Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter 17 - 23 settembre 2001

Newsletter 17 - 23 settembre 2001

 

  • Dai Garanti d'Europa le tutele per la privacy dei lavoratori
  • Sicurezza e tutela della privacy. La posizione dell'Autorità
  • Germania. Poca chiarezza nella gestione dei dati su Internet

 

Dai Garanti d'Europa le tutele per la privacy dei lavoratori

I Garanti europei si sono pronunciati sulle modalità con cui i datori di lavoro pubblici e privati possono raccogliere e utilizzare i dati dei lavoratori, per le varie finalità connesse al rapporto di lavoro e per eventuali controlli.

Si tratta, dunque, di un indirizzo generale in attesa dell'adozione di una specifica raccomandazione su aspetti specifici (e-mail, accessi ad Internet, videosorveglianza) e potrà essere usato dalla Commissione per il varo di un eventuale documento definitivo in materia di trattamento dei dati personali sul posto di lavoro.

Il parere, adottato il 13 settembre scorso, intende dare un contributo alla uniforme applicazione nei Paesi dell'UE, di misure a tutela della privacy dei lavoratori, in linea con la Direttiva 95/46 sulla riservatezza dei dati personali. Il trattamento dei dati personali nel rapporto di lavoro è, infatti, tema di dibattito sia nell'Unione sia a livello nazionale. I Governi e le Autorità Garanti degli Stati membri hanno emanato o sono in procinto di emanare normative, codici o raccomandazioni relative a diversi aspetti connessi al rapporto di lavoro e la stessa Commissione europea, nel quadro dell'azione sulla politica sociale, ha avviato una consultazione con le parti sociali sulla protezione dei dati in questo contesto.

Qualsiasi raccolta, uso o conservazione di informazioni sui lavoratori attraverso sistemi manuali ed elettronici - si afferma nel documento - rientra nell'ambito della legislazione sulla protezione dei dati, anche in relazione ai contratti anteriori all'assunzione dei lavoratori. E questo è anche il caso del monitoraggio delle e-mail dei lavoratori o degli accessi ad Internet da parte dei dipendenti. Il monitoraggio delle e-mail implica, infatti, necessariamente il trattamento di dati personali.

In proposito, il documento fissa alcuni primi principi riguardo al monitoraggio delle e-mail e degli accessi ad Internet, ma anche alla videosorveglianza e alla localizzazione sul posto di lavoro, in attesa di una vera e propria risoluzione europea in materia, che verrà adottata a breve.

Il documento afferma, poi, che anche la videosorveglianza ed il trattamento di suoni e immagini ricadono sotto la disciplina della protezione dei dati personali e sono regolati dalle norme della Direttiva europea sulla riservatezza. I lavoratori devono essere quindi resi consapevoli che molte delle attività svolte nell'ambito del rapporto di lavoro implicano il trattamento dei dati personali, i quali, in taluni casi, sono di carattere sensibile.

I Garanti europei hanno, dunque, individuato i principi che devono guidare il trattamento dei dati personali dei dipendenti da parte dei datori di lavoro, per le diverse finalità retributive, previdenziali, assistenziali, fiscali, di sicurezza del lavoro, sindacali ecc.

I dati devono essere innanzitutto raccolti per scopi specifici, espliciti e legittimi e non utilizzati in modo illecito.

Al lavoratore deve essere garantita la massima trasparenza sulla raccolta e sull'uso dei propri dati da parte del datore di lavoro.

I dati raccolti ed usati dal datore di lavoro devono essere quelli strettamente indispensabili.

I dati raccolti nelle banche dati devono essere esatti ed aggiornati e deve essere garantito al lavoratore il diritto di rettifica ed integrazione delle informazioni. Così come va garantita la sicurezza dei dati da parte del datore di lavoro, che deve adottare misure tecnologiche ed organizzative a protezione dei dati, in particolare riguardo ad accessi illeciti.

Il personale che utilizza i dati ha l'obbligo di segretezza ed è responsabile della riservatezza delle informazioni.

Il trasferimento di dati dei lavoratori all'esterno della UE è possibile se il Paese di destinazione assicura un adeguato livello di protezione. I datori di lavoro devono verificare tale livello di protezione e subordinare lo strumento del consenso fornito dal lavoratore (in base al quale è possibile il trasferimento dei dati) solo in via subordinata a tale verifica.

Quanto alle prime indicazioni fornite in tema di controlli sul posto di lavoro, i lavoratori devono essere informati sulla possibilità che vengano effettuati controlli.

Qualsiasi controllo deve essere proporzionato e deve tener conto della legittima privacy e di altri interessi dei lavoratori.

Ogni informazione raccolta, usata o conservata nel corso del controllo deve essere giustificata e non eccedente gli scopi per i quali il monitoraggio viene effettuato. Ogni eventuale monitoraggio deve, se lecito, essere svolto nel modo meno invasivo possibile. Per quanto riguarda l'effettuazione di monitoraggi occorre tener conto delle regole sulla protezione dei dati e, laddove applicabile, del principio della segretezza della corrispondenza.

