Newsletter 13 - 19 gennaio 2003

• La privacy violata causa danni risarcibili: la richiesta va fatta al giudice
• L´uso di Internet sul posto di lavoro: le linee-guida del Garante tedesco 

La privacy violata causa danni risarcibili: la richiesta va fatta al giudice

La richiesta di risarcimento del danno per violazione della privacy deve essere presentata dall’interessato direttamente all’autorità giudiziaria e non può essere avanzata tramite il Garante.

Lo ha precisato l’Autorità dichiarando inammissibile la pretesa di un ricorrente che chiedeva la trasmissione di copia degli atti all’autorità giudiziaria all’esito dell’accertamento contestando una violazione della privacy in Internet. L’interessato che aveva commissionato ad una società alcuni servizi per promuovere la propria immagine presso operatori del mondo dello spettacolo si è rivolto al Garante, contestando la violazione degli accordi contrattuali, chiedendo il blocco del trattamento e la cancellazione dei dati personali che lo riguardavano dal sito Internet e dagli archivi della società. Il ricorrente lamentava un’ indebita diffusione dei suoi dati consultabili liberamente da chiunque sul sito della società, in violazione degli accordi che prevedevano l’inserimento di alcuni dati personali in una banca dati della società, consultabile su Internet, tramite una password, solo da operatori del settore. I dati, inoltre, avevano continuato ad essere presenti sul sito e l’interessato aveva continuato a ricevere materiale promozionale nonostante avesse espresso il proprio dissenso al responsabile della società. Solo dopo l’intervento del Garante la società inviava una nota esplicativa e nel comunicare il nominativo del responsabile del trattamento affermava di aver cancellato il dati del ricorrente dai propri archivi e dalla scheda consultabile sul sito. La società riteneva legittimo il proprio operato sostenendo di aver raccolto il consenso informato del ricorrente al momento della sottoscrizione del contratto e di aver pubblicato su Internet solo il nome di battesimo, l’anno di nascita e la provincia di residenza, oltre alcuni dati somatici forniti dallo stesso.

Dati più specifici (cognome, data di nascita) sarebbero stati pubblicati in concomitanza di un successivo servizio fotografico. Il contestato invio di materiale pubblicitario rientrerebbe invece tra i servizi commissionati. Il ricorrente insoddisfatto ribadiva le proprie richieste.

L’Autorità preso atto delle dichiarazioni della società, di aver cancellato i dati dell’interessato, che comporta anche la immediata interruzione delle comunicazioni commerciali, ha dichiarato sul piano procedurale il non luogo a provvedere sul ricorso. Per quanto riguarda invece la parte relativa alla richiesta di "trasmissione degli atti" all’ autorità giudiziaria ordinaria per il risarcimento del danno l’autorità ha dichiarato l’inammissibilità, trattandosi di un diritto che l’interessato deve far valere in prima persona di fronte al giudice civile. La legge sulla privacy infatti, non ha introdotto innovazioni nella procedura civile. Analogo discorso va fatto per i ricorrenti che chiedono il risarcimento direttamente al Garante.

L´uso di Internet sul posto di lavoro: le linee-guida del Garante tedesco

L’Autorità federale tedesca per la protezione dei dati personali ha messo a punto un documento che offre, in relazione al particolare contesto tedesco, una serie di linee-guida per i datori di lavoro nel settore pubblico rispetto all’uso di Internet e posta elettronica da parte dei dipendenti. Al documento è allegato il testo di un accordo-modello che i datori di lavoro di quel paese potrebbero utilizzare per regolamentare contrattualmente tale uso e garantire un’adeguata informazione dei dipendenti (disponibile all’indirizzo www.bfd.bund.de/...).

Punto di partenza delle linee-guida, applicabili anche al settore privato, è il riconoscimento di un determinato interesse legittimo del datore di lavoro a verificare che l’eventuale divieto di utilizzazione privata degli strumenti informatici (quali Internet e posta elettronica) sia effettivamente rispettato, oppure che tale utilizzazione, ove consentita, avvenga nei limiti previsti e/o concordati. La specifica normativa tedesca in materia di telecomunicazioni e protezione dei dati è piuttosto dettagliata e complessa, per cui il Garante federale ha ritenuto di fornire indicazioni e chiarimenti sul corretto modo di operare.

Se al dipendente è permesso di accedere ad Internet ed alla posta elettronica solo per motivi di servizio, il datore di lavoro non rappresenta, ad avviso di quell’Autorità, un "provider" di servizi di telecomunicazione (ai sensi della normativa in materia); pertanto, il trattamento di dati personali del dipendente (attraverso la loro registrazione nei log files, ossia i file di connessione) può avvenire solo nel rispetto della legge federale di protezione dati. Ciò comporta un bilanciamento degli interessi fra le parti in causa, tenendo conto dell’effettiva necessità e della proporzionalità dei trattamenti di dati previsti. Bisogna anche avere riguardo al diritto all’autodeterminazione informativa, che rappresenta uno dei principi-cardine non solo in Germania, ma a livello europeo.

E’ chiaro, dunque, anche in quel Paese che una sorveglianza a tappeto dei dipendenti non è ammissibile alla luce delle norme di protezione dati; piuttosto, sarebbero possibili controlli regolari a campione dei log files, che non possono assolutamente essere utilizzati per fini diversi (ad esempio, per valutare le prestazioni o il rendimento dei dipendenti).

Se, viceversa, al dipendente è consentito l’utilizzo privato di Internet e posta elettronica, si applicherebbero le norme tedesche in materia di telecomunicazioni in quanto, a giudizio dell’Autorità, il datore di lavoro funge in questo caso da fornitore di servizi di telecomunicazione. In base a tali norme, il trattamento dei dati di connessione e di utilizzazione, come pure dei dati di natura contabile, è consentito esclusivamente se risulta necessario per la prestazione e la (eventuale) fatturazione dei servizi. Inoltre, si sottolinea chiaramente che, nei confronti del dipendente, il datore di lavoro è tenuto al rispetto del segreto delle (tele)comunicazioni: valgono le stesse regole applicabili per le telefonate private. Poiché, tuttavia, non si può pensare di separare tecnicamente i dati di connessione riferiti all’uso per scopi di servizio da quelli relativi all’uso privato, né rappresenta una soluzione la previsione di due user account distinti - che richiede, fra l’altro, un impegno aggiuntivo da parte dell’amministratore di sistema - , la direttiva elaborata dall’Autorità tedesca prevede che, in questo caso, i dati personali generati dall’utilizzo privato degli strumenti informatici messi a disposizione del dipendente dovrebbero essere inclusi fra quelli sottoposti al controllo previsto per l’uso a scopi di servizio (controlli periodici, a campione, a intervalli temporali ravvicinati). Le relative modalità di gestione devono essere dettagliate in modo chiaro attraverso un accordo con il personale (del quale il documento fornisce, appunto, un modello), che dovrà essere portato a conoscenza di tutti i dipendenti.

Vale la pena sottolineare che, a giudizio dell’Autorità tedesca, tale accordo farebbe venire meno la necessità di un consenso individuale del dipendente al trattamento dei dati personali generati dall’uso di Internet o e-mail per scopi privati: il fatto stesso che il dipendente acceda ad Internet per scopi privati, essendo a conoscenza delle regole stabilite dall’accordo, costituisce una forma di accettazione "per comportamento concludente". Ovviamente, ciò presupporrebbe un’adeguata e dettagliata informativa da parte del datore di lavoro sulle condizioni di utilizzo e sui controlli previsti.

Fra le indicazioni concretamente riferite a singoli aspetti, contenute anche nel "modello di accordo" sopra ricordato, citiamo in particolare le seguenti:

• E-mail: a) le e-mail in arrivo ed in partenza dalle postazioni dei dipendenti per scopi di servizio potrebbero essere visionate dal datore di lavoro integralmente, esattamente come ogni altra forma di corrispondenza relativa all’attività di lavoro; b) per motivi di sicurezza, si potrebbe prevedere l’eliminazione dai messaggi di posta elettronica di allegati che presentino estensioni pericolose o sospette di tipo eseguibile (.exe, .bat, .com); c) le e-mail private sono da considerare alla stregua di corrispondenza ordinaria. Il datore di lavoro potrebbe prevedere indirizzi di e-mail distinti ai fini dell’invio e della ricezione di messaggi privati da parte del dipendente, oppure indicare ai dipendenti l’opportunità di rivolgersi a servizi di web mail gratuiti.
• Internet: a) i dati di connessione dovrebbero comprendere data e ora della connessione, indirizzo IP di mittente e destinatario e volume complessivo dei dati trasmessi; b) i dati di connessione dovrebbero essere utilizzati esclusivamente per la ricerca di eventuali errori, per garantire la sicurezza del sistema, per analisi di tipo statistico e per verificare eventuali abusi; c) potrebbero essere condotti controlli a campione, anche giornalieri, sui siti web visitati, purché essi non si riferiscano ai singoli utenti; d) l’accesso ai dati di connessione dovrebbe essere limitato agli amministratori di sistema, i quali sono tenuti al rispetto delle norme in materia di protezione dati; e) dovrebbe essere prevista la cancellazione automatica dei dati di connessione dopo una settimana.