Direttiva n. 2/09 (pdf), la firma è quella del ministro per la Pubblica Amministrazione e l’Innovazione Renato Brunetta: «In capo all’Amministrazione datore di lavoro, alla cui proprietà è riconducibile il Sistema informativo (ivi inclusi le apparecchiature, i programmi ed i dati inviati, ricevuti e salvati), è posto l’onere di predisporre misure per ridurre il rischio di usi impropri di internet, consistenti in attività non correlate alla prestazione lavorativa, quali la visione di siti non pertinenti, l’upload e il download di files, l’uso di servizi di rete con finalità ludiche o comunque estranee all’attività lavorativa».
Con la nota diramata ed in attesa di registrazione, dunque, il ministro Brunetta non solo fa fuori i fannulloni dalla Pubblica Amministrazione, ma conta anche di aumentare la produttività dei lavoratori pubblici eliminando ogni distrazione derivante dall’accesso alla Rete. «A tale proposito si raccomanda alle Amministrazioni di dotarsi di software idonei ad impedire l’accesso a siti internet aventi contenuti e/o finalità vietati dalla legge». L’obiettivo è chiaro: «L’utilizzo delle risorse ICT da parte dei dipendenti, oltre a non dover compromettere la sicurezza e la riservatezza del Sistema informativo, non deve pregiudicare ed ostacolare le attività dell’Amministrazione od essere destinato al perseguimento di interessi privati in contrasto con quelli pubblici».
Il regolamento entra quindi nello specifico chiedendo ad ogni singolo ente, sulla base della propria natura specifica, di provvedere a:
- «individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa»;
- «configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni – reputate inconferenti con l’attività lavorativa – quali l’upload o l’accesso a determinati siti (inseriti in una sorta di black list) e/o il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato)»;
- «trattamento di dati in forma anonima o tale da precludere l’immediata identificazione di utenti mediante loro opportune aggregazioni (ad es., con riguard ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori)»;
- «eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza».
Il regolamento prevede anche deroghe specifiche, ad esempio relativamente alle incombenze amministrative e burocratiche da effettuarsi senza allontanarsi dal posto di lavoro. Si richiede, inoltre, che le Amministrazioni pongano particolare attenzione anche nella creazione delle caselle di posta e nel loro utilizzo, così che i fruitori ne facciano un uso istituzionale legato al lavoro ed evitino fruizioni di carattere personale che coinvolgano i sistemi pubblici nell’invio/ricezione di materiale che nulla ha che vedere con la funzione espressa.
Le prime righe della direttiva, peraltro, pongono un corretto bilanciamento di quel che si va a regolamentare. Nella premessa, infatti, si spiega che «In considerazione della delicatezza della materia, che tocca i diritti individuali (quali il diritto alla segretezza della corrispondenza) e richiede, pertanto, un giusto bilanciamento con il potere di controllo dell’Amministrazione, si ritiene opportuno fornire indicazioni utili a facilitare, da un lato, il corretto utilizzo degli strumenti ICT da parte dei dipendenti e, dall’altro, il proporzionato esercizio del potere datoriale di controllo da parte delle Amministrazioni in indirizzo».
Trattasi pertanto di un documento che deve fungere da indicatore di linee guida a cui le singole Amministrazioni dovranno allinearsi con regolamenti interni formalizzati ad hoc da ogni singolo ente. Ogni Amministrazione, inoltre, avrà il dovere di far propria una proporzionata dotazione tecnologica per sopperire a tutte le necessità amministrative ma, al tempo stesso, «i lavoratori devono essere preventivamente informati dell’esistenza di dispositivi di controllo atti a raccogliere dati personali».