 

Sicurezza e tutela della privacy. La posizione dell'Autorita'

"La privacy non è nemica della sicurezza. Anzi può essere uno strumento di tutela per rendere meno facile il lavoro di chi vuole organizzare azioni terroristiche"

E' quanto ha dichiarato all'Adnkronos - il Presidente dell'Autorità Garante, Stefano Rodotà, il quale, dopo l'attacco agli Usa, invita a mettere da parte l'equazione "meno privacy, più sicurezza". Un'equazione che non trova riscontro "né nella legge né nel comportamento dell'Autorità Garante".

"L'autentica privacy - ha ricordato Rodotà - è anche un diritto fondamentale delle persone. La democrazia deve essere fermissima, è un regime all'interno del quale i diritti fondamentali devono essere tutelati. E i diritti fondamentali possono essere in equilibrio con le esigenze di sicurezza. Tanto più che la legge sulla privacy non prevede un'impermeabilità dei dati quando sono in ballo indagini di polizia o attività dei servizi di sicurezza".

Le esigenze di lotta al terrorismo - ha sottolineato Rodotà - richiedono ancora maggiori garanzie. Se si fa scendere il grado di tutela della privacy "potremmo creare condizioni più favorevoli all'azione dei terroristi". Un esempio è dato dalla grande facilità con cui si accede alle liste dei passeggeri sugli aerei. E possono essere violate le grandi banche dati di traffico telefonico gestite da privati. Quelle che servono - avverte Rodotà - sono quindi "raccolte di dati mirate", professionalità di intelligence "adeguate", non schedature di massa. Lo dimostrano i risultati di Echelon che "in questo caso si è rivelato di nessun aiuto". Mettendo in guardia dagli eccessi di ottimismo tecnologico, Rodotà afferma che l'attacco "ha dimostrato che l'uso delle tecnologie non può andare a scapito delle professionalità specifiche, non vanno sottovalutati gli strumenti tradizionali di intelligence".

Quanto è accaduto negli Usa comporta molti problemi e la situazione - ammette il Presidente dell'Autorità - è "sicuramente molto complessa". Ma ciò che va evitato è "rimanere prigionieri dell'irrazionalità". "Se si individuano ragioni effettive di tutela della privacy ed altrettanto effettive esigenze di sicurezza è possibile trovare punti di equilibrio. Ma non si può fare la guerra alla privacy indicandola come ostacolo".

"L'opinione espressa da alcuni che, dopo l'attacco terroristico negli Usa, la tutela della privacy possa essere di ostacolo a quella della sicurezza è comprensibile ma non ha fondamento nella legge vigente". Lo ha dichiarato Giuseppe Santaniello all'Ansa-Bloomberg. Il Vicepresidente dell'Autorità Garante ha innanzitutto ricordato che la legge italiana sulla protezione dei dati personali ha provveduto "a bilanciare i due valori della riservatezza e della sicurezza" e la stessa raccomandazione del Parlamento europeo del 6 settembre, che traccia le linee guida per la lotta ai crimini contro la sicurezza interna ed esterna degli Stati, afferma che anche in presenza di tali attività criminose, il diritto alla protezione dei dati personali va garantito, "per cui ogni eccezione ai principi della riservatezza richiede una base giuridica". "La tutela della riservatezza - ha avvertito Santaniello - non deve esser vista in contrapposizione con le misure di sicurezza né può essere considerata un ostacolo per queste ultime". Quali che possano essere le determinazioni del Parlamento e del Governo italiano nella materia considerata, è necessario precisare - ha affermato Santaniello - che "la privacy è una categoria amplissima che comprende una pluralità sterminata di settori, ognuno dei quali ha in effetti una specifica disciplina. Le regole della riservatezza si differenziano, ad esempio, a seconda che si tratti di attività giornalistica e di informazione, o di dati sanitari, o di rapporti di lavoro, o dei settori bancari, finanziari, assicurativi, o della ricerca scientifica, o dei dati genetici. La maggior parte dei settori di privacy, dunque, è "per loro essenza completamente al di fuori del dilemma ‘privacy o sicurezza '. Quest'ultimo valore, in realtà, riguarda soprattutto, come emerge dai recenti interventi del Senato americano, quello delle comunicazioni on line o anche la corrispondenza epistolare. Solo per una limitata fascia della privacy si pone quindi la questione di introdurre misure di emergenza parzialmente modificative della tutela attuale della privacy".

"Il principio di responsabilità nella comunicazione unito a quello della autenticità, è inderogabile comunque, anche al di là del possibile uso criminale". E' quanto ha dichiarato Gaetano Rasi, componente dell'Autorità Garante, intervistato dal "Secolo d'Italia" sulla questione del possibile conflitto, dopo l'attacco terroristico negli Usa, tra le esigenze di sicurezza della società e le garanzie di riservatezza dell'individuo.

