Privacy e imprese: non si gioca ai magistrati
Non si devono mai sottovalutare i principi di liceità, proporzionalità, non eccedenza, pertinenza del trattamento dati anche nelle azioni difensive
Durante la quotidiana attività di consulenza e attività seminariale, mi capitano sempre più spesso prese di posizione da parte di titolari del trattamento dati che volendo perseguire un sacrosanto diritto alla tutela aziendale commettono l'errore di esasperare questo diritto di autotutela travalicando spesso limiti di liceità, proporzionalità, non eccedenza del trattamento dati.
Non valutando tutte le variabili in gioco, si corre il rischio di voler perseguire finalità in potenza corrette, ma raggiunte attraverso azioni illecite, non proporzionali, eccedenti e che possono violare anche diritti tutelati da altre norme o, peggio ancora, comportandosi come se si fosse dotati di poteri auto-attribuiti che sono propri delle forze dell'ordine e della magistratura.
Nella vita aziendale, è da tenere sempre in debita considerazione quanto stabilito dalla legge 300/1970 (statuto dei lavoratori) ad esempio in tema di videosorveglianza ed accordo sindacale preventivo o autorizzazione da parte della DTL di competenza, o quanto regolato in tema di utilizzabilità dei dati in ogni fase del rapporto di lavoro (Cfr. Art.4 comma 3 legge 300/1970) ed in relazione al divieto di compiere indagini sulle opinioni del lavoratore (Cfr. art.8 legge 300/1970).
Un interessantissimo spunto di riflessione ed analisi è contenuto nell'art.6.1 delle linee guida utilizzo posta elettronica e web del 2007 emanate dall'Autorità Garante Privacy. Si riporta per intero l'articolo evidenziando alcuni passaggi che a parere dello scrivente sono da considerarsi chiave (in grassetto).
6.1. Graduazione dei controlli
Nell'effettuare controlli sull'uso degli strumenti elettronici deve essere evitata un'interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata. L'eventuale controllo è lecito solo se sono rispettati i principi di pertinenza e non eccedenza. Nel caso in cui un evento dannoso o una situazione di pericolo non sia stato impedito con preventivi accorgimenti tecnici, il datore di lavoro può adottare eventuali misure che consentano la verifica di comportamenti anomali. Deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree. Il controllo anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l'invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. L'avviso può essere circoscritto a dipendenti afferenti all'area o settore in cui è stata rilevata l'anomalia. In assenza di successive anomalie non è di regola giustificato effettuare controlli su base individuale. Va esclusa l'ammissibilità di controlli prolungati, costanti o indiscriminati. Ogni trattamento dati, deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità -articolo 3 del Codice), e nel rispetto principi (articolo 11 del Codice): liceità e correttezza del trattamento; finalità del trattamento; esattezza e aggiornamento dei dati; pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento; conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento."
Le situazioni in cui il titolare del trattamento potrebbe (spesso senza nemmeno porsi la problematica) eccedere nelle proprie azioni sono molteplici, come molteplici sono gli strumenti tecnologici che possono essere mezzo di tali trattamenti: videosorveglianza, particolari software e/o particolare configurazione dei sistemi informativi aziendali, accesso alla posta del dipendente (sono solo alcuni esempi non esaustivi).
E' essenziale effettuare audit di verifica di quanto già posto in essere e soprattutto non porsi la domanda "si può fare?" pretendendo una risposta solo tecnica, il si può fare "esclusivamente tecnico" non sempre corrisponde alla correttezza del trattamente. La domanda "si può fare?" deve prevedere analisi tecnica, analisi degli istituti privacy, ed analisi delle altre normative che possono incidere sull'azione che si intende intraprendere. Solo in questo modo la domanda "si può fare?" avrà una risposta tutelativa di tutti gli interessi in gioco.
Nota il presente documento rappresenta spunti di riflessione del professionista Marco Trombadore, non rappresenta un parere professionale vincolante del professionista stesso.
Non valutando tutte le variabili in gioco, si corre il rischio di voler perseguire finalità in potenza corrette, ma raggiunte attraverso azioni illecite, non proporzionali, eccedenti e che possono violare anche diritti tutelati da altre norme o, peggio ancora, comportandosi come se si fosse dotati di poteri auto-attribuiti che sono propri delle forze dell'ordine e della magistratura.
Nella vita aziendale, è da tenere sempre in debita considerazione quanto stabilito dalla legge 300/1970 (statuto dei lavoratori) ad esempio in tema di videosorveglianza ed accordo sindacale preventivo o autorizzazione da parte della DTL di competenza, o quanto regolato in tema di utilizzabilità dei dati in ogni fase del rapporto di lavoro (Cfr. Art.4 comma 3 legge 300/1970) ed in relazione al divieto di compiere indagini sulle opinioni del lavoratore (Cfr. art.8 legge 300/1970).
Un interessantissimo spunto di riflessione ed analisi è contenuto nell'art.6.1 delle linee guida utilizzo posta elettronica e web del 2007 emanate dall'Autorità Garante Privacy. Si riporta per intero l'articolo evidenziando alcuni passaggi che a parere dello scrivente sono da considerarsi chiave (in grassetto).
6.1. Graduazione dei controlli
Nell'effettuare controlli sull'uso degli strumenti elettronici deve essere evitata un'interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata. L'eventuale controllo è lecito solo se sono rispettati i principi di pertinenza e non eccedenza. Nel caso in cui un evento dannoso o una situazione di pericolo non sia stato impedito con preventivi accorgimenti tecnici, il datore di lavoro può adottare eventuali misure che consentano la verifica di comportamenti anomali. Deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree. Il controllo anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l'invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. L'avviso può essere circoscritto a dipendenti afferenti all'area o settore in cui è stata rilevata l'anomalia. In assenza di successive anomalie non è di regola giustificato effettuare controlli su base individuale. Va esclusa l'ammissibilità di controlli prolungati, costanti o indiscriminati. Ogni trattamento dati, deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità -articolo 3 del Codice), e nel rispetto principi (articolo 11 del Codice): liceità e correttezza del trattamento; finalità del trattamento; esattezza e aggiornamento dei dati; pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento; conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento."
Le situazioni in cui il titolare del trattamento potrebbe (spesso senza nemmeno porsi la problematica) eccedere nelle proprie azioni sono molteplici, come molteplici sono gli strumenti tecnologici che possono essere mezzo di tali trattamenti: videosorveglianza, particolari software e/o particolare configurazione dei sistemi informativi aziendali, accesso alla posta del dipendente (sono solo alcuni esempi non esaustivi).
E' essenziale effettuare audit di verifica di quanto già posto in essere e soprattutto non porsi la domanda "si può fare?" pretendendo una risposta solo tecnica, il si può fare "esclusivamente tecnico" non sempre corrisponde alla correttezza del trattamente. La domanda "si può fare?" deve prevedere analisi tecnica, analisi degli istituti privacy, ed analisi delle altre normative che possono incidere sull'azione che si intende intraprendere. Solo in questo modo la domanda "si può fare?" avrà una risposta tutelativa di tutti gli interessi in gioco.
Nota il presente documento rappresenta spunti di riflessione del professionista Marco Trombadore, non rappresenta un parere professionale vincolante del professionista stesso.
Articolo del: