Internet e posta elettronica nei luoghi di lavoro
Diritti alla privacy dei lavoratori e dovere di informazione del datore di lavoro circa le modalità d'uso dei sistemi di posta elettronica
Il tema dell'informatizzazione dei luoghi di lavoro mediante l'utilizzo di sistemi di navigazione internet e di posta elettronica è divenuto di stretta attualità, data l’ormai irrinunciabile presenza di questi strumenti in quasi tutti i settori lavorativi pubblici e privati. L'utilizzo nei luoghi di lavoro di questi sistemi informatici ha evidenziato la necessità di regolamentare la materia per tutelare sia il diritto del datore di lavoro a un corretto uso di tali strumenti di lavoro, sia il diritto del lavoratore alla propria privacy nel caso di utilizzo anche privato di tali strumenti. La materia è sistematicamente trattata a livello normativo nel Codice della Privacy (Decreto L.vo n. 193/2003), integrato e interpretato sulla specifica materia dal Garante della Privacy che con delibera n. 13 del 1° marzo 2007 (pubblicata in Gazzetta Uff. n. 50 del 10.03.2007) ha emanato un provvedimento generale ed avente forza di legge contenente "le linee guida per l’utilizzo della posta elettronica ed internet negli ambienti di lavoro". Tale provvedimento è rivolto a tutti i Datori di lavoro e detta precise e specifiche linee guida che l’azienda deve adottare con riguardo alla gestione dei sistemi di navigazione web e di posta elettronica. Il Garante precisa che sul tema è necessario bilanciare due differenti interessi, entrambi meritevoli di tutela: da un lato il diritto del datore di lavoro di controllare l’effettivo adempimento della prestazione, e se necessario, il corretto utilizzo degli strumenti di lavoro, dall’altra parte il diritto del lavoratore a pretendere che tale attività di controllo si conformi al rispetto dei diritti e delle libertà fondamentali del lavoratore stesso, tra cui il diritto alla riservatezza e alla dignità costituzionalmente garantita. Per quanto riguarda la tutela del lavoratore, il Garante rileva che "le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata di lavoratori e di terzi che necessitano di essere tutelate". Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l'esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali (art. 2 e 41 , comma 2° della Costituzione). L'art. 2 della deliberazione del Garante nel prescrivere le linee guida per la gestione dei sistemi di controllo di internet e della posta elettronica, dopo aver richiamato le specifiche disposizioni di legge di settore poste a tutela dei lavoratori, prescrive (art. 2.3) che i trattamenti devono rispettare le garanzie in materia di protezione dei dati e svolgersi nell'osservanza di alcuni cogenti principi: a) principio di necessità (art. 3 codice Privacy); b) principio di correttezza e trasparenza, secondo cui le caratteristiche essenziali del trattamento devono essere rese note ai lavoratori ( art. 11, comma1 , lettera a) del Codice Privacy) - art. 4 , secondo comma, Statuto Lavoratori e D. L.vo 626/94 - allegato VII - par. 3 in materia di "uso di attrezzature munite di videoterminale", il quale esclude la possibilità di controllo informatico all'insaputa del lavoratore; c) i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (art. 11- comma 1, lettera b), nella misura meno invasiva possibile, per cui le attività di monitoraggio devono essere svolte solo da soggetti preposti (art. 8 codice Privacy - responsabile del trattamento) ed essere mirate sull'area di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza". Sulla base di quanto sopra "grava sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli, ciò tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali". In tale quadro la Deliberazione del Garante n. 13 del 1° marzo 2007, all'art. 3.2 indica quali sono le linee guida che il Datore di lavoro dovrà adottare per la predisposizione del disciplinare interno che dovrà essere redatto in modo chiaro e senza formule generiche, che specifichi come usare internet e e-mail aziendali, da pubblicizzare adeguatamente verso i lavoratori (nella rete interna - mediante affissione sui luoghi di lavoro con modalità analoghe a quelle previste dall'art. 7 dello Statuto dei lavoratori), previa acquisizione di espresso consenso ex art. 13 della Legge n. 193/2003.
