Il tema della sorveglianza sul luogo di lavoro è stato affrontato più volte dai garanti europei. Oltre alle iniziative nazionali, in particolare il progetto di codice di condotta messo a punto dall’Autorità inglese (http://www.dataprotection.gov.uk/dpr/dpdoc.nsf , voce "Codes of Practice") ed uno studio dell’autorità olandese su Internet e attività lavorative (http://www.registratiekamer.nl/bis/top-1-1-1-3-1-4.html , per la sintesi in inglese), il Gruppo dei garanti europei ha approvato un parere (8/2001) sul trattamento dei dati nel rapporto di lavoro (http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp48it_sum.pdf, per la sintesi in italiano) e, più in generale, una raccomandazione (2/2001) sulla raccolta dei dati online (http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp43it.pdf).

Il rapporto pubblicato dalla CNIL si basa, a sua volta, sui risultati di uno studio e di un dibattito pubblico conclusosi in Francia nel marzo 2001 in cui erano state esaminate alcune questioni fondamentali attinenti all’uso della telematica e dell’informatica nel rapporto di lavoro. Il rapporto della CNIL è un contributo importante, anche in vista della prossima emanazione da parte del Gruppo dei garanti europei di una raccomandazione concernente in modo specifico questo tema.

La CNIL parte dalla constatazione che i principi stabiliti dalla Legge francese sulla protezione dei dati (la "Loi informatique et libertés", che risale al 1978) sono stati recepiti nel codice del lavoro attraverso alcune disposizioni introdotte nel 1992 che sanciscono, in particolare: a) il rispetto del principio di proporzionalità , in base al quale le limitazioni della libertà e dei diritti individuali devono essere proporzionate allo scopo perseguito; b) l’obbligo di consultare le rappresentanze sindacali o gli organi paritetici di impresa prima di introdurre nuove tecnologie; c) l’obbligo di informare preventivamente i lavoratori dell’esistenza di dispositivi per la raccolta di dati personali.

Tuttavia, lo sviluppo delle tecnologie informatiche nell’ultimo decennio, ed il ricorso crescente ad Internet e a strumenti telematici nello svolgimento di attività lavorative, hanno fatto sì che il tema della sorveglianza non riguardi più soltanto la presenza o localizzazione fisica del lavoratore. Si tratti dell’uso della posta elettronica per comunicare con colleghi o altre imprese, oppure della condivisione di file o cartelle di lavoro, oppure delle misure di sicurezza che l’impresa o il datore di lavoro devono adottare per garantire il segreto industriale o la tutela di informazioni sensibili, la questione della sorveglianza ha assunto chiaramente dimensioni molto più ampie.

In questo contesto, la CNIL sottolinea che, da un lato, le risposte elaborate dal mondo imprenditoriale per fare fronte ai rischi possibili non sempre sono rispettose delle norme. Ad esempio, il ricorso sempre più frequente a "schede informative" distribuite ai dipendenti per chiarire diritti e doveri in tema di trattamento dei dati si risolve talora in un cumulo di divieti che in realtà sono inesistenti in termini di legge (ad esempio, il divieto assoluto di utilizzare la posta elettronica o Internet, o altre prescrizioni emanate senza consultare gli organismi paritetici sopra menzionati); in altri casi le imprese fanno firmare ai dipendenti, al momento dell’assunzione, impegnative scritte con le quali essi rinunciano in pratica ad ogni diritto di controllare la gestione dei propri dati — secondo un modello di matrice americana. D’altro canto, le risposte elaborate dalla giurisprudenza sulla base di ricorsi e contestazioni mosse da singoli lavoratori indicano un approccio nettamente distinto: una sentenza recente della Corte di Cassazione francese (2 ottobre 2001) ha ricordato in particolare che "il dipendente, anche durante l’orario di lavoro e sul luogo di lavoro, ha il diritto al rispetto della sua vita privata... il che implica, in particolare, la segretezza della corrispondenza. Il datore di lavoro non può dunque... accedere a messaggi personali inviati dal dipendente o da questi ricevuti attraverso strumenti informatici messi a disposizione del dipendente per svolgere l’attività lavorativa, anche qualora il datore di lavoro abbia preventivamente vietato l’utilizzazione del computer per fini non professionali".

Naturalmente, come sottolinea la CNIL, ciò non significa che sia vietata ogni forma di sorveglianza o l’utilizzazione di strumenti di sorveglianza. Il problema è che il trattamento per fini non "tecnici" dei dati raccolti attraverso strumenti di sorveglianza deve essere proporzionato alle finalità perseguite.

Nell’intento di fornire indicazioni pratiche, il rapporto passa quindi a sfatare due luoghi comuni molto frequenti in questo contesto, ossia: a) che il pc messo a disposizione del dipendente sia tutelato dalle norme sulla riservatezza, in quanto "privato", mentre invece resta, ovviamente, proprietà dell’impresa o dell’amministrazione, e l’uso di password e login serve a prevenire accessi non autorizzati più che a farne un oggetto "personale" del dipendente; b) che sia sufficiente, per l’impresa, informare preventivamente i dipendenti dell’uso di strumenti di sorveglianza. In realtà, l’informazione è necessaria, ma non sufficiente: il codice del lavoro (come del resto in Italia) e la giurisprudenza sanciscono l’obbligo per l’impresa di rispettare anche altre condizioni.

Quali indicazioni pratiche scaturiscono allora dal rapporto?

a) Il divieto assoluto di utilizzare Internet per fini non professionali è irrealistico nella società dell’informazione in cui ormai viviamo. L’uso deve essere ragionevole, tale da non mettere a rischio la sicurezza dell’impresa o dell’amministrazione né da compromettere la produttività. Imprese e amministrazioni possono, naturalmente, installare dispositivi atti, ad esempio, a filtrare l’accesso a siti non autorizzati (pornografici, ad esempio) oppure prevedere, per esigenze di sicurezza, il divieto di scaricare programmi informatici, di collegarsi a forum di discussione o chat. Se l’impresa o l’amministrazione registra i dati di connessione (durata e siti visitati), occorre prevedere (oltre alla notificazione del trattamento all’autorità garante) una durata di conservazione dei dati che la CNIL ritiene ragionevole fissare in sei mesi;

b) il divieto assoluto di utilizzare la posta elettronica, anche in base alla sentenza sopra citata, non è egualmente ammissibile. Il criterio della ragionevolezza e dell’uso socialmente accettabile appare offrire utili indicazioni. Anche in questo caso, l’eventuale utilizzo da parte dell’impresa o dell’amministrazione di dispositivi di controllo individuale comporta la necessità di notificare il trattamento e di conservare i dati per un periodo non eccessivo — oltre all’esigenza di consultare i rappresentanti del personale e gli organi paritetici sopra menzionati;

c) gli archivi delle connessioni (i cosiddetti file di log), che registrano tutte le connessioni o i tentativi di connessione ad un sistema informatico, hanno finalità eminentemente di sicurezza e non di controllo del lavoratore. Il lavoratore deve comunque essere informato dell’esistenza di questo tipo di archivi e della durata di conservazione dei dati, conservazione che la CNIL ritiene ragionevole fissare, ancora una volta, in sei mesi.

d) se le dimensioni dell’impresa o dell’amministrazione lo consentono, anche in base alla struttura organizzativa, è opportuno nominare, in cooperazione con le rappresentanze del personale, una figura che la CNIL chiama il "Delegato alla protezione dei dati ed all’utilizzo delle nuove tecnologie nell’impresa". Sarà la persona incaricata di seguire la gestione dei dati personali in termini di sicurezza, diritto di accesso e tutela, e il punto di riferimento nell’azienda o nell’amministrazione per tutto ciò che riguarda la protezione della vita privata del lavoratore.

Il rapporto della CNIL offre numerosi spunti di riflessione, anche alla luce della normativa italiana in materia di lavoro (legge 300/1970) e delle norme che regolano la sicurezza dei dati personali (d.P.R. 318/1999). Daremo conto su questa Newsletter degli sviluppi in materia nelle prossime settimane, in particolare per quanto riguarda la posizione assunta dalle autorità garanti europee.

Il rapporto della CNIL è disponibile all’indirizzo:
http://www.cnil.fr/thematic/docs/entrep/cybersurveillance2.pdf