Di segutio sono elencati i provveddimenti normativi e pareri emanati dall'Autorità Garante della Privacy di particolare interesse per comprendere gli adempidenti in tema di privacy.
CODICE IN MATERIA DI TUTELA DEI DATI PERSONALI (D.lgs. 30 giugno 2003, n. 196)
PROVVEDIMENTO RELATIVO AI CASI DA SOTTRARRE ALL'OBBLIGO DI NOTIFICAZIONE
OBBLIGHI DI SICUREZZA E DOCUMENTO PROGRAMMATICO
Parere 22 marzo 2004
CHIARIMENTI SUI TRATTAMENTI DA NOTIFICARE AL GARANTE
Parere 23 aprile 2004
NOTIFICAZIONI IN AMBITO SANITARIO: PRECISAZIONI DEL GARANTE
Parere 26 aprile 2004
LINEE GUIDA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI DI LAVORATORI PER FINALITA' DI GESTIONE DEL RAPPORTO ALLE DIPENDENZE DI DATORI DI LAVORO PRIVATI
Deliberazione n. 53 del 23 novembre 2006
(Pubblicata in G.U. n. 285 del 7 dicembre 2006)
Il Garante per la protezione dei dati personali ha adottato le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”.
Uno dei principi cardine delle linee guida è quello secondo cui i dati personali dei lavoratori possono essere trattati dal datore di lavoro solo se sono strettamente indispensabili per dare esecuzione al rapporto di lavoro. Tali dati devono essere trattati dal personale appositamente individuato dal datore di lavoro, e devono essere tutelati attraverso la adozione di idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni. Il lavoratore deve essere informato riguardo all’uso dei suoi dati e deve poter agevolmente esercitare i diritti riconosciutigli dall’articolo 13 del codice privacy (accesso, aggiornamento, rettifica, cancellazione, ecc.). Viene inoltre regolamentato l’uso di cartellini identificativi del personale e quello dei dati biometrici dei lavoratori. Vengono infine indicati i presupposti e le modalità di trattamento dei dati sanitari dei dipendenti, nonché la comunicazione e la diffusione dei dati personali che li riguardano.
LINEE GUIDA PER POSTA ELETTRONICA E INTERNET
Deliberazione n. 13 del 1° marzo 2007
(Pubblicata in G.U. n. 58 del 10 marzo 2007)
Il Garante per la protezione dei dati personali ha dettato le “linee guida per posta elettronica e Internet”, fornendo concrete indicazioni sull’uso dei computer sul luogo di lavoro. Si prescrive ai datori di lavoro sia pubblici che privati l’adozione di alcune misure a tutela della protezione dei dati personali dei dipendenti. In particolare i datori devono:
- informare i lavoratori in modo chiaro e dettagliato sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati dei controlli;
- adottare un disciplinare interno, definito in collaborazione con le rappresentanze sindacali, in cui indicare chiaramente le regole d’uso di Internet e della posta elettronica;
- adottare ogni misura in grado di prevenire il rischio di utilizzi impropri dei dati personali, in modo da ridurre controlli successivi sui lavoratori.
Per quanto riguarda la connessione ad Internet, nelle linee guida il Garante privacy vieta ai datori di lavoro la lettura e il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, che realizzerebbe un controllo a distanza dell’attività lavorativa, non ammesso dallo Statuto dei lavoratori; perciò, i datori di lavoro devono:
- individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
- utilizzare filtri che prevengano determinate operazioni, come l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.
Per quanto riguarda la posta elettronica, il Garante vieta anche la registrazione sistematica delle e-mail del lavoratore, perciò raccomanda che l’azienda:
- renda disponibili anche indirizzi condivisi tra più lavoratori, rendendo chiara la natura non privata della corrispondenza;
- valuti la possibilità di attribuire al lavoratore un altro indirizzo di posta elettronica, ulteriore e diverso da quello del lavoro, destinato ad un uso personale;
- preveda in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui ci si può rivolgere;
- metta in grado il dipendente di delegare un altro lavoratore a verificare il contenuto dei messaggi a lui indirizzati e, in caso si prolungata o non prevista assenza del lavoratore o in caso di improrogabili necessità legate all’attività lavorativa, a inoltrare al titolare quelli ritenuti più rilevanti per l’ufficio.
GUIDA PRATICA E MISURE DI SEMPLIFICAZIONE PER LE PICCOLE E MEDIE IMPRESE
Deliberazione n. 21 del 24 maggio 2007
(Pubblicata in G.U. n. 142 del 21 giugno 2007)
Si tratta di una guida messa a punto dal Garante per la protezione dei dati personali, che si caratterizza per il taglio prettamente pratico della sua impostazione. E’ infatti strutturata in domande e risposte con le quali sono fornite definizioni e soluzioni semplificate per il corretto trattamento dei dati personali. Prende spunto dalle problematiche che gli imprenditori piccoli e medi sono quotidianamente chiamati a risolvere (quali le modalità per informare i clienti e i dipendenti sull’uso dei rispettivi dati personali, o per soddisfare le richieste degli interessati di accedere ai propri dati personali), con l’obiettivo di semplificare l’adeguamento alla normativa in materia di privacy.
LINEE GUIDA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI DI LAVORATORI PER FINALITA' DI GESTIONE DEL RAPPORTO DI LAVORO IN AMBITO PUBBLICO
Deliberazione n. 23 del 14 giugno 2007
Le suddette Linee-guida fanno seguito a quelle già adottate dal Garante per i l dipendenti da datori di lavoro privati. In esse si sottolinea la compatibilità tra la finalità della tutela della riservatezza con quella della trasparenza della pubblica amministrazione. Vi si regolamenta il trattamento dei dati sensibili relativi alla malattia del lavoratore assente dal lavoro e di quelli relativi alla salute del dipendente nei casi di visite medico legali, denunce di infortunio all’Inail, abilitazioni al porto d’armi e alla guida. I dati biometrici (per esempio, le impronte digitali) dei dipendenti non possono essere usati per controllare la presenza o gli accessi sul luogo di lavoro. Tali sistemi di rilevazione peraltro devono essere autorizzati dal Garante solo in presenza di particolari esigenze e con precise garanzie.
Un’attenzione particolare è riservata anche alla diffusione in Internet dei dati dei dipendenti, con la precisazione che non possono essere diffusi in alcun caso i dati relativi alla salute loro o dei loro familiari interessati. Il Garante impone in proposito il rispetto del cosiddetto “diritto all’oblio” (garantito dallo spostamento dei dati, dopo un certo periodo di tempo dalla pubblicazione, in una parte del sito non rintracciabile dai motori di ricerca esterni). Quanto invece alle graduatorie relative a concorsi o selezioni, nelle linee guida si raccomanda di riportarvi solo dati pertinenti (quindi, solo i nominativi abbinati ai risultati, senza l’indicazione, ad esempio, di recapiti telefonici o codice fiscale). Infine, il datore di lavoro pubblico deve prevenire la conoscenza ingiustificata di dati da parte di persone non autorizzate.