L’introduzione massiccia delle tecnologie informatiche in azienda ha
reso necessaria una regolamentazione dell’utilizzo interno e verso
l’esterno. Le imprese sono molto attente a rispettare le direttive in
materia di privacy e trattamento dei dati personali di clienti e
partner, ma trascurano spesso di definire analoghe policy sui dati dei
dipendenti, rischiando così di incorrere in situazioni anomale e in
sanzioni.
Dati personali dei dipendenti: normativa e principi
Oltre al Codice della Privacy, a livello europeo, i principi da seguire per il trattamento dei dati personali degli impiegati si basano sui documenti del “Gruppo di lavoro art. 29” istituito dalla Direttiva 95/46/CE. Oltre al principio di segretezza – secondo cui l’azienda non può per alcun
motivo accedere ai file personali di un dipendente anche se questi sono
archiviati sul computer aziendale – sussistono altri principi inderogabili.
Tra questi, il principio di finalità: i dati personali dei dipendenti devono
essere raccolti per finalità che abbiano carattere di legittimità e che siano
esplicite e specifiche; il principio di trasparenza: obbligo di rendere noti
quali dati personali l’azienda conserva e a quale scopo, consentendone
comunque ai lavoratori l’accesso. A seguire: principio di legittimità
riferita ai dati raccolti; di proporzionalità: i dati non possono essere
eccedenti rispetto agli scopi per cui vengono raccolti e conservati.
Altri principi fondamentali sono: accuratezza e conservazione dei dati: le
informazioni devono essere precise e aggiornate quando necessario; il
principio di sicurezza: i dati sono un bene sensibile e come tale vanno
gestiti in totale sicurezza per evitarne la divulgazione e l’accesso ai non
autorizzati. Infine, il principio di capacità e correttezza del personale
incaricato: i dati personali devono essere raccolti e custoditi da personale
formato appositamente a questo scopo.
Controllo dei dipendenti
Il controllo informatico dei dipendenti deve essere esercitato nella
massima trasparenza, senza che i controllati ne abbiano contezza. Si
attua solo se non è possibile ottenere i medesimi risultati con metodi
tradizionali di sorveglianza, e il trattamento dei dati deve essere equo
(non devono essere la “parte debole” del rapporto con il datore di lavoro!)
e adeguato alle preoccupazioni a cui si cerca di dare una risposta: in
pratica, non si possono intraprendere azioni di controllo dei dati per fatti
di poco conto o di scarsa importanza per l’azienda.
Per quanto concerne il controllo della email dei dipendenti e dell’uso
di Internet, il Garante Privacy ha elaborato un’apposita delibera, basata
sul principio di necessità: è necessario impostare i software
informatici in modo che l’utilizzo dei dati personali sia ridotto al minimo,
privilegiando dati anonimi o ricollegabili al proprietario solo se
necessario. Il lavoratore deve essere informato del trattamento dei propri
dati, e deve conoscere i modi di utilizzo degli strumenti tecnologici e le
metodologie di controllo adottate.
di Filippo Davide Martucci – pmi.it