Le linee guida dettate dall’Autorità garante per la protezione dei dati personal

Al fine di comprendere in che modo il complesso quadro normativo di riferimento sopra delineato abbia trovato applicazione pratica, è dall’analisi delle scelte operate dall’Autorità garante76 che bisogna, in primo luogo, prendere le mosse.

In tale contesto, una indubbia rilevanza interpretativa è rivestita, anzitutto, dagli interventi con i quali l’Autorità ha dettato le “linee guida” in materia di trattamento di dati personali per finalità di gestione del rapporto di lavoro.

Tra questi, rilevanza particolare assumono la deliberazione resa in data 23 novembre 2006, volta a fornire le “linee guida” nell’ambito della gestione dei rapporti di lavoro alle dipendenze di datori di lavoro privati, e quella del 1° marzo 2007, volta, invece, a dettare le “linee

guida” in tema di “posta elettronica e internet”.

76 _{L’autorità garante per la protezione dei dati personali è una autorità} amministrativa indipendente istituita dalla legge n. 675 del 1996 e, ora, disciplinata dalle norme contenute nel d.lgs. n. 196 del 2003.

E così, con il primo intervento77, il Garante ha tentato di delineare un quadro delle misure e degli accorgimenti “necessari e

opportuni in grado di fornire ulteriori orientamenti utili per i datori di lavoro e i lavoratori in ordine alle operazioni di trattamento di dati personali connesse alla gestione del rapporto di lavoro, individuando, a tal fine, i comportamenti più appropriati da adottare”78.

Il testo, che assume il carattere di mera raccomandazione79 e che, come espressamente affermato nel provvedimento stesso, non pregiudica l’applicazione delle disposizioni di leggi o di regolamento che prevedono divieti o limiti più restrittivi in relazione a taluni specifici settori o a specifici casi di trattamento di dati80, ribadisce la possibilità di trattare le informazioni di carattere personale del lavoratore solamente nella misura in cui queste siano strettamente necessarie per poter dare corretta esecuzione al rapporto di lavoro, o nel caso in cui risultino “indispensabili” per poter attuare previsioni legislative, regolamentari o contrattuali.

77 _{Per una analisi dettagliata della deliberazione, vedi M.DI PACE, Trattamento dati}

dei lavoratori: linee guida del Garante, in Dir. prat. lav., 2007, pp. 1207 ss. e M.

PAISSAN, E-mail e navigazione in internet: le linee del Garante, in P.TULLINI (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, in

Trattato di diritto commerciale e di diritto pubblico dell’economia, diretto da F.

GALGANO, Padova, Cedam, 2010, pp. 11 ss. 78 _{Cfr. deliberazione n.53 del 23 novembre 2006.}

79 _{Cfr. R. NUNIN, Utilizzo di dati biometrici da parte del datore di lavoro: la}

prescrizione del garante per la privacy, in Lav. nella giur., 2007, p. 147 ss.

80 _{Cfr. punto 1.1. della deliberazione, ove vi è un espresso riferimento gli artt. 113 e} 114 del d.lgs. n. 196 del 2003, che contengono il richiamo agli artt. 8 e 4 dello Statuto dei lavoratori.

Tali informazioni devono essere, in ogni caso, “pertinenti”, “non eccedenti” e acquisite nel rispetto di tutte le vigenti disposizioni normative81.

Allo stesso modo, poi, il Garante precisa che il trattamento dei dati personali, anche di natura “sensibile”, riferibili a singoli lavoratori, può essere ritenuto lecito solamente nella misura in cui sia finalizzato ad assolvere obblighi derivanti dal contratto individuale di lavoro, dalla contrattazione collettiva o, ovviamente, dalla legge.

Tuttavia, anche in queste ipotesi, viene prescritto il rispetto del principio di “compatibilità”, in base al quale lo scopo effettivamente perseguito dal datore di lavoro non deve risultare incompatibile con le finalità per le quali gli stessi dati sono stati raccolti82.

Infine, il Garante sottolinea che il datore di lavoro è tenuto, prima di procedere al trattamento dei dati personali, a rendere al lavoratore una informativa individualizzata e completa anche nelle ipotesi in cui la legge non richiede il preventivo consenso83.

