Monitoraggio dell’uso di email ed Internet da parte dei dipendenti dopo il “Jobs Act”: una decisione del Garante della Privacy
Con il Provvedimento n. 303 del 13 luglio 2016, il Garante della Privacy ha fornito alcuni chiarimenti sull’interpretazione del recentemente riformato art. 4 dello Statuto dei Lavoratori in tema di monitoraggio dell’uso di servizi telematici dei dipendenti sul luogo di lavoro. Sul piano puramente formale non si tratta di un’interpretazione vincolante; ma è nota l’autorità di fatto di cui le pronunce del Garante godono presso le Corti italiane in materia di privacy.
A seguito di diverse segnalazioni e reclami da parte del personale di un’Università italiana, il Garante aveva aperto un’istruttoria su alcuni trattamenti di dati personali di personale amministrativo, docenti, ricercatori e studenti condotti dall’ateneo in questione attraverso strumenti elettronici. L’istruttoria aveva rivelato che l’Università registrava file di log del traffico Internet (in particolare, il Mac Address e l’IP dinamico) e altre informazioni relative all’accesso ai servizi internet e all’utilizzo della posta elettronica dalle postazioni informatiche presenti in ateneo, conservandoli per diversi anni, e conduceva operazioni di controllo, tracciatura e filtraggio del traffico Internet.
Ritenuto che i dati interessati dal trattamento, sebbene anonimi in origine, fossero a tutti gli effetti “dati personali”, perché associabili a persone identificabili, il Garante ha rilevato alcuni aspetti di illegittimità del trattamento di dati, in primis l’assenza di un’informativa completa a tutti i soggetti interessati.
Il Garante ha inoltre ritenuto che, nella misura in cui coinvolgeva dipendenti, il trattamento nei termini descritti fosse contrario tra l’altro[1] all’art. 4 dello Statuto dei Lavoratori, sia nella formulazione precedente che in quella – in teoria, meno restrittiva – risultante dalle modifiche intervenute per effetto del decreto legislativo 14 settembre 2015, n. 151 (c.d. “Jobs Act”).
Il Garante ha osservato che il trattamento preso in esame era effettuato per il tramite di apparati, distinti e indipendenti dalle ordinarie postazioni di lavoro, e di sistemi software, che consentivano operazioni di monitoraggio degli accessi a internet o al servizio di posta elettronica in “background” senza essere percepiti dal lavoratore e senza interferire con la sua attività.
Tali strumenti secondo il Garante esulano dalla nozione di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970). Quest’ultima, con riferimento all’uso di posta elettronica e navigazione web, ricomprenderebbe solo “servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza”. Tra questi, il Garante ha indicato a titolo esemplificativo il servizio di posta elettronica e di collegamento ad internet offerto ai dipendenti, così come le relative misure di sicurezza (sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori; sistemi di filtraggio anti-virus; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).
Il Garante ha quindi disposto nei confronti dell’Università l’inibitoria dall’ulteriore trattamento dei dati personali con le modalità descritte.
[1] Il Garante ha osservato che il trattamento si poneva altresì in contrasto con i principi di necessità, pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d) del Codice dei dati personali) “che non consentono controlli massivi, prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete”. L’Ateneo non aveva addotto la ricorrenza di specifiche circostanze che potessero legittimare il trattamento effettuato (quali, ad esempio, incidenti di sicurezza occorsi o la presenza di indagini in corso da parte dell’autorità giudiziaria).