesse del datore di lavoro a vigilare, anche a scopo di sicurezza, affinché non vi sia un utilizzo improprio degli strumenti in questione, dall’altro l’interesse del lavoratore al rispetto della propria libertà e dignità, che, come noto, trovano tutela nel Codice della Privacy e nello Statuto dei lavoratori.
L’unica disciplina in materia era contenuta nello Statuto dei Lavoratori[1] che, fino alla recente modifica introdotta in materia di controlli a distanza da parte del decreto legislativo n. 151/2015, sanciva il divieto dell’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. La staticità della norma, unitamente allo sviluppo delle nuove tecnologie ed al loro massivo utilizzo all’interno dei rapporti di lavoro[2], ha portato nel tempo la giurisprudenza, anche comunitaria, ed il Garante per la Privacy a dettare delle regole e dei principi in tale ambito, e da ultimo, il legislatore a recepire tali indirizzi modificando la struttura e l’impostazione dell’art. 4 dello Statuto dei Lavoratori.
Linee guida del Garante per la Privacy per posta elettronica ed internet
Il Garante, nell’impartire ai datori di lavoro alcune prescrizioni con le “Linee guida per posta elettronica ed internet” del 2007, nel rispetto del diritto alla protezione dei dati personali e del principio di correttezza nel trattamento degli stessi ex artt. 11 del D. Lgs n. 196/2003 (Codice della Privacy), poneva l’accento sull’onere di informazione a carico del datore di lavoro al fine di indirizzare i propri dipendenti verso un corretto utilizzo degli strumenti di lavoro. Dunque, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa e il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, il datore di lavoro ha l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo ritenute corrette degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli, anche su base individuale. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.
Politcy interna
In questo quadro, per il Garante risulta opportuno adottare una policy interna, redatta in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro) e da sottoporre ad aggiornamento periodico. L’assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.
Secondo le linee guida, a seconda dei casi, potrebbe ad esempio essere specificato nella policy interna:
Misure di tipo organizzativo e tecnologico
In applicazione del principio di necessità (art. 3 Codice della Privacy) il datore di lavoro è chiamato a promuovere ogni opportuna misura, organizzativa e tecnologica, volta a prevenire il rischio di utilizzi impropri (da preferire rispetto all’adozione di misure “repressive”) e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori.
Precisamente, il Garante indica quali misure di tipo organizzativo:
Relativamente alle misure di tipo tecnologico indica:
E-mail aziendale dopo la cessazione del rapporto di lavoro
Proprio con riferimento al trattamento di dati effettuato sulla posta elettronica in assenza di una specifica e chiara policy interna, il Garante ha affermato che, dopo la cessazione del rapporto di lavoro, gli account riferiti a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento. Non risulta, pertanto, conforme ai principi di riservatezza, il “reindirizzare” automaticamente i messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.
Si avrà, dunque, il contemperamento dell’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori, nonché dei terzi, soltanto se vi sia la effettiva disattivazione degli account di posta elettronica.
Cordiali saluti.
Luigi Birtolo
[1] Legge n. 300/1970 , art. 4 “Impianti audiovisivi”.
[2] Oltre ai PC, si pensi ai tablet o smartphone concessi come beni aziendali, su cui possono essere installate applicazioni, o agli strumenti di rilevazioni GPS su veicoli aziendali.