Un blog per lo studio della privacy

Lavoro: le linee guida del Garante per posta elettronica e internet



Le regole aziendali, il doppio indirizzo e-mail, il fiduciario, i siti non accessibili

I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.Il Garante privacy, con un provvedimento generale che sarà pubblicato sulla “Gazzetta Ufficiale”, fornisce concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. “La questione è particolarmente delicata – afferma il relatore Mauro Paissan – perché dall'analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori”.L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il  monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda.

Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre  controlli successivi sui lavoratori.  Per quanto riguarda Internet è opportuno ad esempio:

individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta  di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l'azienda:

renda disponibili anche indirizzi condivisi tra più lavoratori  (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;

valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;

preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare  il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorative

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale.

Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

Roma, 5 marzo 2007

Cari amici, nella fase sperimentale di questo blog mi son permesso di ripescare questo comunicato del garante privacy del 5 marzo 2007: lo lascerò in rete qualche giorno, e poi mi permetterò di pubblicare alcune mie considerazioni.

Posso già anticiparvi che, a mio parere, in questa delicatissima materia il garante si è mosso con estremo equilibrio e giustizia, cercando di contemperare le legittime esigenze dei datori di lavoro ma anche i fondamentali diritti dei lavoratori.

Vi invito a leggere il comunicato, poi ne riparliamo nei prossimi giorni.

Un caro saluto.

S.Massa

Questo blog è stato colpevolmente trascurato.

Purtroppo non sempre si riescono a portare aventi i progetti come una persona vorrebbe...Ma mi riprometto di recuperare il tempo perduto. E, credetemi, ci riuscirò.

Per il momento, come rodaggio, mi limiterò a commentare brevemente delle notizie in tema di privacy.

 Leggiamo insieme questa segnalazione, contenuta nella newsletter n.300 del garante (newsletter n.289 del 3 maggio 2007), ed integralmente riprodotta:

Banche: accesso ai dati e dipendenti infedeli

Il Garante richiama un istituto di credito a maggiori controlli contro accessi non autorizzati alla Centrale rischi della Banca d’Italia

E’ vietato l’accesso ai dati personali dei clienti conservati nella Centrale rischi della Banca d’Italia se non giustificato da legittime esigenze. Il principio è stato ribadito dal Garante che ha dichiarato illecito il comportamento di un  dirigente di banca che, per scopi personali, aveva fatto controllare la posizione debitoria del cognato. L’Autorità, con un provvedimento di cui è stato relatore Mauro Paissan, ha prescritto all’istituto di credito di adottare misure di sicurezza mirate a contenere i rischi di accesso non autorizzato e di effettuare controlli più tempestivi ed efficaci sulla correlazione tra l’accesso ai sistemi di informazione creditizia e l’esigenza di trattare una pratica che giustifichi, nel rispetto della legge, le interrogazioni alla banca dati.

La decisione del Garante è stata presa a seguito di una segnalazione presentata da un ex cliente di una banca con la quale aveva cessato qualsiasi rapporto contrattuale dal 2001.

Il cliente, messo a conoscenza che dopo tale data erano stati effettuati da parte dell’istituto di credito accessi alla Centrale rischi della Banca d’Italia relativi alla sua persona e al  proprio coniuge, aveva chiesto spiegazioni. L’ente creditizio non aveva  fornito idoneo riscontro alla richiesta del cliente, il quale si è quindi rivolto al Garante per vedere tutelati i suoi diritti.

In seguito agli accertamenti disposti dall’Autorità, la banca ha dovuto invece dichiarare che le richieste alla Centrale rischi della Banca d’Italia erano state effettuate indebitamente  per ragioni di natura personale da parte di un dirigente dell’istituto di credito, cognato del cliente, che aveva incaricato alcuni collaboratori, pur apparentemente estranei alle finalità private da lui perseguite e non consapevoli dell’illiceità della richiesta, di effettuare le interrogazioni alla Centrale rischi.

Questa è senza dubbio alcuno una giusta decisione.

Ma i problemi sul tavolo sono tanti. Chi vigila all'interno delle banche?

Alcuni istituti bancari cambiano sistematicamente il personale delle filiali.

Ciascuno di loro se ne va via, con tante piccole e grandi informazioni.

E più viene turnoverizzato il personale più èersone possono conoscere le vicende economiche di un cliente.

Non sarebbe il momento di affrontare seriamente il tema, al di là delle dichiarazioni di principio.

Come autoregolamentare le possibilità di accesso ai dati finanziari dei clienti da parte dei dirigenti e degli impiegati bancari?

E che si apra, se vi fa piacere, il dibattito.

Stefano Massa