Oggi giorno, una qualunque PMI che voglia stare al passo con le prescrizioni normative non può non prestare particolare attenzione alle disposizioni del Garante per la protezione dei dati personali.
Una riprova di ciò è il provvedimento dell’1 Marzo 2007 che regola un corretto utilizzo degli strumenti informatici nel rapporto di lavoro e in dettaglio di posta elettronica e rete Internet.
Come precisa la stessa Autorità , la necessità di fissare delle direttive a cui attenersi su questi aspetti per ciò che concerne la politica aziendale deriva da numerosi reclami e segnalazioni pervenute.
Non è difficile ipotizzare una situazione di abuso da parte del lavoratore delle risorse messe a disposizione dall’azienda, così come una circostanza inversa in cui il datore di lavoro vigila così tanto sull’operato dei suoi dipendenti tanto da violare le disposizioni in materia di protezione dei dati personali.
Come già ho potuto far notare in un precedente post, i diritti del lavoratore a veder rispettata la propria dignità e la propria privacy continuano a valere anche quando di mezzo ci sono le risorse aziendali.
Proprio per prevenire situazioni poco piacevoli e talvolta difficili da districare, il Garante ha preferito chiarire dei punti fondamentali per il corretto utilizzo di posta elettronica e Internet.
Scorrendo il provvedimento si incontra dapprima un’analisi delle risorse informatiche dal punto di vista delle opportunità offerte in termini di comunicazione aziendali, e contemporaneamente da quello dei rischi di violazione di alcuni principi essenziali del D.lgs 196/2003 (Codice in materia di dati personali).
In seguito si passa a quello che forse è l’aspetto più innovativo e interessante.
I datori di lavoro sono invitati a presentare un piano di policy aziendale riguardo le risorse informatiche messe a disposizione dall’impresa dopo aver preso tutte le possibili precauzioni e aver attivato le possibili PET.
In particolare il disciplinare deve essere redatto in modo chiaro e preciso, e pubblicizzato in modo da raggiungere tutti i dipendenti. È importante che esso contenga almeno un riferimento circa:
- i comportamenti tollerati rispetto alla navigazione sul WWW, all’archiviazione dei file sulla rete nonché sulla misura di utilizzo delle risorse aziendali per uso personale
- la tipologia delle informazioni memorizzate o trattate dall’azienda e gli scopi di tale processazione
- i controlli effettuabili dal datore di lavoro
- le eventuali misure particolari attivate per settori con specifico segreto professionale
- le norme interne di sicurezza informatica
Inoltre è importante prevedere come gestire l’assenza (anche prolungata) di un dipendente per ciò che riguarda la propria posta o i file necessari all’attività aziendale. Ovviamente, oltre queste disposizioni si possono inserire altri riferimenti in base alla policy aziendale adottata.
Si tratta di un provvedimento abbastanza recente, che esplicitamente chiede di mantenere le prescrizioni in esso contenute al passo con l’evolversi delle tecnologie, un invito a prevenire determinate situazioni e a mettere in chiaro determinati aspetti, sempre più significativi, del rapporto di lavoro.
Ci troviamo finalmente di fronte a un passo avanti verso le imprese e i datori di lavoro, che (una volta tanto) non vedono le buone intenzioni e necessità aziendali arginate dalle prescrizioni in materia di privacy.