USO DI INTERNET E POSTA ELETTRONICA SUL LUOGO DI LAVORO: LE LINEE-GUIDA DELL’AUTORITA’ FEDERALE TEDESCA

L’Autorità federale tedesca per la protezione dei dati personali ha messo a punto un documento che offre, in relazione al particolare contesto tedesco, una serie di linee-guida per i datori di lavoro nel settore pubblico rispetto all’uso di Internet e posta elettronica da parte dei dipendenti. Al documento è allegato il testo di un accordo-modello che i datori di lavoro di quel paese potrebbero utilizzare per regolamentare contrattualmente tale uso e garantire un’adeguata informazione dei dipendenti (disponibile all’indirizzo http://www.bfd.bund.de/information/Leitfaden.pdf).
Punto di partenza delle linee-guida, applicabili anche al settore privato, è il riconoscimento di un determinato interesse legittimo del datore di lavoro a verificare che l’eventuale divieto di utilizzazione privata degli strumenti informatici (quali Internet e posta elettronica) sia effettivamente rispettato, oppure che tale utilizzazione, ove consentita, avvenga nei limiti previsti e/o concordati. La specifica normativa tedesca in materia di telecomunicazioni e protezione dei dati è piuttosto dettagliata e complessa, per cui il Garante federale ha ritenuto di fornire indicazioni e chiarimenti sul corretto modo di operare.
Se al dipendente è permesso di accedere ad Internet ed alla posta elettronica solo per motivi di servizio, il datore di lavoro non rappresenta, ad avviso di quell’Autorità, un "provider" di servizi di telecomunicazione (ai sensi della normativa in materia); pertanto, il trattamento di dati personali del dipendente (attraverso la loro registrazione nei log files, ossia i file di connessione) può avvenire solo nel rispetto della legge federale di protezione dati. Ciò comporta un bilanciamento degli interessi fra le parti in causa, tenendo conto dell’effettiva necessità e della proporzionalità dei trattamenti di dati previsti. Bisogna anche avere riguardo al diritto all’autodeterminazione informativa, che rappresenta uno dei principi-cardine non solo in Germania, ma a livello europeo.
E’ chiaro, dunque, anche in quel Paese che una sorveglianza a tappeto dei dipendenti non è ammissibile alla luce delle norme di protezione dati; piuttosto, sarebbero possibili controlli regolari a campione dei log files, che non possono assolutamente essere utilizzati per fini diversi (ad esempio, per valutare le prestazioni o il rendimento dei dipendenti).
Se, viceversa, al dipendente è consentito l’utilizzo privato di Internet e posta elettronica, si applicherebbero le norme tedesche in materia di telecomunicazioni in quanto, a giudizio dell’Autorità, il datore di lavoro funge in questo caso da fornitore di servizi di telecomunicazione. In base a tali norme, il trattamento dei dati di connessione e di utilizzazione, come pure dei dati di natura contabile, è consentito esclusivamente se risulta necessario per la prestazione e la (eventuale) fatturazione dei servizi. Inoltre, si sottolinea chiaramente che, nei confronti del dipendente, il datore di lavoro è tenuto al rispetto del segreto delle (tele)comunicazioni: valgono le stesse regole applicabili per le telefonate private. Poiché, tuttavia, non si può pensare di separare tecnicamente i dati di connessione riferiti all’uso per scopi di servizio da quelli relativi all’uso privato, né rappresenta una soluzione la previsione di due user account distinti — che richiede, fra l’altro, un impegno aggiuntivo da parte dell’amministratore di sistema — la direttiva elaborata dall’Autorità tedesca prevede che, in questo caso, i dati personali generati dall’utilizzo privato degli strumenti informatici messi a disposizione del dipendente dovrebbero essere inclusi fra quelli sottoposti al controllo previsto per l’uso a scopi di servizio (controlli periodici, a campione, a intervalli temporali ravvicinati). Le relative modalità di gestione devono essere dettagliate in modo chiaro attraverso un accordo con il personale (del quale il documento fornisce, appunto, un modello), che dovrà essere portato a conoscenza di tutti i dipendenti.
Vale la pena sottolineare che, a giudizio dell’Autorità tedesca, tale accordo farebbe venire meno la necessità di un consenso individuale del dipendente al trattamento dei dati personali generati dall’uso di Internet o e-mail per scopi privati: il fatto stesso che il dipendente acceda ad Internet per scopi privati, essendo a conoscenza delle regole stabilite dall’accordo, costituisce una forma di accettazione "per comportamento concludente". Ovviamente, ciò presupporrebbe un’adeguata e dettagliata informativa da parte del datore di lavoro sulle condizioni di utilizzo e sui controlli previsti.