L'Autorità Garante - ha ricordato Rasi - proprio nella relazione annuale presentata lo scorso luglio alla presenza del Capo dello Stato ha infatti sottolineato coma sia cresciuto il già enorme numero di messaggi indifferenziati che arrivano agli utenti della rete. "Ciò renderà necessario quanto prima operare selezioni e individuazioni, pena l'inutilizzabilità del sistema stesso per usi leciti, e invece la sua alta efficienza per fini illeciti, tramite messaggi criptati."

Riguardo ai possibili effetti che gli attentati negli Usa potrebbero determinare sui diritti di privacy, il componente dell'Autorità ha affermato che "il Garante italiano ha ben presente questa problematica, e tra la tutela dell'autentica riservatezza e l'autentica prevenzione ai fini di sicurezza non vi deve essere alcun conflitto, malgrado possibili perplessità". Rasi ha ricordato a questo proposito come già in agosto il Garante "ha chiesto al Capo della polizia precisazioni su quanto ha dichiarato in Parlamento e cioè che alcune polizie europee si sono trincerate dietro le norme sulla tutela dei dati personali per non trasmettere alla polizia italiana notizie relative all'ingresso in Italia di elementi sospetti per partecipare alle manifestazioni anti G-8". Secondo Rasi "appare chiaro che il Garante si opporrà energicamente a che un malinteso diritto alla tutela della riservatezza costituisca un pretesto per la non collaborazione internazionale nel settore delle misure cautelari per la sicurezza".

 

Germania. Poca chiarezza nella gestione dei dati su Internet
(da un articolo di Astrid Pfeiffer su Die Welt del 3 settembre 2001)

La nuova legge federale sulla protezione dei dati (Bundesdatenschutzgesetz) è in vigore ormai da quasi quattro mesi in Germania, essendo stata promulgata dal Bundestag il 23 maggio 2001. La legge recepisce la direttiva europea sulla protezione dei dati personali (95/46/CE), ma a giudizio di molti non offre garanzie sufficienti rispetto ad alcuni rischi che corrono i consumatori nei rapporti con le imprese.

Occorre sottolineare che la nuova legge sostituisce quella precedentemente in vigore (dal 1991) ed ha esteso l'ambito di applicazione della normativa sulla protezione dei dati anche ai soggetti economici privati, che oggi sono sottoposti al controllo dell'autorità federale per la protezione dei dati. La legge ha inoltre rafforzato i poteri di quest'ultima, inasprito le sanzioni pecuniarie e previsto la possibilità per l'autorità di controllo di effettuare accertamenti e ispezioni anche in assenza di segnalazioni da parte degli utenti. E' troppo presto, secondo Helga Schumacher, la portavoce dell'autorità di controllo federale, per verificare gli effetti reali della nuova normativa. Tuttavia, due sono i problemi principali che, a giudizio di esperti e giuristi, suscitano le maggiori preoccupazioni.

Si tratta, da un lato, della possibilità che ditte in fallimento decidano di vendere le proprie banche dati al migliore offerente per ricavare ulteriori liquidità. E' un rischio reale, che negli USA è stato oggetto di sanzioni comminate dalla FTC nei confronti di società (come Toysmart o Craftshop) che svolgevano attività di commercio elettronico e, a seguito del fallimento, avevano successivamente deciso di rivendere i dati della clientela. In questo caso l'approccio che l'autorità federale intende seguire consiste nel sensibilizzare le imprese sulla nuova normativa, segnalando la necessità di informare con chiarezza il cliente sulla natura del rapporto contrattuale che verrà ad instaurarsi. E' dunque necessario che le imprese informino la clientela e ne abbiano il consenso prima di comunicare ad altri i dati che la riguardano. "Dal nostro punto di vista, non è ammissibile il libero commercio dei dati della clientela. L'obbligo di rispettare diritto e legge vale anche per l'amministratore fallimentare."

Il secondo punto dolente è rappresentato dai flussi di dati transfrontalieri, ossia dalla comunicazione di dati personali al di fuori dei confini dell'Unione europea. La legge (modellata sulla direttiva) vieta alla filiale tedesca di una società americana di comunicare dati di clienti tedeschi alla società madre negli USA, o ad un altro soggetto in uno Stato terzo, "in assenza di un livello adeguato di protezione dei dati". In questo caso le imprese possono aggirare l'ostacolo ricorrendo, ad esempio, a clausole contrattuali che vincolino il partner straniero al rispetto della normativa nazionale, e ottenendo il benestare dell'autorità federale di controllo rispetto a tali clausole. L'accordo di Safe Harbor raggiunto fra UE ed USA costituisce per l'appunto un modo di garantire che il trasferimento avvenga verso un "porto sicuro", ossia verso un soggetto che si è volontariamente impegnato a rispettare i criteri di protezione dati fissati dalla direttiva europea (e dalle leggi nazionali). Tuttavia, anche in Germania si sottolinea come tale accordo rappresenti "una tigre senza zanne", giacché il rispetto delle sue clausole è frutto di una scelta volontaria delle imprese USA.