Verifiche indiscriminate sulla posta
elettronica e sulla navigazione web del personale sono in contrasto con il Codice
della privacy e con lo Statuto dei lavoratori. Questa la decisione adottata dal
Garante, che ha vietato a un’università il monitoraggio massivo delle attività
in Internet dei propri dipendenti.
Il caso era sorto proprio per la denuncia del
personale tecnico-amministrativo e docente, che lamentava la violazione della
propria privacy e il controllo a distanza posto in essere dall’Ateneo.
Nel corso dell’istruttoria, l’amministrazione
ha respinto le accuse, sostenendo che l’attività di monitoraggio delle
comunicazioni elettroniche era attivata saltuariamente, e solo in caso di
rilevamento di software maligno e di violazioni del diritto d’autore o di indagini
della magistratura.
L’Università aveva inoltre aggiunto che non venivano
trattati dati personali dei dipendenti che si connettevano alla rete. L’istruttoria
del Garante ha invece evidenziato che i dati raccolti erano chiaramente
riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli
indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware)
dei pc assegnati ai dipendenti.
L’infrastruttura adottata dall’Ateneo,
diversamente da quanto affermato, consentiva poi la verifica costante e
indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando
sistemi e software che non possono essere considerati, in base alla normativa, “strumenti
utilizzati dal lavoratore per rendere la prestazione lavorativa”.
Tali software, infatti, non erano necessari per
lo svolgimento della predetta attività ed operavano, peraltro, in background,
con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei
lavoratori - anche nella nuova versione modificata dal cosiddetto “Jobs Act” –
che in caso di controllo a distanza prevede l’adozione di specifiche garanzie
per il lavoratore.
Nel provvedimento il Garante ha rimarcato che l’Università
avrebbe dovuto privilegiare misure graduali che rendessero assolutamente
residuali i controlli più invasivi, legittimati solo in caso di individuazione
di specifiche anomalie, come la rilevata presenza di virus. In ogni caso, si
sarebbero dovute prima adottare misure meno limitative per i diritti dei
lavoratori.
L’Autorità ha infine riscontrato che l’Università
non aveva fornito agli utilizzatori della rete un’idonea informativa privacy,
tale non potendosi ritenere la mera comunicazione al personale del Regolamento
relativo al corretto utilizzo degli strumenti elettronici, violando così il
principio di liceità alla base del trattamento dei dati personali.
L’Autorità ha quindi dichiarato illecito il
trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso,
imponendo comunque la loro conservazione per consentirne l’eventuale
acquisizione da parte della magistratura.
Garante per la protezione dei dati personali NEWSLETTER N. 419 del 15 settembre 2016
Nessun commento:
Posta un commento