Illegittimo il controllo sistematico e indiscriminato della navigazione dei lavoratori sul web da parte del datore di lavoro Lo afferma ancora una volta con forza il Garante per la tutela dei dati personali nel provvedimento n. 190 del 13 maggio , pubblicato nella newsletter del 18 giugno 2021 che commina una sanzione di ben 84 mila euro al datore di lavoro, l' amministrazione comunale di Bolzano.
Il caso riguardava in particolare una dipendente del Comune che aveva inoltrato un reclamo per il trattamento dei dati relativi alla sua navigazione in Internet, durante l’orario di lavoro, per i quali aveva avuto una comunicazione di avvio di procedimento disciplinare
Il provvedimento del Comune contestava che la lavoratrice “nel periodo dal XX al XX, si era […] collegat[o] con il computer del Comune, per oltre 40 minuti a facebook e per oltre 3 ore a youtube, per seguire attività non istituzionali e che […] aveva consultato pagine Internet non inerenti il suo lavoro” come risultanti dai tabulati del traffico dati del Comune di Bolzano.
Dall'analisi del sistema utilizzato effettivamente emergeva che il sistema di registrazione degli accessi ad Internet impiegato consentiva di “controllare, tracciare, filtrare in maniera massiva, costante e indiscriminata […] la cronologia dei siti internet visitati e il tempo di navigazione di per ciascun sito” Nonché la memorizzazione e la conservazione di tali dati associati a ciascun dipendente per un lungo periodo di tempo.
Tale trattamento è lesivo della dignità del lavoratore in contrasto con lo Statuto dei lavoratori . Anche la Corte europea ha sancito il principio per cui , dato che "la linea di confine tra ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto, non può essere prefigurato l’annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale anche attraverso dispositivi personali, la protezione della vita privata, secondo l'art. 8 Convenzione europea dei diritti dell’Uomo, si estende anche all’ambito lavorativo".
Inoltre il trattamento dei dati nel caso in questione sarebbe avvenuto in assenza di un’informativa completa ai dipendenti in merito ai possibili controlli sugli accessi ad Internet .
Il reclamo ricordava infatti che l’accordo sindacale del 25.10.2010 su questo tema "non indicava nessun limite e neppure in quali casi possa scattare il controllo e non veniva fatto riferimento alle modalità di rattamento dei dati acquisiti, al soggetto responsabile e alla sua finalità” .
Il Garante nel documento sottolinea che in base al Regolamento n. 679-2016 , il trattamento deve essere “necessario” rispetto alla lecita finalità perseguita (art. 6, par. 1 del Regolamento) e avere ad oggetto i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento). Era invece emerso dagli atti che il sistema adottato dal Comune comportava inevitabilmente il trattamento di informazioni non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna .
Sull'informativa ai dipendenti , pur dando atto che una informativa sull'accesso ad internet e circolari interne erano state predisposte, il Garante evidenzia che tali documenti non contenevano tutte le informazioni necesssarie previste dal Regolamento
Infine, il fatto che il procedimento disciplinare fosse poi stato archiviato non esonera l'ente dalla responsabilità rispetto alle violazioni verificate , anche tenuto conto del lungo periodo nel quale tale sistema illecito era stato utilizzato (dal 2000).
Per questo motivo viene ordinato il pagamento della sanzione amministrativa pecuniaria (entro trenta giorni con agevolazione del 50%) e la modifica delle modalità di trattamento entro sessanta giorni che prevedano
- anonimizzare il dato relativo alla postazione di lavoro dei dipendenti rilevata nei log di navigazione web
- cancellare i dati personali presenti nei log di navigazione web registrati,
- aggiornare le procedure interne da ultimo individuate e inserite nell’accordo sindacale
- comunicare entro 30 giorni le iniziative che intende intraprendere all'autorità garante .