Versione HTML di base
Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale, invece, non possono normalmente consentire
controlli sull'attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla
disciplina di cui all'art. 4 Stat. lav. (ad es. sistemi di protezione perimetrale – firewall – in funzione antintrusione e sistemi di prevenzione e
rilevamento di intrusioni – IPS/IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne).
Ciò considerato, i sistemi ed applicativi in uso presso l'Università esulano senza dubbio dal perimetro degli "strumenti utilizzati dal
lavoratore per rendere la prestazione lavorativa" e comportano, quindi, un trattamento in contrasto con quanto previsto dal predetto art. 4.
5. Il trattamento effettuato si pone altresì in violazione dei principi di necessità, pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d) del
Codice) che non consentono controlli massivi, prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione
sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete (sul punto, Consiglio di Europa,
Raccomandazione del 1 aprile 2015, CM/Rec(2015)5, ma già, Linee guida cit., spec. par. 4, 5.2. lett. b) e 6.1; sulla minimizzazione nel
trattamento dei dati, Provv. 2 febbraio 2006, doc. web n.
, confermato da Cass., sez. I civ., 1° agosto 2013, n. 18443).
Anche su tale aspetto si è soffermato il Garante nelle menzionate audizioni chiarendo che i principi di necessità e proporzionalità impongono
di privilegiare misure preventive ed, in ogni caso, gradualità nell'ampiezza del monitoraggio "che renda assolutamente residuali i controlli
più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie" quali, ad esempio, la riscontrata presenza di virus e
"comunque all'esito dell'esperimento di misure preventive meno limitative dei diritti dei lavoratori" (cfr. audizione del Garante, cit., spec.
punto 2, lett. e)).
In particolare, la memorizzazione dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete in modo massivo ed
anelastico, in presenza della menzionata associabilità in via univoca all'utente, non risulta strettamente necessaria per la generica finalità di
protezione e sicurezza informativa ovvero per astratte finalità derivanti da possibili indagini giudiziarie (cfr. art. 14 Reg., cit.; nota
14.10.2015, cit.), dando luogo ad un trattamento di dati eccedente rispetto agli scopi dichiarati (artt. 3 e 11, comma 1, lett. d) del Codice).
L'Ateneo non ha infatti addotto la ricorrenza di specifici episodi "anomali" ovvero la presenza di idonei presupposti che possano legittimare
sotto il profilo della proporzionalità il trattamento (quali, ad esempio, incidenti di sicurezza occorsi o la presenza di indagini in corso da parte
dell'autorità giudiziaria).
RITENUTO
6. Ciò considerato, ritenuto illecito il trattamento effettuato dell'Università degli studi "G. D'Annunzio" di Chieti e Pescara nei termini sopra
indicati per violazione degli articoli 3, 11, comma 1, lett. a) e d), 13 e 114 del Codice, il Garante, ai sensi degli articoli 143, comma 1, lett. c),
e 154, comma 1, lett. d), del Codice, ritiene di dover vietare con effetto immediato dalla data di ricezione del presente provvedimento, il
trattamento descritto in motivazione, con conservazione dei dati finora trattati ai fini di un'eventuale acquisizione degli stessi da parte
dell'autorità giudiziaria, nonché per esigenze di tutela dei diritti in sede giudiziaria.
Si ricorda che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la
reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento,
è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.
L'Autorità si riserva di valutare, con autonomo procedimento, la sussistenza di violazioni amministrative in capo al titolare del trattamento.
TUTTO CIÒ PREMESSO IL GARANTE
nei confronti dell'Università degli studi "G. D'Annunzio" di Chieti e Pescara:
1. dichiara illecito il trattamento descritto in motivazione in violazione degli articoli 3, 11, comma 1, lett. a) e d), 13 e 114
del Codice nonché dell'art. 4, l. n. 300/1970 con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai
sensi dell'art. 11, comma 2 del Codice;
2. ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, dispone, con effetto immediato dalla data di
ricezione del presente provvedimento, il divieto dell'ulteriore trattamento dei dati personali sopra indicati con conservazione
di quelli finora trattati ai fini di un'eventuale acquisizione degli stessi da parte dell'autorità giudiziaria, nonché per esigenze
di tutela dei diritti in sede giudiziaria;
3. dispone che sia data comunicazione al Garante, entro 30 giorni dalla data di comunicazione del presente provvedimento,
dell'avvenuta attuazione dello stesso;
4. dispone, ai sensi dell'art. 171 del Codice, la trasmissione degli atti e di copia del presente provvedimento all'autorità
giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.
Avverso il presente provvedimento, ai sensi dell'art. 152 del Codice e dell'art. 10 del d.lg. n. 150/2011, può essere proposta
opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla
notificazione del provvedimento stesso.
Roma, 13 luglio 2016
IL PRESIDENTE
Soro