Il Garante della Privacy, al fine di definire e regolare un settore in costante evoluzione di difficile tracciabilità, ha da tempo definito un insieme di regole che permettono di utilizzare la posta elettronica e la rete Internet nel rapporto di lavoro e lo ha fatto con la delibera n. 13 del 1° marzo 2007.
In effetti, la decisione del Garante della Privacy è nata per via di numerosi reclami, segnalazioni e quesiti giunti da più parti tanto che l’Autorità ha prescritto ai datori di lavoro alcune misure, necessarie o opportune, per conformare alle disposizioni vigenti il trattamento di dati personali effettuato per verificare il corretto utilizzo nel rapporto di lavoro delle recenti innovazioni tecnologiche.
Per l’Authority compete comunque ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d’uso nell’organizzazione dell’attività lavorativa tenendo conto della disciplina in tema di diritti e relazioni sindacali. Il datore di lavoro, al fine di tutelare il proprio patrimonio aziendale, può adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 ss., 167 e 169 del Codice).
Non solo, emerge anche l’esigenza di tutelare i lavoratori interessati anche perché l’utilizzazione dei predetti mezzi, già ampiamente diffusi nel contesto lavorativo, è destinata ad un rapido incremento in numerose attività svolte anche fuori della sede lavorativa e che l’utilizzo di Internet da parte dei lavoratori può infatti formare oggetto di analisi, profilazione e integrale ricostruzione mediante elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle informazioni.
I servizi di posta elettronica, ricorda il Garante, sono suscettibili (anche attraverso la tenuta di log file di traffico e-mail e l’archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza.
Dall’altra parte per l’Authority è anche necessario tutelare il lavoratore perché le informazioni di carattere personale trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata di lavoratori e di terzi tanto che la linea di confine tra questi ambiti, come affermato dalla Corte europea dei diritti dell’uomo, può essere tracciata a volte solo con difficoltà (Niemitz v. Germany, 23 novembre 1992, par. 29 e Halford v. United Kingdom, 25 giugno 1997).
L’Autorità per la tutela della Privacy riconosce che il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l’esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali.
A questo riguardo l’Authority ricorda i diversi contenuti normativi quali gli articoli 2 e 41, secondo comma, della Costituzione; l’articolo 2087 del codice civile; cfr. altresì l’art. 2, comma 5, Codice dell’amministrazione digitale (d.lg. 7 marzo 2005, n. 82), riguardo al diritto ad ottenere che il trattamento dei dati effettuato mediante l’uso di tecnologie telematiche sia conformato al rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, ma anche della Direttiva per l’impiego della posta elettronica nelle pubbliche amministrazioni del 27 novembre 2003; Raccomandazione n. R (89)2 del Consiglio d’Europa in materia di protezione dei dati personali nel contesto del rapporto di lavoro.