Affinché il trattamento da parte del datore di lavoro dei dati personali dei lavoratori possa ritenersi legittimo non è sufficiente la presenza di uno dei presupposti di legittimazione tipizzati dal legislatore, poiché è anche necessario che il datore di lavoro rispetti gli oneri formali, i limiti sostanziali e gli ulteriori obblighi previsti dal Codice della privacy. Il più importante onere formale ha ad oggetto la “informativa” che deve essere resa ai lavoratori interessati prima del trattamento, in ossequio ai più generali principi di “trasparenza” e “correttezza” che informano l’intera disciplina della protezione dei dati personali. Nel caso di controlli che il datore di lavoro intenda effettuare sugli strumenti elettronici o informatici assegnati in dotazione ai propri lavoratori, il Garante della privacy aveva già avuto modo di precisare che l’informativa deve indicare “quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli”.
Con la conseguenza che i dati acquisiti non possono essere trattati per uno scopo che sia “incompatibile con le finalità per le quali i medesimi sono stati raccolti”. Inoltre, al fine di realizzare un equilibrato bilanciamento dei contrapposti interessi, ogni trattamento, pur se legittimato, deve essere effettuato “riducendo al minimo l’utilizzazione di dati personali”. Tale principio impone al datore di lavoro di tenere conto, prima di procedere a qualsiasi trattamento, delle diverse soluzioni alternative ragionevolmente idonee al perseguimento dello specifico fine che il trattamento è diretto a realizzare, e quindi di scegliere la soluzione che consenta di raggiungere lo scopo perseguito con il minor utilizzo possibile dei dati personali dei lavoratori interessati. costituisce manifestazione del medesimo principio anche l’ulteriore limite sostanziale della proporzionalità e non eccedenza dei dati personali trattati, previsto dal Codice della privacy.
I principi di necessità, proporzionalità e non eccedenza sono anche alla base della regola secondo la quale i dati personali non possono essere conservati per un periodo di tempo “superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”. Particolari questioni sorgono, infine, quando il trattamento ha ad oggetto le comunicazioni inviate o ricevute dal lavoratore mediante l’utilizzo della posta elettronica o altri sistemi di comunicazione informatica. Ed infatti, tali comunicazioni contengono inevitabilmente dati personali, quali sono anche soltanto i nominativi dei mittenti e dei destinatari delle comunicazioni, già di per sé stessi in grado di fornire informazioni in ordine ai contatti e alle relazioni dell’interessato.
Il trattamento dei dati personali contenuti in tali comunicazioni pone allora la questione del contemperamento fra le esigenze organizzative del datore di lavoro e la garanzia di segretezza della corrispondenza, tutela costituzionalmente, che potrebbe assistere anche le comunicazioni inviate o ricevute utilizzando un account aziendale quando il lavoratore vanti una legittima aspettativa sul carattere confidenziale degli estremi e del contenuto dei messaggi. Il Garante della privacy ha, però, chiarito che il datore di lavoro può evitare il sorgere di tale aspettative e la conseguente garanzia di segretezza comunicando preventivamente ai propri lavoratori che le comunicazioni effettuate utilizzando un account aziendale non potranno ritenersi inviate o ricevute a titolo privato e che, quindi, potranno essere oggetto di controllo da parte dello stesso datore di lavoro anche in relazione al loro contenuto.