A) DISCIPLINARE INTERNO. In particolare, il Datore di lavoro dovrà adottare un codice disciplinare (c.d Policy) ove indicare chiaramente e in modo particolareggiato quali siano le modalità di utilizzo degli strumenti elettronici messi a disposizione e in che misura e con quali modalità vengano effettuati i controlli. L’obbligatorietà di tale adempimento risiede soprattutto nel D.Lvo . 624/94 che, relativamente all’uso delle attrezzature munite di videoterminali, esclude la possibilità di effettuare un controllo informatico all'insaputa dei lavoratori.
B) INFORMATIVA EX ART. 13 CODICE PRIVACY. Il datore di lavoro inoltre deve acquisire il consenso scritto del lavoratore al trattamento secondo le modalità prescritte dall'art. 13 del Codice Privacy. L'art. 3.3 della Deliberazione n. 13/2007, infatti, prescrive l'ulteriore obbligo il capo al datore, oltre all'onere di prefigurare e pubblicizzare il disciplinare interno, di informare comunque gli interessati ai sensi dell'art. 13 del Codice Privacy, anche unitamente agli elementi indicati ai punti 3.1 e 3.2. Rispetto a eventuali controlli gli interessati hanno, infatti, il diritto di essere informati preventivamente, e in modo chiaro, sul trattamento dei dati che possono riguardarli e pertanto devono essere indicate le principali caratteristiche dei trattamenti, nonchè il soggetto o l'unità organizzativa ai quali i lavoratori possono rivolgersi per esercitare i propri diritti.
C) MISURE TECNOLOGICHE IDONEE A MINIMIZZARE L'USO DEI DATI RIFERIBILI AI LAVORATORI: art. 5.2 "principio di necessità". Oltre alla predisposizione di un disciplinare interno (c.d Policy) il datore di lavoro dovrà adottare delle misure tecnologiche volte a minimizzare l'uso dei dati.
Risarcimento danni in caso di violazione delle prescrizioni del Garante della Privacy.
La prima conseguenza che il Datore di lavoro dovrà subire per la mancata adozione di tutte le prescrizioni imposte dal Garante è quella prevista dall’art. 11 del Codice Privacy che stabilisce espressamente che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. Ciò comporta che il datore di lavoro che non ottemperi alle prescrizioni di cui alla Delibera del Garante del 1° marzo 2007, non potrà in alcun modo utilizzare qualsiasi risultanza di eventuali controlli effettuati nei confronti del lavoratore, ad esempio sulla posta elettronica, o circa l’utilizzo dei sistemi di navigazione internet, anche se indebitamente o addirittura illecitamente utilizzati dal lavoratori per scopi non attinenti all’attività lavorativa. Il lavoratore avrà diritto, inoltre, al risarcimento dei danni come espressamente previsti dall’art. 15 del Codice: "chiunque cagiona un danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento del danno ai sensi dell’art. 2050 del codice civile", che a sua volte stabilisce che "chiunque cagiona danno ad altri nello svolgimento di un attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento del danno se non prova di avere adottato tutte le misure idonee a evitare il danno". Il trattamento dei dati personali e la gestione dei sistemi informatici e di posta elettronica, infatti, è considerata dalla legge, agli effetti dell’art. 2050 c.c, attività pericolosa e in quanto tale il datore di lavoro è tenuto ad adottare tutti i mezzi necessari per la protezione dei dati personali e sensibili dei lavoratori, come esattamente prescritti dalla delibera del Garante del 1° marzo 2007. Il datore di lavoro, quindi, può esimersi dal risarcimento del danno ai sensi dell’art. 2050 c.c soltanto se prova di aver adottato a protezione dei propri sistemi informatici tutti gli accorgimenti imposti dal garante e cioè di aver adottato un "Disciplinare interno opportunamente pubblicizzato", di aver acquisito il consenso scritto di ciascun lavoratore dell’informativa ex art. 13 della legge sulla Privacy e di aver adottato tutti gli altri accorgimenti tecnici di cui all’art. 5 della predetta delibera del 2007.