Fra le indicazioni concretamente riferite a singoli aspetti, contenute anche nel "modello di accordo" sopra ricordato, citiamo in particolare le seguenti:
- E-mail:
· a) le e-mail in arrivo ed in partenza dalle postazioni dei dipendenti per scopi di servizio potrebbero essere visionate dal datore di lavoro integralmente, esattamente come ogni altra forma di corrispondenza relativa all’attività di lavoro; b) per motivi di sicurezza, si potrebbe prevedere l’eliminazione dai messaggi di posta elettronica di allegati che presentino estensioni pericolose o sospette di tipo eseguibile (.exe, .bat, .com);
· c) le e-mail private sono da considerare alla stregua di corrispondenza ordinaria. Il datore di lavoro potrebbe prevedere indirizzi di e-mail distinti ai fini dell’invio e della ricezione di messaggi privati da parte del dipendente, oppure indicare ai dipendenti l’opportunità di rivolgersi a servizi di web mail gratuiti.
- Internet:
· a) i dati di connessione dovrebbero comprendere data e ora della connessione, indirizzo IP di mittente e destinatario e volume complessivo dei dati trasmessi;
· b) i dati di connessione dovrebbero essere utilizzati esclusivamente per la ricerca di eventuali errori, per garantire la sicurezza del sistema, per analisi di tipo statistico e per verificare eventuali abusi;
· c) potrebbero essere condotti controlli a campione, anche giornalieri, sui siti web visitati, purché essi non si riferiscano ai singoli utenti;
· d) l’accesso ai dati di connessione dovrebbe essere limitato agli amministratori di sistema, i quali sono tenuti al rispetto delle norme in materia di protezione dati;
· e) dovrebbe essere prevista la cancellazione automatica dei dati di connessione dopo una settimana.
Con la bozza del modello di notificazione dei trattamenti diffusa lo scorso 13 ottobre, l'Autorità Garante per la tutela dei dati personali ha avviato il fitto ciclo delle attività previste dalle scadenze di fine anno della legge 675/1996.In una serie di contesti diversi, i membri componenti l'Autorità Garante definiscono ed anticipanoil quadro organizzativo nel quale si modula la legge sulla privacy e alcune delle regole che lo governeranno.Il modello di notificazione dei trattamenti Sarà necessario fare una sola notificazione per ciascuna Società che opera in settori omogenei. Una per ogni settore, nel caso di aziende che operino in più settori completamente diversi tra loro. In genere, quindi, sarà, sufficiente un solo modulo per segnalare tutti i trattamenti relativi alla gestione operativa della propria attività aziendale e, non solo per le notificazioni semplificate, ma anche per quelle ordinarie. Queste istruzioni saranno comprese nel modulo definitivo (che sarà disponibile, anche, su supporto magnetico) che, a breve, darà inizio all'operazione "denunce dei trattamenti". Dal 1 gennaio al 31 marzo 1998, infatti, dovranno essere comunicati all'Autorità Garante tutti i trattamenti iniziati durante il 1997 (o prima), compresi i trattamenti non automatizzati di dati sensibili. Quanto ai trattamenti effettuati dopo il 1 gennaio 1998, invece, ciascuno di essi dovrà essere notificato prima dell'inizio dell'operazione.Autorizzazioni al trattamento di dati sensibiliAl fine di evitare una pioggia di richieste di autorizzazioni tutte eguali, il Garante darà un autorizzazione unica che permetterà a ben determinate categorie e soggetti, sulle quali non sussistono dubbi o perplessità, di essere esonerate da tale incombenza di legge. Tale autorizzazione, prevista dalle norme transitorie della legge 675/1996, riguarderà medici, partiti politici, associazioni, ma anche alcune tipologie di trattamenti nelle aziende.Internet, Telecomunicazioni, Commercio elettronico(Ndr: di questo ed altro, ha parlato l'Ing. Claudio Manganelli, uno dei quattro componenti l'Ufficio del Garante, nel corso di un'intervista pubblicata venerdì 24 Ottobre, dal Sole 24 Ore, di cui riportiamo i passi significativi.)Le future leggi sulla privacy telematica non imbriglieranno la Rete limitandone l'utilizzo. È questo l'orientamento che sta emergendo a livello europeo e italiano. Con la legge 675/1996, il Governo ha ricevuto la delega a stabilire le modalità della sua applicazione alle comunicazioni in rete.Nel frattempo, l'Unione europea non è rimasta alla finestra. Le Autorità garanti per la privacy nei vari Paesi partecipano attivamente al dibattito sull'impatto delle nuove tecnologie sulla protezione dei dati personali.Entro l'inizio del 1998 l'ufficio