Con l’intervento del 200784, volto, come detto, a fornire gli orientamenti in materia di “posta elettronica e internet”, il Garante ha, poi, fornito indicazioni più specifiche su un tema di strettissima attualità, fonte di numerosi contrasti.

La prima indicazione fornita sull’argomento, consiste nel giudicare vietato il trattamento di dati personali effettuato tramite

81 _{Cfr. punto 2.1 della deliberazione.}

82 _{L.C.NATALI,P. J.NATALI, Tutela della privacy nei rapporti di lavoro, in Dir}

prat. lav., 2009, pp. 2657 ss.

83 _{Cfr. punto 7 della deliberazione.} 84 _{Deliberazione n. 13 del 1° marzo 2007.}

l’utilizzo di sistemi informatici idonei a realizzare, in maniera occulta, un controllo a distanza sull’attività dei lavoratori.

Spetta al datore di lavoro, sia privato, che pubblico, chiarire non solo le modalità di utilizzazione degli strumenti informatici messi a disposizione dei lavoratori, ma anche se, in che misura, e con quali modalità verranno effettuati gli eventuali controlli. I lavoratori, infatti, secondo il giudizio espresso dal Garante, avrebbero il diritto di essere preventivamente informati sia in merito alla possibilità della effettuazione dei controlli sulla loro attività, che sulle finalità dei controlli stessi85.

Inoltre, il Garante, precisando che il datore di lavoro può utilizzare sistemi informatici che consentono un controllo “indiretto” ed “a distanza” sull’attività lavorativa solo nel rispetto delle norme contemplate nello Statuto dei lavoratori86, “suggerisce”87 la pubblicazione di circolari informative volte a regolamentare l’uso dei

85 _{M. DI PACE, Controllo della posta elettronica e navigazione internet dei}

dipendenti, in Dir. prat. lav., 2007, pp. 1837 ss.

86 _{Il punto 5.1 della deliberazione n. 13 del 2007 recita: “il datore di lavoro,}

utilizzando sistemi informativi per esigenze produttive o organizzative (ad es., per rilevare anomalie o per manutenzioni) o, comunque, quando gli stessi si rivelano necessari per la sicurezza sul lavoro, può avvalersi legittimamente, nel rispetto dello Statuto dei lavoratori (art. 4, comma 2), di sistemi che consentono indirettamente un controllo a distanza (c.d. controllo preterintenzionale) e determinano un trattamento di dati personali riferiti o riferibili ai lavoratori. Ciò, anche in presenza di attività di controllo discontinue. Il trattamento di dati che ne consegue può risultare lecito. Resta ferma la necessità di rispettare le procedure di informazione e di consultazione di lavoratori e sindacati in relazione all’introduzione o alla modifica di sistemi automatizzati per la raccolta e l’utilizzazione dei dati , nonché in caso di introduzione o di modificazione di procedimenti tecnici destinati a controllare i movimenti o la produttività dei lavoratori”.

87 _{M. DI PACE, Controllo della posta elettronica e navigazione internet dei}

sistemi informatici aziendali, oltre che l’adozione di misure idonee a prevenire “usi impropri” di tali strumentazioni88_.

Infine, nella parte conclusiva del provvedimento, l’Autorità garante giunge a “vietare”, equiparandoli ad attività di controllo a distanza, sia il trattamento di dati personali effettuato tramite “la

lettura e la registrazione sistematica dei messaggi di posta elettronica”, che “la riproduzione e l’eventuale memorizzazione sistematica” delle pagine web visualizzate dal lavoratore89.

88 _{Come la preventiva individuazione di “categorie di siti” considerati correlati o} meno con la prestazione lavorativa, l’utilizzazione di “filtri” idonei a prevenire operazioni inconferenti con l’attività lavorativa, o, addirittura, in tema di posta elettronica, la possibile attribuzione di indirizzi e-mail destinati ad un uso privato dei lavoratori.

89 _{Gli altri “divieti” riguardano la lettura e la registrazione dei caratteri inseriti} tramite la tastiera o tramite dispositivi analoghi e l’analisi “occulta” dei computer portatili affidati in uso, cfr. deliberazione n. 13 del 2007.