IL GARANTE: NO A CONTROLLI INDISCRIMINATI DEL DATORE DI LAVORO SUI DIPENDENTI / by Giampietro Malusa

Il datore di lavoro non può effettuare controlli indiscriminati sulla posta elettronica e sulla navigazione in Internet dei propri dipendenti. Tali controlli si pongono, infatti, in contrasto sia con il Codice della Privacy sia con lo Statuto dei lavoratori. Questo è quanto affermato in un recente provvedimento adottato dal Garante a seguito di varie segnalazioni da parte di personale di un Ateneo.

Dall’istruttoria svolta è emerso che l’Ateneo aveva raccolto dati chiaramente riconducibili agli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati al personale dipendente. Oltretutto, tali dati erano conservati per ben 5 anni, una durata decisamente eccessiva. Questo aspetto sembra spesso sfuggire alle aziende, ma è essenziale che la conservazione dei dati personali non si protragga oltre il raggiungimento delle finalità per cui i dati stessi sono stati raccolti e trattati (art. 11, comma 1, lettera e del Codice: i dati personali sono conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”).

La decisione è senz’altro interessante perché ormai quasi per qualsiasi attività lavorativa si utilizzano i computer e solitamente è il datore di lavoro che fornisce i pc ai propri dipendenti. Oppure fornisce loro i telefoni cellulari (quasi sempre smartphone ormai), che – consentendo anch’essi la navigazione in Internet e l’accesso alla posta elettronica – creano, mutatis mutandis, la stessa problematica in relazione alla privacy del caso trattato nel provvedimento in commento. E il discorso potrebbe valere, naturalmente, anche per altri apparecchi forniti ai lavoratori dal datore di lavoro (notebook, tablet, ecc.).

In primo luogo, la decisione conferma che il MAC address (Media Access Control Address) deve essere considerato “dato personale” ai sensi della normativa comunitaria e nazionale in materia di privacy, dal momento che consente, in taluni casi, di risalire univocamente all’acquirente o all’utilizzatore dell’apparato (in pratica, all’utilizzatore di una determinata postazione).

L’Ateneo, partendo invece dall’erroneo presupposto che il MAC Address non costituisse “dato personale”, innanzitutto aveva omesso di fornire l’informativa agli utilizzatori della rete. Né, d’altra parte, avrebbe potuto il “Regolamento di utilizzo della rete Internet e della posta elettronica” dell’Ateneo sostituire l’adempimento dell’informativa ex art. 13 del Codice, dal momento che il Regolamento in questione non conteneva gli elementi essenziali richiesti dalla norma sopra citata.

Inoltre, l’istruttoria aveva rilevato che l’Ateneo, contrariamente a quanto da esso sostenuto, di fatto effettuava, tramite apparati e software, un trattamento dei dati che permetteva – fra l’altro, in background, ossia con modalità non percepibili dagli utenti, e senza alcun impatto o interferenza sul lavoro del dipendente – operazioni di monitoraggio, filtraggio, controllo e tracciatura “costanti ed indiscriminati” degli accessi al web e alla posta elettronica.

Con riferimento ai sopra menzionati software, il Garante ha espressamente affermato che essi non possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” ai sensi e per gli effetti dell’art. 4, comma 2 della legge n. 300/1970 (c.d. “Statuto dei lavoratori”), come recentemente modificato. Di conseguenza, con il suo comportamento l’Ateneo ha anche violato lo Statuto dei lavoratori, che prevede, in caso di controllo a distanza dei lavoratori, l’adozione di specifiche garanzie a tutela degli stessi.

Infine, il Garante ha escluso che il suddetto trattamento potesse essere legittimato per generiche finalità di protezione e sicurezza informatica o per astratte finalità derivanti da possibili indagini giudiziarie.

A questo proposito, anzi, il Garante ha ribadito che “i principi di necessità e proporzionalità impongono di privilegiare misure preventive ed, in ogni caso, gradualità nell’ampiezza del monitoraggio”: quindi, in prima battuta, si devono adottare misure meno limitative dei diritti dei lavoratori e solo in seconda battuta misure più invasive, che sono legittime solo a seguito della rilevazione di specifiche anomalie, quali, ad esempio, la riscontrata presenza di virus.

Nel caso di specie il Garante ha pure disposto la trasmissione degli atti e di copia del provvedimento in questione all’autorità giudiziaria per le valutazioni di competenza in ordine ai reati che la stessa dovesse eventualmente ravvisare nei fatti de quo.

Fonti: Autorità Garante per la protezione dei dati personali - La Repubblica