A) DISCIPLINARE INTERNO. In particolare, il Datore di lavoro dovrà adottare un codice disciplinare (c.d Policy) ove indicare chiaramente e in modo particolareggiato quali siano le modalità di utilizzo degli strumenti elettronici messi a disposizione e in che misura e con quali modalità vengano effettuati i controlli. L’obbligatorietà di tale adempimento risiede soprattutto nel D.Lvo . 624/94 che, relativamente all’uso delle attrezzature munite di videoterminali, esclude la possibilità di effettuare un controllo informatico all'insaputa dei lavoratori.
B) INFORMATIVA EX ART. 13 CODICE PRIVACY. Il datore di lavoro inoltre deve acquisire il consenso scritto del lavoratore al trattamento secondo le modalità prescritte dall'art. 13 del Codice Privacy. L'art. 3.3 della Deliberazione n. 13/2007, infatti, prescrive l'ulteriore obbligo il capo al datore, oltre all'onere di prefigurare e pubblicizzare il disciplinare interno, di informare comunque gli interessati ai sensi dell'art. 13 del Codice Privacy, anche unitamente agli elementi indicati ai punti 3.1 e 3.2. Rispetto a eventuali controlli gli interessati hanno, infatti, il diritto di essere informati preventivamente, e in modo chiaro, sul trattamento dei dati che possono riguardarli e pertanto devono essere indicate le principali caratteristiche dei trattamenti, nonchè il soggetto o l'unità organizzativa ai quali i lavoratori possono rivolgersi per esercitare i propri diritti.
C) MISURE TECNOLOGICHE IDONEE A MINIMIZZARE L'USO DEI DATI RIFERIBILI AI LAVORATORI: art. 5.2 "principio di necessità". Oltre alla predisposizione di un disciplinare interno (c.d Policy) il datore di lavoro dovrà adottare delle misure tecnologiche volte a minimizzare l'uso dei dati.
Risarcimento danni in caso di violazione delle prescrizioni del Garante della Privacy.
La prima conseguenza che il Datore di lavoro dovrà subire per la mancata adozione di tutte le prescrizioni imposte dal Garante è quella prevista dall’art. 11 del Codice Privacy che stabilisce espressamente che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. Ciò comporta che il datore di lavoro che non ottemperi alle prescrizioni di cui alla Delibera del Garante del 1° marzo 2007, non potrà in alcun modo utilizzare qualsiasi risultanza di eventuali controlli effettuati nei confronti del lavoratore, ad esempio sulla posta elettronica, o circa l’utilizzo dei sistemi di navigazione internet, anche se indebitamente o addirittura illecitamente utilizzati dal lavoratori per scopi non attinenti all’attività lavorativa. Il lavoratore avrà diritto, inoltre, al risarcimento dei danni come espressamente previsti dall’art. 15 del Codice: "chiunque cagiona un danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento del danno ai sensi dell’art. 2050 del codice civile", che a sua volte stabilisce che "chiunque cagiona danno ad altri nello svolgimento di un attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento del danno se non prova di avere adottato tutte le misure idonee a evitare il danno". Il trattamento dei dati personali e la gestione dei sistemi informatici e di posta elettronica, infatti, è considerata dalla legge, agli effetti dell’art. 2050 c.c, attività pericolosa e in quanto tale il datore di lavoro è tenuto ad adottare tutti i mezzi necessari per la protezione dei dati personali e sensibili dei lavoratori, come esattamente prescritti dalla delibera del Garante del 1° marzo 2007. Il datore di lavoro, quindi, può esimersi dal risarcimento del danno ai sensi dell’art. 2050 c.c soltanto se prova di aver adottato a protezione dei propri sistemi informatici tutti gli accorgimenti imposti dal garante e cioè di aver adottato un "Disciplinare interno opportunamente pubblicizzato", di aver acquisito il consenso scritto di ciascun lavoratore dell’informativa ex art. 13 della legge sulla Privacy e di aver adottato tutti gli altri accorgimenti tecnici di cui all’art. 5 della predetta delibera del 2007.
Articolo del: