(Newsletter 13 gennaio - 19 gennaio 2003 – Fonte:www.garanteprivacy.it)

L’Autorità federale tedesca per la protezione dei dati personali ha messo a punto un documento che offre, in relazione al particolare contesto tedesco, una serie di linee-guida per i datori di lavoro nel settore pubblico rispetto all’uso di Internet e posta elettronica da parte dei dipendenti. Al documento è allegato il testo di un accordo-modello che i datori di lavoro di quel paese potrebbero utilizzare per regolamentare contrattualmente tale uso e garantire un’adeguata informazione dei dipendenti (disponibile all’indirizzo http://www.bfd.bund.de/...).

Punto di partenza delle linee-guida, applicabili anche al settore privato, è il riconoscimento di un determinato interesse legittimo del datore di lavoro a verificare che l’eventuale divieto di utilizzazione privata degli strumenti informatici (quali Internet e posta elettronica) sia effettivamente rispettato, oppure che tale utilizzazione, ove consentita, avvenga nei limiti previsti e/o concordati. La specifica normativa tedesca in materia di telecomunicazioni e protezione dei dati è piuttosto dettagliata e complessa, per cui il Garante federale ha ritenuto di fornire indicazioni e chiarimenti sul corretto modo di operare.

Se al dipendente è permesso di accedere ad Internet ed alla posta elettronica solo per motivi di servizio, il datore di lavoro non rappresenta, ad avviso di quell’Autorità, un "provider" di servizi di telecomunicazione (ai sensi della normativa in materia); pertanto, il trattamento di dati personali del dipendente (attraverso la loro registrazione nei log files, ossia i file di connessione) può avvenire solo nel rispetto della legge federale di protezione dati. Ciò comporta un bilanciamento degli interessi fra le parti in causa, tenendo conto dell’effettiva necessità e della proporzionalità dei trattamenti di dati previsti. Bisogna anche avere riguardo al diritto all’autodeterminazione informativa, che rappresenta uno dei principi-cardine non solo in Germania, ma a livello europeo.

E’ chiaro, dunque, anche in quel Paese che una sorveglianza a tappeto dei dipendenti non è ammissibile alla luce delle norme di protezione dati; piuttosto, sarebbero possibili controlli regolari a campione dei log files, che non possono assolutamente essere utilizzati per fini diversi (ad esempio, per valutare le prestazioni o il rendimento dei dipendenti).

Se, viceversa, al dipendente è consentito l’utilizzo privato di Internet e posta elettronica, si applicherebbero le norme tedesche in materia di telecomunicazioni in quanto, a giudizio dell’Autorità, il datore di lavoro funge in questo caso da fornitore di servizi di telecomunicazione. In base a tali norme, il trattamento dei dati di connessione e di utilizzazione, come pure dei dati di natura contabile, è consentito esclusivamente se risulta necessario per la prestazione e la (eventuale) fatturazione dei servizi. Inoltre, si sottolinea chiaramente che, nei confronti del dipendente, il datore di lavoro è tenuto al rispetto del segreto delle (tele)comunicazioni: valgono le stesse regole applicabili per le telefonate private. Poiché, tuttavia, non si può pensare di separare tecnicamente i dati di connessione riferiti all’uso per scopi di servizio da quelli relativi all’uso privato, né rappresenta una soluzione la previsione di due user account distinti - che richiede, fra l’altro, un impegno aggiuntivo da parte dell’amministratore di sistema - , la direttiva elaborata dall’Autorità tedesca prevede che, in questo caso, i dati personali generati dall’utilizzo privato degli strumenti informatici messi a disposizione del dipendente dovrebbero essere inclusi fra quelli sottoposti al controllo previsto per l’uso a scopi di servizio (controlli periodici, a campione, a intervalli temporali ravvicinati). Le relative modalità di gestione devono essere dettagliate in modo chiaro attraverso un accordo con il personale (del quale il documento fornisce, appunto, un modello), che dovrà essere portato a conoscenza di tutti i dipendenti.

Vale la pena sottolineare che, a giudizio dell’Autorità tedesca, tale accordo farebbe venire meno la necessità di un consenso individuale del dipendente al trattamento dei dati personali generati dall’uso di Internet o e-mail per scopi privati: il fatto stesso che il dipendente acceda ad Internet per scopi privati, essendo a conoscenza delle regole stabilite dall’accordo, costituisce una forma di accettazione "per comportamento concludente". Ovviamente, ciò presupporrebbe un’adeguata e dettagliata informativa da parte del datore di lavoro sulle condizioni di utilizzo e sui controlli previsti.

Fra le indicazioni concretamente riferite a singoli aspetti, contenute anche nel "modello di accordo" sopra ricordato, citiamo in particolare le seguenti:
E-mail: a) le e-mail in arrivo ed in partenza dalle postazioni dei dipendenti per scopi di servizio potrebbero essere visionate dal datore di lavoro integralmente, esattamente come ogni altra forma di corrispondenza relativa all’attività di lavoro; b) per motivi di sicurezza, si potrebbe prevedere l’eliminazione dai messaggi di posta elettronica di allegati che presentino estensioni pericolose o sospette di tipo eseguibile (.exe, .bat, .com); c) le e-mail private sono da considerare alla stregua di corrispondenza ordinaria. Il datore di lavoro potrebbe prevedere indirizzi di e-mail distinti ai fini dell’invio e della ricezione di messaggi privati da parte del dipendente, oppure indicare ai dipendenti l’opportunità di rivolgersi a servizi di web mail gratuiti.
Internet: a) i dati di connessione dovrebbero comprendere data e ora della connessione, indirizzo IP di mittente e destinatario e volume complessivo dei dati trasmessi; b) i dati di connessione dovrebbero essere utilizzati esclusivamente per la ricerca di eventuali errori, per garantire la sicurezza del sistema, per analisi di tipo statistico e per verificare eventuali abusi; c) potrebbero essere condotti controlli a campione, anche giornalieri, sui siti web visitati, purché essi non si riferiscano ai singoli utenti; d) l’accesso ai dati di connessione dovrebbe essere limitato agli amministratori di sistema, i quali sono tenuti al rispetto delle norme in materia di protezione dati; e) dovrebbe essere prevista la cancellazione automatica dei dati di connessione dopo una settimana.

www.garanteprivacy.it 
Sito uff. del Garante privacy italiano
www.angap.it
Sito dell'Associazione Nazionale Garanzia Privacy
www.iet.it
Rivista giuridica on-line
www.cnil.fr
Sito uff. del Garante privacy Francese
www.dataprotection.gov.uk
Sito uff. del Garante privacy Inglese
www.bfd.bund.de
Sito uff. del Garante privacy tedesco
www.bka.gv.at/datenschutz/
Sito uff. del Garante privacy Austriaco