Il datore di lavoro non può procedere al controllo indiscriminato del dipendente.
Il Garante per la protezione dei dati personali, con il provvedimento n. 303 del 13 luglio 2016, ha vietato il monitoraggio massivo delle attività su internet dei propri Dipendenti poiché in contrasto con il Codice della privacy e con lo Statuto dei Lavoratori.
Il provvedimento del Garante sulla privacy scaturisce a seguito di formale denuncia presentata dal Personale tecnicoamministrativo e docente di un’Università, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dalla stessa Università.
Nello specifico, il Garante ha dichiarato illegittimo il trattamento dei dati personali effettuato da un’Università che raccoglieva e conservava, per un periodo di 5 anni, i file di log relativi al traffico internet contenenti, tra gli altri, il mac address (media access control address), l’indirizzo IP, nonché informazioni relative all’accesso ai servizi internet, all’utilizzo della posta elettronica e alle connessioni di rete di una serie di utenti fra cui docenti, ricercatori, personale tecnico amministrativo e bibliotecario, studenti, dottorandi, specializzandi e assegnisti di ricerca e professori a contratto.
Nel corso dell’istruttoria, l’Università ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era stata attivata saltuariamente e solo in caso di rilevamento di software “maligno” e di violazioni del diritto d’autore o d’indagini della magistratura. Secondo l’Università, inoltre, non venivano trattati dati personali dei Dipendenti che si connettevano alla rete.
Il Garante ha, invece, evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi IP (indirizzo Internet) e dei mac address (identificativo hardware) dei personal computer assegnati ai Dipendenti. Inoltre, diversamente da quanto affermato dall’Università, l’Ateneo verificava costantemente e in modo indiscriminato gli accessi degli utenti alla rete e all’e‐mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal Lavoratore per rendere la prestazione lavorativa”. Da qui, la dichiarata violazione dello Statuto dei Lavoratori ‐ anche nella nuova versione modificata con il Jobs Act ‐ che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per i Lavoratori. Il Garante ha anche rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso d’individuazione di specifiche anomalie, come ad esempio la rilevata presenza di virus e che, in ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei Lavoratori. Infine, il Garante ha riscontrato che l’Università non aveva fornito agli utilizzatori della rete l’idonea informativa sulla privacy, tale non potendosi ritenere la mera comunicazione al Personale del regolamento concernente il corretto utilizzo degli strumenti elettronici.
L’Autorità ha, pertanto, dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte degli organi giudiziari.
