Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali ("L'Huffington Post", 13 gennaio 2016)

Ma davvero, da oggi, i lavoratori europei potranno essere spiati dai loro datori di lavoro alla luce della sentenza del 12 dicembre della Corte europea dei diritti umani? È bene chiarirlo: assolutamente no.
La sentenza decide il ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall'utilizzo per fini personali, in orario di lavoro, della mail aziendale. La Corte ha dunque riaffermato, nel caso concreto, che i controlli datoriali sull'attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell'adempimento contrattuale. Essi devono essere inoltre limitati nel tempo e nell'oggetto; mirati (dunque non massivi) e fondati su presupposti (quali in particolare l'inefficienza dell'attività lavorativa del dipendente) tali da legittimarne l'esecuzione. Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto, in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile scorso dallo stesso Consiglio d'Europa e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007. Principi che restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice privacy: necessità, finalità, legittimità e correttezza, proporzionalità e non eccedenza del trattamento, nonché all'obbligo di previa informativa del lavoratore e al divieto di profilazione, ribaditi proprio dalla Corte europea dei diritti umani. Dunque, anche dopo il Jobs Act, i controlli datoriali devono comunque essere graduali e a fronte della rilevazione di specifiche anomalie. E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4583778