E-mail e internet in azienda: cosa ha detto il Garante

di Paolo Ricchiuto* - 23.07.07

Il documento è articolato sostanzialmente su 4 livelli diversi:

1. La prescrizione di misure “necessarie ed opportune”, nell’esercizio dei poteri riconosciuti al Garante a norma dell’art. 154 comma 1 lett. c) del DLgv 196/03 (Codice Privacy). L’ambito di tali prescrizioni è estremamente limitato, rispetto al resto del documento. Come chiarito nel dispositivo, infatti, le prescrizioni riguardano esclusivamente il punto 3.1 del provvedimento, e cioè a dire quello che impone al datore di lavoro di indicare ai lavoratori “chiaramente ed in modo particolareggiato” quali siano le regole da rispettare in azienda per l’uso di internet e della posta elettronica, e se e con quali modalità vengano utilizzati al riguardo strumenti di controllo. Nulla di più. Anzi, il Garante chiarisce opportunamente che, in ordine agli strumenti per dare ai lavoratori tali informazioni, l’azienda è libera di adottare quelli più confacenti anche con riguardo alle “dimensioni della struttura”. Le pesanti conseguenze (potenzialmente, secondo alcuni, anche penali) che derivano dalla violazione dei dicta dal Garante ex art. 154 comma 1 lett. c), scattano dunque solo e soltanto se vengono violate tali prescrizioni generali.

2. La parte più corposa del documento (quella improvvidamente pubblicizzata come l’imposizione, da parte dell’autorità, di regole analiticissime e considerate anche troppo vincolanti, quali il riconoscimento di un account personale ai lavoratori) non è stata affatto emanata dal Garante nell’esercizio dei poteri sopra richiamati. Come chiarisce sempre il dispositivo, non si tratta nemmeno di misure “opportune” ex art. 154 comma 1 lett. c), bensì di “indicazioni”, di vere e proprie “linee guida” il cui rispetto , da un lato, rende certamente legittimo il trattamento, ma la cui violazione, dall’altro, non comporta alcun automatismo sanzionatorio. Attenzione, dunque: soprattutto alla luce della complessità (e spesso, a mio parere, della sostanziale inapplicabilità) delle indicazioni fornite dal Garante nella maggior parte del provvedimento, non è corretto vivere le stesse come delle prescrizioni inderogabili, essendo ben possibile l’adozione di policies operative che, se garantiscono il rispetto dei principi generali (necessità, proporzionalità, pertinenza e non eccedenza, liceità, sicurezza) possono tranquillamente esser adottate anche se non conformi a quanto indicato dal Garante.

3. All’interno del documento è contenuto anche un provvedimento di bilanciamento di interessi ai sensi dell’art. 24 comma 1 lett. g): il Garante, cioè, valutato come legittimo l’interesse del datore di lavoro al trattamento dei dati in esame, ha previsto come presupposto di liceità alternativo al consenso il rispetto da un lato delle prescrizioni adottate e dall’altro, dell’art. 4 comma II dello Statuto dei lavoratori. In altri termini, dunque, se si rispettano le prescrizioni del Garante e, ad esempio, si ottiene la autorizzazione dall’Ispettorato del lavoro per l’uso di determinati strumenti informatici tali da concretare il cosiddetto”controllo preterintenzionale”, allora il trattamento può avvenire anche senza il consenso del lavoratore.

4. Il documento si chiude poi con un provvedimento di divieto di utilizzo di strumenti hardware e software che ricadano nell’art. 4 comma I dello Statuto dei lavoratori, e cioè che siano finalizzati al controllo a distanza dell’attività dei lavoratori.

Soltanto avendo ben presente tutto ciò, sarà possibile affrontare il provvedimento con la giusta filosofia: certo, ci sarà molto da lavorare. Ma per evitare di “girare a vuoto”, non bisogna perdere il senso dell’orientamento sulla natura e la portata di quanto è riportato in questo, come negli altri provvedimenti del Garante.
 

* Avvocato in Roma