Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing' ![Crea PDF]( "Crea PDF")
![Banca dati, normativa sulla sicurezza]()
E-mail, internet e...controllo
Nell’ultima newsletter settimanale del Garante per la privacy è stato presentato un documento realizzato dall’Autorità federale tedesca per la protezione dei dati personali contenente una serie di linee-guida per i datori di lavoro nel settore pubblico rispetto all’uso di Internet e posta elettronica da parte dei dipendenti.
Il documento è riferito al contesto legislativo tedesco, in particolare alla complessa normativa in materia di telecomunicazioni e protezione dei dati, tuttavia considerata l’importanza e l’attualità del tema trattato, si possono trarre interessanti spunti.
Di seguito presentiamo alcuni punti chiave del documento.
Punto di partenza delle linee-guida, applicabili anche al settore privato, è il riconoscimento di un determinato interesse legittimo del datore di lavoro a verificare che l’eventuale divieto di utilizzazione privata degli strumenti informatici (quali Internet e posta elettronica) sia effettivamente rispettato, oppure che tale utilizzazione, ove consentita, avvenga nei limiti previsti e/o concordati.
Se al dipendente è permesso di accedere ad Internet ed alla posta elettronica solo per motivi di servizio, il datore di lavoro non rappresenta, ad avviso di quell’Autorità, un "provider" di servizi di telecomunicazione (ai sensi della normativa in materia); pertanto, il trattamento di dati personali del dipendente (attraverso la loro registrazione nei log files, ossia i file di connessione) può avvenire solo nel rispetto della legge federale di protezione dati.
Deve essere tenuto conto dell’effettiva necessità e della proporzionalità dei trattamenti di dati previsti. Bisogna anche avere riguardo al diritto all’autodeterminazione informativa, che rappresenta uno dei principi-cardine non solo in Germania, ma a livello europeo.
In questo contesto non è consentita, quindi, una sorveglianza a tappeto dei dipendenti , ma sono possibili controlli regolari a campione dei log files.
Tuttavia questi file non possono assolutamente essere utilizzati per fini diversi (ad esempio, per valutare le prestazioni o il rendimento dei dipendenti).
Diverso il discorso se al dipendente è consentito l’utilizzo privato di Internet e posta elettronica. In questo caso si applicano le norme tedesche in materia di telecomunicazioni in quanto, a giudizio dell’Autorità, il datore di lavoro funge in questo caso da fornitore di servizi di telecomunicazione.
In base a tali norme, il trattamento dei dati di connessione e di utilizzazione, come pure dei dati di natura contabile, è consentito esclusivamente se risulta necessario per la prestazione e la (eventuale) fatturazione dei servizi.
Il datore di lavoro è tenuto, nei confronti del dipendente, al rispetto del segreto delle (tele)comunicazioni.
Considerati la difficoltà di separare tecnicamente i dati di connessione riferiti all’uso per scopi di servizio da quelli relativi all’uso privato, e l’impegno aggiuntivo che comporterebbe per l’amministratore di sistema la previsione di due user account distinti, il Garante tedesco prevede che, in questo caso, i dati personali generati dall’utilizzo privato degli strumenti informatici messi a disposizione del dipendente dovrebbero essere inclusi fra quelli sottoposti al controllo previsto per l’uso a scopi di servizio (controlli periodici, a campione, a intervalli temporali ravvicinati).
Le modalità di gestione dei controlli devono essere dettagliate in modo chiaro attraverso un accordo con il personale, che dovrà essere portato a conoscenza di tutti i dipendenti, per regolamentare contrattualmente tale uso e garantire un’adeguata informazione dei dipendenti.
A giudizio dell’Autorità tedesca, tale accordo farebbe venire meno la necessità di un consenso individuale del dipendente al trattamento dei dati personali generati dall’uso di Internet o e-mail per scopi privati: il fatto stesso che il dipendente acceda ad Internet per scopi privati, essendo a conoscenza delle regole stabilite dall’accordo, costituisce una forma di accettazione "per comportamento concludente".
