n. 13/2011 - WP 185 sui servizi di geolocalizzazione su dispositivi mobili intelligenti, spec. p. 11; segnalazione del Garante a Governo e
Parlamento del 9 luglio 2013 con particolare riferimento all'art. 10, d.l. n. 69 del 21 giugno 2013. c.d. "decreto del fare"; Provv.ti 10 luglio
2014, doc. web n. 3283078, spec. punto 2; 19 marzo 2015, doc. web n.
punto 3; 12.03.2015, doc. web n.
23.04.2015, doc
web n.
.
CONSIDERATO
4.1.Tanto premesso, l'assoggettabilità del trattamento dell'Ateneo alla disciplina di protezione dei dati personali consente di rilevare alcuni
profili di violazione della stessa, con particolare riferimento al principio di liceità (art. 11, comma 1, lett. a) del Codice).
Ciò assume particolare rilievo con riguardo alla possibilità di risalire all'identità dell'utilizzatore della postazione, ancorché tramite
l'intervento dell'amministratore di sistema, circostanza che è ancor più evidente con specifico riferimento ai dipendenti dell'Ateneo: tra gli
"utenti" della rete figura infatti il personale tecnico-amministrativo e docente cui è abitualmente assegnata una specifica postazione (atteso
che, contrariamente a quanto sostenuto dal titolare del trattamento, la presenza di eventuali postazioni condivise fra più persone è da
considerarsi circostanza residuale).
4.2. In primo luogo, l'Ateneo (sulla scorta dell'erroneo presupposto che il MAC Address non costituisca "dato personale") non ha reso la
dovuta informativa in favore degli utilizzatori della rete, anche con riguardo alle effettive caratteristiche delle operazioni di trattamento
effettuate (artt. 11, comma 1, lett. a) e 13 del Codice; Linee guida, cit., punto 3).
Il menzionato Regolamento di Ateneo che pur detta regole in merito al corretto utilizzo degli strumenti elettronici in dotazione agli utenti,
non è comunque idoneo a sostituire l'adempimento all'art. 13 del Codice in quanto non reca gli elementi essenziali richiesti dalla legge per
l'informativa da rendere agli interessati, né è idoneo a renderli edotti in modo esaustivo in merito alle operazioni di trattamento effettuate,
con particolare riferimento alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati relativi ai MAC Address e agli
indirizzi IP dei personal computer a loro messi a disposizione o assegnati in uso.
Sotto quest'ultimo profilo, peraltro, sebbene l'art. 14 del Regolamento precisi che "le attività di accesso ai servizi internet ed in particolare
l'utilizzo della posta elettronica sono registrati in forma elettronica" per il tramite del personale del "settore competente", il riferimento in
esso contenuto alla gestione "in maniera anonima" e all'utilizzo di queste informazioni "esclusivamente in relazione alle attività di
monitoraggio del servizio, alla sicurezza e all'integrità dei sistemi" (art. 14, comma 3, Reg., cit.) risulta, oltre che non corrispondente a
quanto dichiarato nel corso dell'istruttoria dal titolare del trattamento, non idoneo, in applicazione dei principi di liceità e correttezza dei
trattamenti (artt. 11, comma 1 lett. a) del Codice), ad informare in modo chiaro e dettagliato circa la raccolta e le caratteristiche dell'effettivo
trattamento dei dati personali degli utenti (quale emerge all'esito dell'attività istruttoria condotta, cfr. descrizione al punto 2.3.), nonché in
ordine all'eventuale utilizzo degli stessi per controlli anche su base individuale (arg. art. 15, Reg., cit.).
4.3. Quanto alle specifiche caratteristiche del trattamento dei dati derivante dalla configurazione del sistema, si ritiene che questo,
articolandosi anche in operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet
esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale, sia idoneo a consentire un controllo dell'attività e
dell'utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili.
Ciò, nei casi in cui il trattamento sia posto in essere nei confronti dei dipendenti e in presenza del menzionato collegamento tra i dati relativi
alla connessione e la persona utilizzatrice, consente di ricostruirne anche indirettamente l'attività e risulta, anche sotto questo profilo, in
contrasto con il principio di liceità nonché con la rilevante disciplina di settore in materia di lavoro (artt. 11, comma 1, lett. a) e 114 del
Codice e art. 4, l. 20 maggio 1970, n. 300). Tanto, sia con riguardo alla disciplina in materia di impiego di apparecchiature idonee al
controllo a distanza dell'attività dei lavoratori vigente all'epoca in cui il trattamento è stato iniziato (cfr., Linee guida cit. par. 4; nonché, con
riguardo a software di controllo della navigazione in internet, Provv.ti 5 febbraio 2015, doc. web n. 3813428; 21 luglio 2011 doc. web n.
confermato da Trib. Roma, sez. I, 21 marzo 2013 n. 4766, ma già, 2 aprile 2009, doc. web n.
e 1° aprile 2010 doc. web n.
, sia con riguardo al quadro normativo risultante dalle modifiche intervenute per effetto dell'art. 23 del decreto legislativo 14
settembre 2015, n. 151.
Quanto a quest'ultimo profilo, in particolare, il trattamento è effettuato, attualmente, per il tramite di apparati (differenti dalle ordinarie
postazioni di lavoro) e di sistemi software che consentono, con modalità non percepibili dall'utente (c.d. in background ) e in modo del tutto
indipendente rispetto alla normale attività dell'utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di
"monitoraggio", "filtraggio", "controllo" e "tracciatura" costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica.
Tali software non possono essere considerati "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (ai sensi e per gli
effetti dell'art. 4, comma 2, l. n. 300/1970, come modificato dall'art. 23 del d.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e
delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di "attrezzatura" e "post[azione] di lavoro" di cui all'art. 173 d.lg. n.
81/2008).
In tale nozione, infatti - e con riferimento agli strumenti oggetto del presente provvedimento, vale a dire servizio di posta elettronica e
navigazione web - è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione
lavorativa, anche sotto il profilo della sicurezza. Da questo punto di vista e a titolo esemplificativo, possono essere considerati "strumenti di
lavoro" alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account
personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti
anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della
rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica,
con conservazione dei soli dati esteriori, contenuti nella cosiddetta "envelope" del messaggio, per una breve durata non superiore comunque
ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l'erogazione dei
servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali,
senza registrazione dei tentativi di accesso).