del Garante scriverà la bozza di decreto sulla privacy telematica, dopo aver consultato le categorie interessate. «Il principio che sta maturando è quello di garantire il rispetto della privacy nell'ambito delle reti aperte attraverso una strategia in quattro punti: - autodifesa da parte degli utenti, che devono accertarsi del livello di sicurezza offerto dal fornitore di servizi cui si rivolgono; - sviluppo di nuove tecnologie informatiche che assicurino elevati livelli di sicurezza e di protezione della privacy; - norme di disciplina concordate dai provider, non certo imposte dagli Stati; - diffusione della consapevolezza che Internet, per quanto in frenetica evoluzione e con capacità altamente diffusive, è pur sempre un media e, dunque, agli abusi commessi in Rete si possono applicare tutte le leggi e le regole dei codici». È improntata alla moderazione anche la direttiva europea sulla tutela della vita privata nel settore delle telecomunicazioni, che sta per essere varata e dovrà essere recepita in tutti i Paesi membri nell'ottobre '98. «La proposta prevede che l'ascolto e la registrazione delle conversazioni effettuate su una rete siano ammesse solo in tre casi: per intercettazioni legalmente autorizzate per la salvaguardia della sicurezza pubblica o per la lotta alla criminalità, oppure quando vi sia il consenso da parte degli interessati (ad esempio per individuare un disturbatore anonimo), o infine quando vi sia un'autorizzazione volta a fornire la prova di una transazione commerciale o finanziaria».L'autodisciplina è uno dei temi sui quali gli organismi europei stanno lavorando. «A Strasburgo il Group de travail nouvelles technologies sta mettendo a punto un codice di condotta da diffondere in tutta Europa. Il progetto è focalizzato su tre aspetti principali: - diffondere presso gli utenti e gli Internet provider la consapevolezza che la Rete non offre sufficienti garanzie di sicurezza se non utilizzando idonei mezzi di protezione; - rendere consapevoli gli utenti del fatto che hanno un diritto di accesso presso i provider per verificare l'esistenza di propri dati personali, la loro correttezza ed eventualmente chiederne la correzione o la cancellazione; - diffondere il concetto che esiste una responsabilità giuridica per tutte le operazioni effettuate su Internet». Èd è sulla tutela della riservatezza che si gioca il futuro del commercio elettronico e dell'home banking. L'utente, infatti, deve avere la garanzia che non vengano alterati a suo danno i contenuti delle operazioni che effettua e che non siano "catturati" i dati della sua carta di credito.Il problema può essere risolto dall'impiego di sistemi di crittografia, che cifrano il traffico su Internet, o di supporti di moneta elettronica (mediante l'uso di carte a microcircuito e appositi lettori connessi al terminale di accesso alla Rete). La tecnologia per creare potenti sistemi di crittografia è già disponibile, ma rischia di generare una Babele di codici che possono limitare lo sviluppo del commercio elettronico.«Per scongiurare questo pericolo, l'Unione europea sta valutando l'adozione di uno statuto internazionale sottoscritto da Governi e aziende, che faciliti l'adozione di standard comuni, oltre che intervenga anche per risolvere le controversie tra Europa e Stati Uniti sulla crittografia elettronica, sulla disciplina della proprietà intellettuale us Internet, sull'ipotesi di tassazione nel commercio elettronico. Tutto questo però senza ricorrere a norme internazionali che risultino vincolanti dal punto di vista legislativo». Il senso della misura sembra essere il parametro di riferimento cui l'Europa e l'Italia stanno ispirandosi anche su temi delicati come la pornografia e la pedofilia in Rete. Manganelli cita come esempio la strada tracciata dall'Alcei, l'Associazione per la libertà e la tutela della comunicazione elettronica interattiva, che collabora con Telefono azzurro.