E-mail e web costituiscono strumenti di lavoro ma necessitano dell’informativa privacy
Il nuovo Regolamento UE sulla privacy occupa i titoli delle testate giornalistiche e professionali, ma è pur vero che attualmente uno dei temi più importanti che dovrebbe richiamare l’attenzione degli imprenditori, data la delicatezza e al contempo l’importanza ai fini della protezione del patrimonio aziendale, è l’utilizzo da parte di dipendenti e collaboratori degli strumenti informativi.
Il recente provvedimento 13 luglio 2016, n. 303 del Garante privacy offre l’occasione per fare, in sintesi, il punto sullo stato dell’arte e per fornire indicazioni utili con riferimento allo strumento lavorativo per eccellenza: la posta elettronica. Argomenti che si aggiungono a quelli noti da tempo che rendono quanto mai opportuna l’adozione di un regolamento interno diretto a disciplina chiaramente questi aspetti.
Gli apparati e i software che consentono di monitorare, filtrare, controllare e tracciare in modo costante e indiscriminato, con modalità non percepibili dall’utilizzatore, gli accessi alla rete internet o al servizio di posta elettronica costituiscono strumenti di controllo a distanza dell’attività dei lavoratori.
Per l’utilizzo di questi ultimi, la legge 300/1970 (“Statuto dei Lavoratori”) impone che l’imprenditore stipuli accordi collettivi con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, in caso di più imprese produttive dislocate in province e regioni diverse, con le associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di detti accordi, l’installazione e l’utilizzo di questi apparati necessita di un’apposita autorizzazione della Direzione territoriale del lavoro o del Ministro del lavoro e delle politiche sociali.
Al contrario, il servizio di posta elettronica, l’accesso ad internet, i software antivirus e i programmi che inibiscono l’accesso a siti internet estranei all’attività dell’azienda costituiscono strumenti di lavoro, il cui utilizzo, a norma dell’articolo 4, comma 2, dello Statuto dei Lavoratori, non necessita di accordi collettivi con le organizzazioni sindacali o di particolari autorizzazioni amministrative.
A norma dell’articolo 4, comma 3, dello Statuto dei Lavoratori, “le informazioni raccolte […] sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
Sulla base di quanto espresso dalla citata disposizione normativa, l’Autorità Garante per la protezione dei dati personali ha ritenuto illegittima la condotta di un Ateneo, la cui infrastruttura consentiva di controllare e monitorare l’utilizzo dei servizi internet (accesso alla rete e alle caselle di posta elettronica) da parte dei propri utenti (docenti, ricercatori, finanche studenti). I dati raccolti potevano essere chiaramente ricondotti ai singoli utilizzatori per effetto dell’incrocio tra indirizzi Ip, che rappresentano l’indirizzo internet, e i Mac address, che identificano il computer utilizzato per le ricerche, e in ragione del fatto che ogni computer era assegnato a ciascun docente e ricercatore.
Potendo ricondurre il Mac address nella categoria di dato personale, ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati, la condotta dell’Ateneo costituiva trattamento di dati personali. Trattamento che, peraltro, l’Università svolgeva pur non avendo fornito alcuna informativa, a norma dell’articolo 13 del Decreto Legislativo n. 196/2013 e dell’articolo 4 dello Statuto dei Lavoratori, e, dunque, da considerarsi come illegittimo.
Il Garante ha, per i motivi esposti, inibito l’ulteriore trattamento dei dati personali e la conservazione di quelli raccolti e trattati ai fini di un’eventuale acquisizione degli stessi da parte dell’autorità giudiziaria.
Pertanto, nel caso in cui nell’azienda il personale utilizzi apparati rientranti nella categoria “strumenti di lavoro”, come disciplinati dall’articolo 4, comma 2, della legge 300/1970 e specificati nel provvedimento del Garante Privacy, l’imprenditore deve fornire al lavoratore un’adeguata informazione delle modalità d’uso degli stessi. Ciò similmente nel caso in cui si utilizzino gli apparati non rientranti in detta categoria e disciplinati dal primo comma della citata disposizione normativa, salvo la necessità di stipulare accordi collettivi o ottenere particolari autorizzazioni amministrative.
