NEWS

Controllo indiscriminato dei lavoratori, Comune sanzionato dal Garante per monitoraggio occulto della navigazione web dei dipendenti

La protezione delle informazioni personali e il rispetto della vita privata vale anche nel pubblico impiego dove permane, comunque, una ragionevole aspettativa di riservatezza. Questo è uno dei principi ribaditi nel provvedimento del Garante Privacy n. 190 del 13 maggio 2021 con il quale ha irrogato una sanzione da 84 mila euro al Comune di Bolzano per aver tratto illecitamente i dati dei propri dipendenti in violazione degli artt. 5, 6, 9, 88 e 35 del GDPR, nonché 113 e 114 del Codice Privacy.

Garante privacy: no al controllo indiscriminato dei lavoratori
L’atto propulsivo, che ha dato origine all’avvio del procedimento da parte dell’Autorità Garante, è stato il reclamo presentato dall’interessato – dipendente della pubblica amministrazione sanzionata – che eccepiva la liceità del trattamento dei dati personali utilizzati per avviare un procedimento disciplinare a suo carico, nonché la violazione dei principi di liceità, correttezza e minimizzazione del Regolamento Europeo 679/2016.

Inoltre, veniva sollevata violazione dell’art. 4, L. 300/1970 poiché il controllo effettuato sulla navigazione apparentemente legittimato dalle necessarie misure tecniche da impiegarsi a salvaguardia dei dati trattati – come previsto dal Codice dell’Amministrazione digitale – era invece da ritenersi massivo, costante ed indiscriminato.

L’Ente, in via cautelativa, nelle more del procedimento ha avviato diversi correttivi nella speranza che essi venissero presi in considerazione mitigando l’eventuale sanzione dell’Authority. Tra i tanti, il Comune di Bolzano ha sospeso il procedimento disciplinare; ha aggiornato le informative dei dipendenti eliminando il rinvio per relationem alle norme del contratto collettivo; ed ha avviato i processi di pseudo-anonimizzazione dei dati contenuti nei file log sostituendo alcuni dati con codici alfanumerici.

Seppure il Garante ha tenuto conto del comportamento adottato dell’Amministrazione Comunale al fine di eliminare le situazioni di illiceità, tutelare i diritti degli interessati e modificare documenti e procedure del proprio modello organizzativo privacy, ha sanzionato il Comune ribadendo interessanti principi di diritto, domestici ed euronitari, con riguardo alla tutela della riservatezza dei prestatori di lavoro.

Dalla pronuncia emerge, non solo la necessità di tutelare la riservatezza e i diritti privacy dei lavoratori in quanto la linea di confine tra vita lavorativa e vita privata è labile e fluida ma anche, il concetto che l’applicazione del GDPR e del Codice Privacy devono trovare esplicazione in maniera sostanziale e non solo formale.

Infatti, le informative fornite ai dipendenti risultavano essere generiche e con rinvio ad ulteriori documenti anch’essi vaghi i quali non raggiungevano l’obiettivo proprio degli artt. 12-14 del Regolamento, ovvero quello di informare l’interessato sulle modalità di trattamento e le finalità dello stesso.

Non è lecito monitorare la navigazione internet dei lavoratori in modo indiscriminato

Non sono stati ritenuti sufficienti né l'accordo siglato con le rappresentanze sindacali maggiormente rappresentative ex art. 4, L. 300/1970 né tanto meno il codice di comportamento relativo all’utilizzo della rete internet. Sul punto il Garante ha ribadito che il controllo/monitoraggio attraverso impianti audiovisivi e altri strumenti di lavoro può avvenire “esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” (D.lgs. 151/2015) precisando che i pc e gli altri dispositivi connessi alla rete non possono essere ricondotti nell’alveo degli strumenti di lavoro, diversamente dai sistemi di blocco automatico della navigazione per certe categorie di siti web (si v. anche provvedimento del 13 luglio 2016, n. 303, doc. web n. 5408460). Inoltre, un controllo così come effettuato dal Comune di Bolzano (ex ante) esula dall’apparente finalità di monitoraggio dell’attività insolita o, comunque, a tutela della sicurezza dell’infrastruttura informatica ma è invece finalizzato al monitoraggio dell’attività lavorativa, tant’è che è sfociato in un procedimento sanzionatorio, anche se poi sospeso.

Ancora una volta, viene ribadito il concetto del balancing test che deve necessariamente operare nel delicato contesto lavorativo, anche pubblico, in cui devono convivere diritti, interessi legittimi ed obblighi contrastanti per loro natura ma assoggettati tutti al limite massimo e necessario della compressione degli stessi.

Note Autore

Angelo Lo Bello Angelo Lo Bello

Dottore Magistrale in giurisprudenza indirizzo avvocato d’affari e giurista d’impresa, dottore in servizi giuridici alle imprese indirizzo Consulente del lavoro. Data Protection Officer certificato EiPass. Socio membro di Federprivacy

Prev Nuove Clausole Contrattuali Standard per il trasferimento di dati verso Paesi terzi, un passo nella giusta direzione
Next Accountability, principio cardine del Gdpr sempre più orientato ad una logica di performance

TV Nove Italia, Nicola Bernardi intervistato alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy