L’introduzione massiccia delle tecnologie informatiche in azienda ha reso necessaria una regolamentazione dell’utilizzo interno e verso l’esterno. Le imprese sono molto attente a rispettare le direttive in materia di privacy e trattamento dei dati personali di clienti e partner, ma trascurano spesso di definire analoghe policy sui dati dei dipendenti, rischiando così di incorrere in situazioni anomale e in sanzioni.
Dati personali dei dipendenti: normativa e principi
Oltre al Codice della Privacy, a livello europeo, i principi da seguire per il trattamento dei dati personali degli impiegati si basano sui documenti del “Gruppo di lavoro art. 29” istituito dalla Direttiva 95/46/CE. Oltre al principio di segretezza – secondo cui l’azienda non può per alcun motivo accedere ai file personali di un dipendente anche se questi sono archiviati sul computer aziendale – sussistono altri principi inderogabili.
Tra questi, il principio di finalità: i dati personali dei dipendenti devono essere raccolti per finalità che abbiano carattere di legittimità e che siano esplicite e specifiche; il principio di trasparenza: obbligo di rendere noti quali dati personali l’azienda conserva e a quale scopo, consentendone comunque ai lavoratori l’accesso. A seguire: principio di legittimità riferita ai dati raccolti; di proporzionalità: i dati non possono essere eccedenti rispetto agli scopi per cui vengono raccolti e conservati.
Altri principi fondamentali sono: accuratezza e conservazione dei dati: le informazioni devono essere precise e aggiornate quando necessario; il principio di sicurezza: i dati sono un bene sensibile e come tale vanno gestiti in totale sicurezza per evitarne la divulgazione e l’accesso ai non autorizzati. Infine, il principio di capacità e correttezza del personale incaricato: i dati personali devono essere raccolti e custoditi da personale formato appositamente a questo scopo.
Controllo dei dipendenti
Il controllo informatico dei dipendenti deve essere esercitato nella massima trasparenza, senza che i controllati ne abbiano contezza. Si attua solo se non è possibile ottenere i medesimi risultati con metodi tradizionali di sorveglianza, e il trattamento dei dati deve essere equo (non devono essere la “parte debole” del rapporto con il datore di lavoro!) e adeguato alle preoccupazioni a cui si cerca di dare una risposta: in pratica, non si possono intraprendere azioni di controllo dei dati per fatti di poco conto o di scarsa importanza per l’azienda.
Per quanto concerne il controllo della email dei dipendenti e dell’uso di Internet, il Garante Privacy ha elaborato un’apposita delibera, basata sul principio di necessità: è necessario impostare i software informatici in modo che l’utilizzo dei dati personali sia ridotto al minimo, privilegiando dati anonimi o ricollegabili al proprietario solo se necessario. Il lavoratore deve essere informato del trattamento dei propri dati, e deve conoscere i modi di utilizzo degli strumenti tecnologici e le metodologie di controllo adottate.
Il trattamento dei dati è lecito quando: necessario per il legittimo esercizio di un diritto in sede giudiziaria (ad esempio per smascherare reati di spionaggio industriale); esiste una valida manifestazione di consenso; pur in mancanza di consenso, si è in un caso di applicazione della disciplina riguardante il bilanciamento di interessi (vale a dire nel caso in cui il trattamento sia effettuato nell’intento di perseguire un legittimo interesse del titolare o di un terzo attraverso mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro).
Il monitoraggio deve comunque essere effettuato da uno o più responsabili indicati preventivamente allo scopo.
Controllo a distanza
È è lecito che il datore di lavoro voglia constatare l’adempimento completo ed efficiente della prestazione del proprio lavoratore, ma a questo proposito non è consentita l’istallazione di apparecchiature per il controllo a distanza del lavoratore, anche nel caso in cui questi sia stato debitamente informato, a meno che l’utilizzo del sistema informativo sia necessario ai fini della sicurezza sul lavoro, ma anche in questo caso i lavoratori ne devono essere informati.
Policy interna
A questo proposito è utile dotarsi di un disciplinare interno, da sottoporre ai dipendenti e da affiggere in luoghi densamente frequentati, nel quale regolamentare l’utilizzo di email, webmail e navigazione web (escludendo ad esempio la possibilità di scaricare file o accedere ai social network, e adottando al tempo stesso misure informatiche che possano favorire il rispetto delle richieste, anche limitando la possibilità di navigare su alcuni siti tramite programmi appositi).
Deve anche essere indicata la modalità di conservazione delle informazioni di navigazione (file temporanei o cronologia), quali informazioni vengono conservate e per quanto tempo, se l’azienda effettua controlli (specificando anche in questo caso le modalità e illustrando se in caso di abusi l’azienda contatterà i lavoratori che li hanno perpetrati) e quali sanzioni somministrare ai trasgressori.
Inoltre, è buona norma spiegare come sia garantita la prosecuzione dell’attività lavorativa in assenza del dipendente titolare di un determinato computer o di un account di posta, prevedendo ad esempio un sistema di risposta automatica o la possibilità di girare automaticamente delle mail a un altro indirizzo, e se consentito adottare misure precise per tutelare il rispetto del segreto professionale e prescrivere misure sulla sicurezza dei dati come previsto dall’Art. 34 del D.Lgs. n.196 del 30 giugno 2003.