Ovviamente, ciò presupporrebbe un’adeguata e dettagliata informativa da parte del datore di lavoro sulle condizioni di utilizzo e sui controlli previsti.
Allegato alle linee guida, il Garante ha inoltre presentato un accordo-modello per regolamentare l’uso di internet e della posta elettronica e dei relativi controlli.
Di seguito ne riportiamo alcuni punti:
E-mail:
a) le e-mail in arrivo ed in partenza dalle postazioni dei dipendenti per scopi di servizio potrebbero essere visionate dal datore di lavoro integralmente, esattamente come ogni altra forma di corrispondenza relativa all’attività di lavoro;
b) per motivi di sicurezza, si potrebbe prevedere l’eliminazione dai messaggi di posta elettronica di allegati che presentino estensioni pericolose o sospette di tipo eseguibile (.exe, .bat, .com);
c) le e-mail private sono da considerare alla stregua di corrispondenza ordinaria. Il datore di lavoro potrebbe prevedere indirizzi di e-mail distinti ai fini dell’invio e della ricezione di messaggi privati da parte del dipendente, oppure indicare ai dipendenti l’opportunità di rivolgersi a servizi di web mail gratuiti.
Internet:
a) i dati di connessione dovrebbero comprendere data e ora della connessione, indirizzo IP di mittente e destinatario e volume complessivo dei dati trasmessi;
b) i dati di connessione dovrebbero essere utilizzati esclusivamente per la ricerca di eventuali errori, per garantire la sicurezza del sistema, per analisi di tipo statistico e per verificare eventuali abusi;
c) potrebbero essere condotti controlli a campione, anche giornalieri, sui siti web visitati, purché essi non si riferiscano ai singoli utenti;
d) l’accesso ai dati di connessione dovrebbe essere limitato agli amministratori di sistema, i quali sono tenuti al rispetto delle norme in materia di protezione dati;
e) dovrebbe essere prevista la cancellazione automatica dei dati di connessione dopo una settimana.
Il testo completo della newsletter del Garante italiano per la privacy, dal quale abbiamo tratto questo articolo, può essere consultata sul sito dell’Autorità.
Il documento è riferito al contesto legislativo tedesco, in particolare alla complessa normativa in materia di telecomunicazioni e protezione dei dati, tuttavia considerata l’importanza e l’attualità del tema trattato, si possono trarre interessanti spunti.
Di seguito presentiamo alcuni punti chiave del documento.
Punto di partenza delle linee-guida, applicabili anche al settore privato, è il riconoscimento di un determinato interesse legittimo del datore di lavoro a verificare che l’eventuale divieto di utilizzazione privata degli strumenti informatici (quali Internet e posta elettronica) sia effettivamente rispettato, oppure che tale utilizzazione, ove consentita, avvenga nei limiti previsti e/o concordati.
Se al dipendente è permesso di accedere ad Internet ed alla posta elettronica solo per motivi di servizio, il datore di lavoro non rappresenta, ad avviso di quell’Autorità, un "provider" di servizi di telecomunicazione (ai sensi della normativa in materia); pertanto, il trattamento di dati personali del dipendente (attraverso la loro registrazione nei log files, ossia i file di connessione) può avvenire solo nel rispetto della legge federale di protezione dati.
Deve essere tenuto conto dell’effettiva necessità e della proporzionalità dei trattamenti di dati previsti. Bisogna anche avere riguardo al diritto all’autodeterminazione informativa, che rappresenta uno dei principi-cardine non solo in Germania, ma a livello europeo.
In questo contesto non è consentita, quindi, una sorveglianza a tappeto dei dipendenti , ma sono possibili controlli regolari a campione dei log files.
Tuttavia questi file non possono assolutamente essere utilizzati per fini diversi (ad esempio, per valutare le prestazioni o il rendimento dei dipendenti).
