Privacy sul posto di lavoro: interviene il Garante

26/09/2016 di Lucio Todisco

Con le modifiche allo Statuto dei Lavoratori portate dal Jobs Act, sono state definite alcune regole riguardanti la privacy sul luogo di lavoro nell'era informatica, di internet e della tracciabilità assoluta. L'intervento del Garante per la protezione dei dati personali di luglio specifica ulteriormente i limiti del controllo aziendale sull'attività informatica dei dipendenti.

Con l’avvento dei nuovi media il tema della privacy è divenuto centrale nella vita di tutti i cittadini, soprattutto per tutto ciò che concerne la tutela a della nostra vita privata che ormai, di fatto, passa per il duplice binario della vita reale e della vita digitale.

Sta nascendo, quindi, una giurisprudenza sulla tutela dei diritti alla privacy dei cittadini di particolare interesse anche nella sfera lavorativa, ed alla luce di una delle più importanti modifiche del Jobs Act, quella della riscrittura dell’articolo 4 della legge 300/70, ovvero lo Statuto dei Lavoratori. Nella nuova formulazione, infatti, si precisa che le limitazioni e le procedure relative agli impianti audiovisivi e a quegli strumenti che consentono potenzialmente un controllo a distanza dei lavoratori, non si applicano agli strumenti che vengono assegnati ai lavoratori ed utilizzati da questi per rendere la prestazione lavorativa, anche se da tali strumenti può derivare potenzialmente la possibilità di un controllo a distanza del dipendente. Si parla di pc, tablet, cellulari, così come chiarito anche dal Ministero del Lavoro con una propria nota del 18 giugno 2015.

Controllo indiscriminato delle mail: l’intervento del Garante della Privacy – Proprio di questi giorni è la diffusione di un interessante provvedimento che riapre la discussione sulla privacy dei lavoratori diffuso con la Newsletter n. 419 del 15 settembre 2016.

Il Garante per la protezione dei dati personali ha vietato ad una Università italiana, con il provvedimento n. 303 del 13 luglio 2016, – qui potete leggere il provvedimento – il monitoraggio indiscriminato delle attività su Internet dei propri dipendenti. La questione era sorta dopo la denuncia da parte del personale tecnico-amministrativo e docente dell’ateneo, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’università.

Il Garante è così intervenuto dichiarando che il controllo indiscriminato sulla posta elettronica e sulla navigazione web del personale è palesemente in contrasto con il Codice della privacy e con lo Statuto dei lavoratori, dichiarando illegittima l’attività di raccolta e di conservazione del trattamento dei dati personali per un periodo che in questo caso era di 5 anni, dei file di log relativi al traffico internet contenenti, tra gli altri, il MAC Address (Media Access Control Address), l’indirizzo IP, nonché informazioni relative all’accesso ai servizi internet, e nel caso specifico di questo ateneo all’utilizzo della posta elettronica ed alle connessioni di rete di una serie di utenti che erano docenti, ricercatori, personale tecnico amministrativo e bibliotecario, studenti, dottorandi, specializzandi, assegnisti di ricerca, anche professori a contratto e visiting professor.

L’Università, così come si legge nel provvedimento, ha difeso la sua posizione, sostenendo che non venivano in alcun modo trattati i dati personali dei dipendenti che si connettevano. Inoltre ha affermato che l’attività di monitoraggio delle comunicazioni elettroniche era salutaria, e avveniva solo in caso di rilevamento di malware, di violazioni del diritto d’autore o di indagini della magistratura.

Il Garante della Privacy non ha ritenuto soddisfacente tale difesa, sostenendo che i dati raccolti erano riconducibili ai singoli utenti grazie al tracciamento puntuale degli indirizzi IP  e dei Mac Address dei pc assegnati ai dipendenti. Quella che veniva fatta tramite l’infrastruttura di Ateneo era, secondo il Garante, una attività di verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, attraverso sistemi e software che non rientrano, in base alla normativa tra gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. Ed ecco che, quindi, ci troviamo di fronte alla violazione dello Statuto dei lavoratori, anche nella versione modificata dal Jobs Act, che in questo caso avrebbe necessitato di autorizzazione e specifiche garanzie per il lavoratore.

Misure meno invasive e idonea informativa – Il provvedimento del Garante della Privacy sottolinea che l’Università doveva porre in essere delle misure graduali per ridurre i controlli più invasivi alla privacy dei lavoratori, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus. Il Garante ha riscontrato anche che l’ateneo non aveva fornito agli utilizzatori della rete un’idonea informativa privacy. A sola comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici non è da ritenersi sufficiente, andando in contraso con il principio di liceità alla base del trattamento dei dati personali così come raccolti dall’ateneo.

The following two tabs change content below.

Lucio Todisco

Classe 1987, Laureato in Scienze Politiche si è specializzato in gestione e formazione delle Risorse Umane e, ad oggi, è praticante Consulente del Lavoro. Una vita tra libri, film, politica, musica e del buon cibo. Il suo libro preferito è Oceano Mare, Mediterraneo il film che rivedrebbe ogni giorno, Oasis, U2 e Coldplay, la musica che ascolta nell’Mp3. Appassionato di innovazione, fa parte del comitato organizzatore dell’Innovation Day, manifestazione che coinvolge professionisti, organizzazioni, aziende e pubblica amministrazione sui temi dell’innovazione, crescita, sviluppo; collabora con la Fondazione Turismo Accessibile sui temi dell’innovazione e accessibilità turistica nel nostro paese.
blog comments powered by Disqus