Verifiche indiscriminate sulla posta elettronica e sulla
navigazione web del personale sono in contrasto con il Codice della
privacy e con lo Statuto dei lavoratori. Questa la decisione adottata
dal Garante [doc. web n. 5408460], che ha vietato a un'università il
monitoraggio massivo delle attività in Internet dei propri dipendenti.
Il caso era sorto proprio per la denuncia del personale
tecnico-amministrativo e docente, che lamentava la violazione della
propria privacy e il controllo a distanza posto in essere dall'Ateneo.
Nel corso dell'istruttoria, l'amministrazione ha respinto le accuse,
sostenendo che l'attività di monitoraggio delle comunicazioni
elettroniche era attivata saltuariamente, e solo in caso di rilevamento
di software maligno e di violazioni del diritto d'autore o di indagini
della magistratura. L'Università aveva inoltre aggiunto che non
venivano trattati dati personali dei dipendenti che si
connettevano alla rete. L'istruttoria del Garante ha invece evidenziato
che i dati raccolti erano chiaramente riconducibili ai singoli utenti,
anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo
Internet) e dei Mac Address (identificativo hardware) dei pc assegnati
ai dipendenti.
L'infrastruttura adottata dall'Ateneo, diversamente da quanto
affermato, consentiva poi la verifica costante e indiscriminata degli
accessi degli utenti alla rete e all'e-mail, utilizzando sistemi e
software che non possono essere considerati, in base alla normativa,
"strumenti utilizzati dal lavoratore per rendere la prestazione
lavorativa". Tali software, infatti, non erano necessari per lo
svolgimento della predetta attività ed operavano, peraltro, in
background, con modalità non percepibili dall'utente. E' stato così
violato lo Statuto dei lavoratori - anche nella nuova versione
modificata dal cosiddetto "Jobs Act" – che in caso di controllo a
distanza prevede l'adozione di specifiche garanzie per il lavoratore.
Nel provvedimento il Garante ha rimarcato che l'Università avrebbe
dovuto privilegiare misure graduali che rendessero assolutamente
residuali i controlli più invasivi, legittimati solo in caso di
individuazione di specifiche anomalie, come la rilevata presenza di
virus. In ogni caso, si sarebbero dovute prima adottare misure meno
limitative per i diritti dei lavoratori.
L'Autorità ha infine riscontrato che l'Università non aveva fornito
agli utilizzatori della rete un'idonea informativa privacy, tale non
potendosi ritenere la mera comunicazione al personale del Regolamento
relativo al corretto utilizzo degli strumenti elettronici, violando
così il principio di liceità alla base del trattamento dei dati
personali. L'Autorità ha quindi dichiarato illecito il
trattamento dei dati personali così raccolti e ne ha vietato
l'ulteriore uso, imponendo comunque la loro conservazione per
consentirne l'eventuale acquisizione da parte della magistratura.
NEWSLETTER N. 419 del 15 settembre 2016
Garanteprivacy.it