Diverso il discorso se al dipendente è consentito l’utilizzo privato di Internet e posta elettronica. In questo caso si applicano le norme tedesche in materia di telecomunicazioni in quanto, a giudizio dell’Autorità, il datore di lavoro funge in questo caso da fornitore di servizi di telecomunicazione.
In base a tali norme, il trattamento dei dati di connessione e di utilizzazione, come pure dei dati di natura contabile, è consentito esclusivamente se risulta necessario per la prestazione e la (eventuale) fatturazione dei servizi.
Il datore di lavoro è tenuto, nei confronti del dipendente, al rispetto del segreto delle (tele)comunicazioni.
Considerati la difficoltà di separare tecnicamente i dati di connessione riferiti all’uso per scopi di servizio da quelli relativi all’uso privato, e l’impegno aggiuntivo che comporterebbe per l’amministratore di sistema la previsione di due user account distinti, il Garante tedesco prevede che, in questo caso, i dati personali generati dall’utilizzo privato degli strumenti informatici messi a disposizione del dipendente dovrebbero essere inclusi fra quelli sottoposti al controllo previsto per l’uso a scopi di servizio (controlli periodici, a campione, a intervalli temporali ravvicinati).
Le modalità di gestione dei controlli devono essere dettagliate in modo chiaro attraverso un accordo con il personale, che dovrà essere portato a conoscenza di tutti i dipendenti, per regolamentare contrattualmente tale uso e garantire un’adeguata informazione dei dipendenti.
A giudizio dell’Autorità tedesca, tale accordo farebbe venire meno la necessità di un consenso individuale del dipendente al trattamento dei dati personali generati dall’uso di Internet o e-mail per scopi privati: il fatto stesso che il dipendente acceda ad Internet per scopi privati, essendo a conoscenza delle regole stabilite dall’accordo, costituisce una forma di accettazione "per comportamento concludente".
Ovviamente, ciò presupporrebbe un’adeguata e dettagliata informativa da parte del datore di lavoro sulle condizioni di utilizzo e sui controlli previsti.
Allegato alle linee guida, il Garante ha inoltre presentato un accordo-modello per regolamentare l’uso di internet e della posta elettronica e dei relativi controlli.
Di seguito ne riportiamo alcuni punti:
E-mail:
a) le e-mail in arrivo ed in partenza dalle postazioni dei dipendenti per scopi di servizio potrebbero essere visionate dal datore di lavoro integralmente, esattamente come ogni altra forma di corrispondenza relativa all’attività di lavoro;
b) per motivi di sicurezza, si potrebbe prevedere l’eliminazione dai messaggi di posta elettronica di allegati che presentino estensioni pericolose o sospette di tipo eseguibile (.exe, .bat, .com);
c) le e-mail private sono da considerare alla stregua di corrispondenza ordinaria. Il datore di lavoro potrebbe prevedere indirizzi di e-mail distinti ai fini dell’invio e della ricezione di messaggi privati da parte del dipendente, oppure indicare ai dipendenti l’opportunità di rivolgersi a servizi di web mail gratuiti.
Internet:
a) i dati di connessione dovrebbero comprendere data e ora della connessione, indirizzo IP di mittente e destinatario e volume complessivo dei dati trasmessi;
b) i dati di connessione dovrebbero essere utilizzati esclusivamente per la ricerca di eventuali errori, per garantire la sicurezza del sistema, per analisi di tipo statistico e per verificare eventuali abusi;
c) potrebbero essere condotti controlli a campione, anche giornalieri, sui siti web visitati, purché essi non si riferiscano ai singoli utenti;
d) l’accesso ai dati di connessione dovrebbe essere limitato agli amministratori di sistema, i quali sono tenuti al rispetto delle norme in materia di protezione dati;
e) dovrebbe essere prevista la cancellazione automatica dei dati di connessione dopo una settimana.
Il testo completo della newsletter del Garante italiano per la privacy, dal quale abbiamo tratto questo articolo, può essere consultata sul sito dell’Autorità.
Pubblica un commento
Ad oggi, nessun commento è ancora stato inserito.Banca Dati di PuntoSicuro
