Nel frattempo, è prossima la seconda scadenza prevista dal provvedimento del Garante Privacy dell’8 aprile 2010 in materia di videosorveglianza; con la prima scadenza, i datori di lavoro avrebbero dovuto, entro il mese di ottobre del 2010, sottoporre i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati (ad esempio i sistemi di rilevazione dei dati biometrici), alla verifica preliminare ai sensi dell’art. 17 del Codice Privacy (c.d. “interpello” al Garante) e adottare le misure necessarie per quanto concerne i sistemi integrati di videosorveglianza a tutte le misure richieste.
Entro il mese di aprile del 2011, invece, il datore di lavoro dovrà fornire idonea informativa visibile anche quando il sistema di videosorveglianza sia attivo in orario notturno e adottare le misure di sicurezza sui dati registrati tramite impianti di videosorveglianza.
Le sanzioni previste per gli atti di controllo per chi utilizza sistemi non autorizzati di sorveglianza a distanza dell’attività del lavoratore (tra cui telecamere, sistemi gps, sistemi di rilevazione delle chiamate, software di monitoraggio del traffico internet), sono di natura penale (arresto fino a un anno, ai sensi dell’art. 38, legge 300/1970), e di natura amministrativa per i datori che omettono o danno inidonea informativa al lavoratore (da 6mila a 36mila euro, ai sensi dell’art. 161, Codice Privacy).
Correttamente, il Garante Privacy esclude l’obbligo di richiedere il consenso dei soggetti ripresi sostenendo che: “nel caso di impiego di strumenti di videosorveglianza la possibilità di acquisire il consenso risulta in concreto limitata dalle caratteristiche stesse dei sistemi di rilevazione che rendono pertanto necessario individuare un’idonea alternativa nell’ambito dei requisiti equipollenti del consenso di cui all’art. 24, comma 1, del Codice”. Tradotto in parole più semplici, il Garante riconosce che sia alquanto complesso richiedere il consenso al trattamento dei dati a un rapinatore che sta per entrare in banca armato di pistola e ritiene che trovi applicazione “l’istituto del bilanciamento di interessi previsto dall’art. 24, comma 1, lett. g), del Codice Privacy”.
La stessa Autorità, tuttavia, ha emesso, in tema di consenso un provvedimento di differente natura il 2 aprile del 2008: una società di consulenza e gestione dei rischi aveva effettuato un controllo sulla posta elettronica dell’amministratore delegato attraverso una nota società di investigazione tedesca, per valutare l’eventuale commissione di illeciti da parte di quest’ultimo.
Il Garante Privacy ha parzialmente accolto il ricorso dell’amministratore delegato, poiché il principio di correttezza avrebbe comportato l’obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e di chiedere un consenso espresso al lavoratore in relazione ad esso.
Più specificamente, il Garante Privacy oltre al rispetto dell’art. 4 dello Statuto dei lavoratori e del disciplinare tecnico previsto dalle linee guida in tema di posta elettronica e internet del 1 marzo 2007, ha sostenuto che, prima dell’acquisizione dell’hard disk del lavoratore, sarebbe stato necessario informarlo adeguatamente e ottenere un consenso espresso circa “le eventuali operazioni di trattamento che si sarebbero potute effettuare sulle informazioni contenute nell’hard disk stesso, diverse dalla mera conservazione per un eventuale successivo uso giudiziario”.
Viene spontaneo chiedersi come avrebbe potuto agire la società nel momento in cui tale consenso non fosse stato prestato, poiché l’hard disk conteneva sia le email utilizzabili per l’eventuale uso giudiziario che quelle contenenti eventuali dati personali e/o sensibili.
Forse per questa ragione, il Garante, da un lato ha disposto, ai sensi dell’art. 154, comma 1, lett. d), del Codice Privacy, il divieto dell’ulteriore trattamento dei dati personali riferiti all’interessato contenuti nella corrispondenza estratta dall’account della casella di posta elettronica all’epoca in dotazione al reclamante e dall’altro ha fatto salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all’art. 160, comma 6, Codice Privacy.
Da questi brevi esempi, emerge chiaramente come sul tema del controllo “a distanza” del lavoratore vi sia una notevole incertezza interpretativa: se da un lato, i Tribunali civili e penali italiani sono sembrati orientati verso l’ammissibilità del controllo a distanza, il Garante Privacy ha assunto un atteggiamento molto più intransigente e severo nei confronti di tale controllo.
In assenza di una chiara e univoca legislazione di settore, il datore di lavoratore rischia di trovarsi smarrito e di prendere decisioni organizzative e strategiche che siano troppo sbilanciate in un senso (privacy) o nell’altro (controllo).
Scrivi un commento
Accedi per poter inserire un commento