«L'Alcei ha un duplice obiettivo: proteggere l'infanzia ed evitare la demonizzazione e il rallentamento del progresso. Richiama, più che l'opportunità di escogitare nuove leggi, la necessità di applicare con determinazione quelle in vigore, ricordando che Internet è solo un mezzo di comunicazione, simile alla stampa e alla diffusione radiotelevisiva. Comunque, esistono già software, scaricabili dalla Rete, che consentono di impedire l'accesso da parte di minori ai siti pornografici». Ma la tecnologia può anche essere impiegata per spiare le nostre mosse sul Web. È il caso dei cookies, piccoli programmi che vengono inseriti da molti siti nei pc che vi si collegano, per facilitare le connessioni abituali ma anche per trasmettere le nostre scelte al provider. Il Garante per la privacy ci tutelerà da questi software-spia? Purtroppo no. «Non configurano alcun illecito - spiega Manganelli - e d'altro canto non arrivano a conoscere l'identità dei cybernauti. Per ottenere i dati anagrafici alcuni provider inviano moduli elettronici da compilare in cambio del servizio che offrono o della partecipazione a un concorso. In questo caso è l'utente che deve autotutelarsi, difendendo la sua privacy».Il regolamento attuativo della legge 675/1996 punta sulle comunicazioni telematiche (Ndr: Ed a completamento del tema, riprendiamo integralmente un articolo pubblicato il 23 ottobre u.s. sul Sole 24 Ore, a firma del sempre ben informato Antonello Cherchi)Notificazioni su supporto informatico e, in un prossimo futuro, trasmesse per posta elettronica; accesso libero e gratuito al registro delle notificazioni; autorizzazioni rilasciate dal Garante anche via fax; tempi e modi per presentare il ricorso, a tutela della privacy violata.Tutto questo e altro ancora è materia dell'atteso regolamento attuativo della legge 675/1996 sulla riservatezza dei dati personali, attualmente al vaglio del Consiglio di Stato.Il provvedimento - previsto dal comma 3 dell'articolo 33 della legge 675/1996 e che avrebbe dovuto vedere la luce nei tre mesi successivi all'entrata in vigore della nuova normativa (dunque, entro l'8 agosto scorso) - riguarda in buona parte l'organizzazione dell'ufficio del Garante. Una serie di articoli sono, però, dedicati ad adempimenti generali di stretta attualità. Per esempio le notificazioni, di cui già si conosce la modulistica provvisoria (si veda "Il Sole-24 Ore" del 14 ottobre 1997). A tale riguardo, il regolamento precisa che le notificazioni dovranno essere effettuate, di regola, su supporto informatico, utilizzando i modelli (ordinario o semplificato), predisposti dal Garante.In un futuro prossimo sarà, però, possibile optare per la soluzione telematica, inviando la notificazione per posta elettronica o mediante un altro servizio indicato dall'Authority.Si dovrà solo aspettare che diventi realtà la cosiddetta "firma digitale", introdotta dalla legge 59/1997 (la Bassanini-uno), di cui si attende il regolamento attuativo.Anche per le richieste di autorizzazioni da inoltrare al Garante (operazione che partirà il prossimo 30 novembre e riguarderà, in particolare, il trattamento dei dati sensibili), si potrà fare ricorso alle stesse tecnologie oppure al fax, utilizzando il modello che l'organo di garanzia divulgherà prossimamente. E sempre via fax potrà arrivare anche la risposta del Garante.Nel caso di informazioni relative alla salute, il Consiglio superiore della Sanità avrà dieci giorni per far pervenire al Garante il previsto parere; decorso tale termine, l'Authority deciderà autonomamente.Nuove tecnologie anche per i ricorsi al Garante, per i quali si può utilizzare la tradizionale "raccomandata" oppure si può scegliere la trasmissione elettronica dell'atto. Al ricorso, che deve contenere tutte le coordinate del ricorrente, va allegata la richiesta negata di accesso ai dati.Il registro generale dei trattamenti, istituito dall'Autorità sulla base delle notificazioni ricevute, è accessibile a chiunque e per consultarlo non occorrono particolari formalità. La ricerca avviene attraverso un terminale collocato nell'ufficio del Garante, ma possono essere autorizzate anche forme di consultazione telematica.La richiesta di accedere alle proprie informazioni personali che si presumono custodite in una determinata banca dati può essere avanzata anche agli incaricati del trattamento. La richiesta può essere fatta a voce dall'interessato, il quale deve unicamente dimostrare la propria identità, anche esibendo o allegando una copia del documento di riconoscimento. L'interessato può farsi rappresentare e, in questo caso, la persona delegata deve presentare copia della procura o della delega con la sottoscrizione autenticata.Se la ricerca dà esito negativo, nel senso che in quella particolare banca dati non esistono informazioni relative all'interessato, quest'ultimo deve versare un contributo spese che non può superare le 20mila lire. Se l'indagine riguarda informazioni elaborate con mezzi automatizzati e l'esito della ricerca viene riferito a voce, il contributo spese è forfetizzato in 5mila lire.