Garante privacy: no al controllo indiscriminato dei lavoratori

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa vigente in materia di privacy e protezione dei dati personali. È quanto affermato dal Garante Privacy in un provvedimento sanzionatorio emesso nei confronti del Comune di Bolzano (“Comune”), a conclusione di un’istruttoria avviata sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato (“Provvedimento”). L’amministrazione, la quale inizialmente aveva contestato al proprio dipendente la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti. Dagli accertamenti del Garante Privacy è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione in internet dei propri dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante Privacy ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione previsti dal Regolamento UE 2016/679 (“GDPR”). Il sistema implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato. Con il Provvedimento emesso, il Garante Privacy ha ricordato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può condurre al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione dal datore di lavoro. Nell’ambito dell’istruttoria sono state inoltre riscontrate violazioni anche in merito al trattamento di dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo. Quest’ultimo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento illecito di dati relativi allo stato di salute. Il Garante Privacy, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di Euro 84 mila per l’illecito trattamento dei dati del personale. In aggiunta alla sanzione pecuniaria, il Comune dovrà altresì adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e descritte nell’accordo sindacale.

Iscriviti alla newsletter

Unisciti a tutti gli altri imprenditori della rete. Niente spam, lo odiamo quanto te.