In attesa di una vera e propria risoluzione europea, i Garanti europei per la protezione dei dati personali hanno fissato, in un documento comune del 13 settembre 2001, alcuni principi riguardo al monitoraggio delle e-mail e degli accessi a Internet sul posto di lavoro e alla videosorveglianza.
In direzione di un’uniforme applicazione nei Paesi dell’Ue, della direttiva 95/46/Ce e in attesa dell’adozione di una specifica raccomandazione sulle misure a tutela della privacy dei lavoratori, il documento fornisce alcune indicazioni sulle modalità con cui i datori di lavoro pubblici e privati possono raccogliere e utilizzare i dati dei lavoratori, per le varie finalità connesse al rapporto di lavoro e per eventuali controlli.
Innanzitutto, i datori di lavoro dovranno avvertire i lavoratori del fatto che “molte delle attività svolte nell’ambito del rapporto di lavoro implicano il trattamento dei dati personali, i quali, in taluni casi, sono di carattere sensibile” e agire nel rispetto dei principi che garantiscono la trasparenza nella raccolta dei dati e la riservatezza delle informazioni.
Qualsiasi raccolta, uso o conservazione di informazioni sui lavoratori attraverso sistemi manuali ed elettronici, la videosorveglianza ed il trattamento di suoni e immagini, nonché qualunque forma di monitoraggio delle e-mail dei lavoratori o degli accessi ad Internet da parte dei dipendenti, rientrano – si legge nel documento – nell’ambito della legislazione sulla protezione dei dati.
I controlli sul posto devono, perciò, tenere conto della legittima privacy e di altri interessi dei lavoratori e devono essere svolti nel modo meno invasivo possibile. Ogni informazione deve essere raccolta, usata e conservata per scopi non eccedenti quelli per i quali il monitoraggio viene effettuato.
I dati conservati nelle banche dati devono essere raccolti per scopi specifici, espliciti e legittimi e devono essere trattati da personale che ha l’obbligo della riservatezza, in modo da garantire al lavoratore il diritto di rettifica e d’integrazione delle informazioni.
I datori di lavoro, inoltre, devono adottare le misure tecnologiche e organizzative a protezione dei dati, soprattutto da accessi illeciti.
Il trasferimento di dati dei lavoratori all’esterno della UE dovrà essere, invece, subordinato alla verifica del livello di protezione assicurato dal Paese di destinazione