Privacy in discussione nell’era del Web

L’avvento di Internet e la crescita impetuosa dei dispositivi di comunicazione mobile hanno messo in crisi il concetto di privacy elaborato in decenni di dibattiti dottrinali. Tanto che, negli ultimi anni, gli interventi normativi e quelli del Garante si sono moltiplicati, senza tuttavia mai riuscire a tenere il passo dell’evoluzione tecnologia.

La legge del 1996. Il punto di partenza della disciplina sulla privacy è la legge n.675/1996, intitolata “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Normativa nata su sollecitazione di una direttiva europea (46/95/CE) relativa alla tutela dei dati personali e alla libera circolazione di tali dati. Nel 2003 questo provvedimento è confluito nel Testo unico di settore (decreto legislativo n.196/2003) denominato “Codice in materia di protezione dei dati personali”. La normativa riconosce (articolo 1) il diritto del singolo individuo alla tutela dei propri dati personali, stabilendo che “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Il diritto sui propri dati è differente dal diritto alla riservatezza, in quanto non riguarda solo le informazioni che hanno a che fare con la vita privata, ma si estende a qualunque informazione relativa alla persona, anche se non è coperta da riserbo. Quindi, ad esempio, sono dati personali anche il proprio indirizzo di posta elettronica e il numero di cellulare.
Il Codice stabilisce inoltre le procedure per la gestione dei dati da parte di terzi: un concetto che riguarda la raccolta, l’elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione dei dati stessi.

I problemi in azienda. I principi fissati per legge entrano spesso in crisi quando si passa all’applicazione concreta. La rapida evoluzione delle tecnologie, infatti, crea spesso dei vuoti normativi. Qualche esempio? Come può il titolare dell’azienda garantire l’integrità delle reti informatiche se non controlla alcune attività compiute dai suoi collaboratori via Internet? E ancora: come è possibile tutelare i dati riservati senza prevedere una graduazione degli accessi? Sono alcune delle domande che spesso sorgono nei contesti aziendali e alle quali è difficile rispondere in maniera univoca. Alcuni punti sono stati però chiariti dai tribunali e dal Garante. In particolare, il controllo della posta elettronica aziendale e il monitoraggio dei siti Internet visitati dai dipendenti sono operazioni possibili, a patto che siano necessari al lavoro da svolgere e proporzionati al risultato da raggiungere. Il datore di lavoro deve definire le modalità dei controlli tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali. I controlli, inoltre, devono essere trasparenti e mai compiuti all’insaputa dei lavoratori. Il datore deve informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo delle tecnologie e sulla possibilità e modalità di effettuazione di eventuali controlli.

Linee guida. Il Garante suggerisce di definire le policy aziendali segnalando ai dipendenti i siti considerati attinenti o meno l’attività lavorativa e utilizzando filtri che impediscano il download di file musicali o multimediali. Nel caso in cui gli accorgimenti preventivi non siano stati sufficienti e si sia prodotto un evento dannoso, il datore di lavoro può adottare misure che consentano la verifica di comportamenti anomali. In ogni caso non sono ammissibili controlli prolungati, costanti o indiscriminati. Deve essere preferito un controllo preliminare su dati aggregati, riferiti all’intera struttura lavorativa o a sue aree specifiche. Solo nel caso in cui non si risolvano i problemi, è possibile passare a controlli individuali.


Autore: Luigi dell’Olio - 12 maggio 2008