Per quanto attiene alla PA il Garante ha stabilito che «un soggetto pubblico può effettuare attività di videosorveglianza solo ed esclusivamente per svolgere funzioni istituzionali che deve individuare ed esplicitare con esattezza e di cui sia realmente titolare in base all’ordinamento di riferimento (art. 18, comma 2, del Codice). Diversamente, il trattamento
dei dati non è lecito, anche se l’ente designa esponenti delle forze dell’ordine in qualità di responsabili del trattamento,
oppure utilizza un collegamento telematico in violazione del Codice (art. 19, comma 2, del Codice)».
La liceità è pertanto determinata dalle funzioni istituzionali e deve essere proporzionata agli scopi che si intendono
perseguire (art.11 c.1 lett. d del Codice). Inoltre occorre verificare:
- che siano realmente insufficienti ed inattuabili altre misure di sicurezza come l’installazione di sistemi di allarme o di protezione agli ingressi;
- se sia realmente necessario raccogliere immagini dettagliate, stabilendo di conseguenza la dislocazione e la tipologia fissa o mobile degli impianti;
- limitare la creazione di banche dati quando è sufficiente un sistema a circuito chiuso per il controllo di flusso senza registrazione (come ad es.per uno sportello).
In merito alla vigilanza sulle comunicazioni elettroniche e sull’utilizzo di Internet sul posto di lavoro, il Garante ha chiarito che sia i datori di lavoro pubblici che quelli privati non possono controllare la posta elettronica e la navigazione in rete dei dipendenti senza il loro consenso se non in casi eccezionali. Se l’obiettivo dei controlli è solo e solamente la gestione della sicurezza della rete aziendale, allora il consenso al trattamento dei dati non è richiesto in quanto trattasi di controlli difensivi.
È certamente un diritto del datore di lavoro verificare la destinazione delle risorse aziendali ma è altrettanto diritto del lavoratore non subire controlli non trasparenti. È sempre sulla base dell’art. 4 dello Statuto dei lavoratori che possiamo concludere che la lettura e la registrazione sistematica dei messaggi di posta elettronica, al pari del monitoraggio dei siti visitati durante la navigazione in rete da parte del dipendente, sono vietati in quanto forme di controllo a distanza dell’attività lavorativa.
Nel 2007, l’Associazione Direttori Risorse Umane (GIDP/HRDA – Gruppo Intersettoriale Direttori del Personale – Human Resources Director Association) ha condotto un’indagine da cui sono emersi dati interessanti. Circa la metà delle aziende rispondenti (il 56,4%) ha dichiarato di non effettuare controlli, mentre il 41% invece lo fa e rileva che Internet è utilizzato dal 56,4% dei dipendenti per scopi personali. Le misure precauzionali adottate riguardano solo il 39,7% dei casi. Le risposte dei sindacati interni all’azienda sono state poco collaborative: ha approvato i provvedimenti cautelativi solo il 23%, mentre ben il 75,7% non ha risposto.
