PDA

Visualizza versione completa : Privacy: Garante prescrive nuove regole per il pubblico ed il privato


Losko
21-03-2007, 08.46.58
Riporto una news giuntami per e-mail a solo scopo informativo e per tutti ed in particolare per il personale IT che vorrano organizzarsi per adottare le nuove procedure dettate dal Garante per la Privacy.

Posta elettronica
Nelle aziende sono ammessi solo controlli indiretti e graduali sull'uso di internet e della posta elettronica, pertanto il datore di lavoro non può leggere e registrare i messaggi e-mail ne memorizzare in alcun modo le pagine internet visitate dai propri dipendenti. Nel caso vengono riscontrate delle anomalie, possono essere effettuati controlli anche sulla singola postazione, ma solo dopo aver verificato il reparto, l'ufficio o il gruppo di lavoro.

Queste sono solo alcune delle linee guida detatte dal garante per la privacy per l'uso della posta elettronica e internet per i datori di lavoro privati e pubblici (deliberazione n. 13 del 1° marzo 2007, pubblicata sul sito dell'Autorità come doc. web. n. 1387522), la cui prescrizione più importante è relativa all'adozione e alla pubblicizzazione di un codice disciplinare interno. Questo l'adempimento principale a carico del datore di lavoro, ma non l'unico.

Tale provvedimento è importante, in quanto, segna i limiti a cui devono sottostare lavoratori e datori di lavoro pubblici e privati. Data la sua importanza, il provvedimento è in corso di pubblicazione sulla Gazzetta Ufficiale. La deliberazione interviene anche a escludere la necessità di raccogliere il consenso del lavoratore per l'effettuazione dei controlli leciti e consentiti che implicano il trattamento di dati diversi da quelli sensibili: il provvedimento rappresenta un'applicazione della disciplina del cosiddetto bilanciamento di interessi.

Il fulcro della deliberazione è appunto la stesura di un codice disciplinare interno che specifichi come utilizzare internet e la posta elettronica. Tale codice disciplinare interno non solo deve avvisare sulle modalità di controllo e sulle possibilità di accesso alla posta elettronica in caso di assenza del lavoratore ma, nell'elaborazione il datore di lavoro, in particolare, deve precisare, che e in quale misura può utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco temporale di utilizzo (per esempio, fuori dall'orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro).

Questo provvedimento, pertanto, ha bocciato l'uso di strumenti di controllo a distanza, tra cui sono da includersi qualsiasi strumento hardware e software finalizzato al controllo dell'utente di un sistema di comunicazione elettronica, passa al setaccio i programmi di controllo indiretti. Pertanto possono essere usati tutti i programmi di controlli per esigenze produttive e organizzative o di sicurezza o programmi da cui scaturisca un controllo non intenzionale dei lavoratori compatibili con la privacy.

Internet
Per quanto riguarda Interent, tale provvedimento stabilisce per il datore di lavoro di stabilire categorie di siti considerati correlati o non con il lavoro per mezzo di configurazioni del sistema o attraverso l'uso di filtri che prevengano determinate operazioni, trattare dati in forma anonima o tale da precludere l'immediata identificazione degli utenti mediante opportune aggregazioni; conservare di dati, ma solo per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza.

Il datore di lavoro è chiamato ad alcuni accorgimenti organizzativi come la messa a disposizione di indirizzi di posta elettronica condivisi a più lavoratori e identificanti il singolo ufficio, eventualmente affiancati a quelli individuali oppure la creazione di caselle di posta elettronica da assegnare ai lavoratori per l'uso strettamente personale. Altri accorgimenti sono di carattere tecnico come le risposte generate automaticamente in caso di assenza programmata dal lavoratore. In caso di assenza prolungata o non programmata del lavoratore, il provvedimento prevede, che il lavoratore assente può nominare, un suo fiduciario (per garantire la funzionalità dell'azienda e la riservatezza del lavoratore stesso) incaricato di verificare i messaggi lavorativi e quelli personali Inoltre, un'ultima avvertenza riguarda il contenuto del messaggio che deve recare un avviso ai destinatari nel quale sia dichiarata la natura non personale della comunicazione e la specificazione della possibilità di lettura delle risposte all'interno dell'azienda. Anche per la posta elettronica diventa importante avere definito la policy aziendale interna: in mancanza si crea a favore del lavoratore e dei terzi una legittima aspettativa circa la confidenzialità dei messaggi di posta elettronica.

Conclusioni
• Stabilisce con un codice aziendale le modalità di utilizzo della posta
elettronica e della rete internet da parte dei lavoratori

• Deve informare sulle modalità dei controlli

• Può individuare preventivamente (anche per tipologie) a quali lavoratori è
accordato l'utilizzo della posta elettronica e dell'accesso a internet

• Può individuare l'ubicazione riservata alle postazioni di lavoro per ridurre il
rischio di impieghi abusivi

• Può bloccare i siti considerati correlati o non correlati con la prestazione
lavorativa

• Può usare sistemi o filtri che prevengano determinate operazioni

• Può assegnare indirizzi di posta elettronica condivisi tra più lavoratori

• Può attribuire al lavoratore un diverso indirizzo destinato a uso privato

• Prevede risposte automatiche, in caso di assenze programmate del
lavoratore che contengano le modalità di contatto dell'istituzione

• In caso di assenza improvvisa o prolungata o in caso di necessità la casella
del lavoratore è verificata da un fiduciario delegato dallo stesso, con
redazione di un verbale e informazione all'interessato

• Nei messaggi è inserito un avviso sulla natura non personale della
comunicazione