Cerca nel sito:

ricerca avanzata »

Home / Consulenza / Privacy / Utilizzo internet e posta elettronica

 

Consulenza Privacy

WebMail
Come navigare questo sito

Utilizzo internet e posta elettronica

Criteri e modalità per utilizzo di internet e della posta elettronica

Con il provvedimento di cui in oggetto il Garante per la protezione dei dati personali ha prescritto ai datori di lavoro privati e pubblici, ai sensi dell'art. 154, comma 1, lett. c), del Codice in materia di protezione di dati personali, di adottare la misura necessaria riguardante l'onere di specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli;

1. Adozione e pubblicizzazione di un disciplinare interno

Il Comune deve indicare, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.

Ildisciplinare interno deve specificare tali modalità e eventuali possibilità controllo e, più in generale, la policy aziendale del Comune e deve essere adeguatamente pubblicizzato (mediante consegna ai singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall'art. 7 dello Statuto dei lavoratori, ecc.).

Deve in particolare specificare, in relazione alle proprie scelte organizzative:

  • se determinati comportamenti non sono tollerati rispetto alla "navigazione" in Internet (ad es. il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
  • in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco temporale di utilizzo (ad es. fuori dall'orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
  • quali informazioni sono memorizzate temporaneamente (ad es. le componenti di file di log eventualmente registrati) e chi (anche all'esterno) vi può accedere legittimamente;
  • se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
  • se, e in quale misura, il Comune si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime, specifiche e non generiche, per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
  • quali conseguenze, anche di tipo disciplinare, il Comune si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
  • le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell'attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all'attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
  • se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell'interessato;
  • quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l'eventuale segreto professionale cui siano tenute specifiche figure professionali;
  • le prescrizioni interne sulla sicurezza dei dati e dei sistemi ( art. 34 del Codice, nonché Allegato B), in particolare regole 4, 9, 10 ).

2. Adozione di misure di tipo tecnologico

a) Rispetto all'utilizzo di internet

Il Comune deve individuare a quali lavoratori consentire tale utlizzo.

Al fine di ridurre il rischio di usi impropri della "navigazione" in Internet (consistenti in attività non correlate alla prestazione lavorativa quali la visione di siti non pertinenti, o con finalità ludiche o estranee all'attività), deve adottare opportune misure che possono, così, prevenire controlli successivi sul lavoratore, quali:

  • individuare categorie di siti considerati correlati o meno con la prestazione lavorativa;
  • configurare i sistemi o l'utilizzo di filtri che prevengano determinate operazioni, reputate inconferenti con l'attività lavorativa, quali l' upload o l'accesso a determinati siti (inseriti in una sorta di black list) e/o il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato);
  • trattare i dati in forma anonima o tale da precludere l'immediata identificazione di utenti mediante loro opportune aggregazioni (ad es. con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori);
  • conservare i dati per il tempo strettamente necessario al perseguimento di finalità organizzative, produttive e di sicurezza.

b) Rispetto all'utilizzo della posta elettronica

Il contenuto dei messaggi di posta elettronica, come pure i dati esteriori delle comunicazioni e i file allegati, sono forme di corrispondenza assistite da garanzie di segretezza, tutelate anche costituzionalmente.

Con riferimento all'impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita all'indirizzo di posta elettronica nei singoli casi, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica per finalità di servizio o ne faccia un uso personale.

La mancata esplicitazione di una policy al riguardo può determinare anche una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.

É quindi particolarmente opportuno che si adottino accorgimenti che chiariscano quale sia l'utilizzo consentito della posta elettronica

Il Comune deve:

  • valutare se rendere disponibili indirizzi di posta elettronica condivisi tra più lavoratori;
  • valutare se attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore;
  • mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema, di agevole utilizzo, che consentano di inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le "coordinate" (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura. É parimenti opportuno prescrivere ai lavoratori di avvalersi di tali modalità, prevenendo così l'apertura della posta elettronica. In caso di eventuali assenze non programmate (ad es., per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il titolare del trattamento, perdurando l'assenza oltre un determinato limite temporale, può disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad es. l'amministratore di sistema), l'attivazione di un analogo accorgimento, avvertendo gli interessati;
  • in previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all'attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, adottare una misura che consenta all'interessato di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa. A cura del titolare del trattamento, di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile;
  • adottare una misura per cui i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale.

3. Attività di controllo

Il Comune deve decidere se effettuare attività di controllo.

L'eventuale controllo è lecito solo se sono rispettati i principi di pertinenza e non eccedenza.

Deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree.

Il controllo anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l'invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. L'avviso può essere circoscritto a dipendenti afferenti all'area o settore in cui è stata rilevata l'anomalia. In assenza di successive anomalie non è di regola giustificato effettuare controlli su base individuale.

Non sono legittimi controlli prolungati, costanti o indiscriminati.

I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente (attraverso procedure di sovraregistrazione come, ad esempio, la cd. rotazione dei log file ) i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria.

In assenza di particolari esigenze tecniche o di sicurezza, la conservazione temporanea dei dati relativi all'uso degli strumenti elettronici deve essere giustificata da una finalità specifica e comprovata e limitata al tempo necessario.

Un eventuale prolungamento dei tempi di conservazione va valutato come eccezionale e può aver luogo solo in relazione:

  • ad esigenze tecniche o di sicurezza del tutto particolari;
  • all'indispensabilità del dato rispetto all'esercizio o alla difesa di un diritto in sede giudiziaria;
  • all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria.

Vige l'assoluto divieto di effettuare controlli con le seguenti modalità:

  • la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
  • la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
  • la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
  • l'analisi occulta di computer portatili affidati in uso.
modello utilizzo internet e posta elettronica