Controllo indiscriminato dei lavoratori, Comune sanzionato dal Garante per monitoraggio occulto della navigazione web dei dipendenti
La protezione delle informazioni personali e il rispetto della vita privata vale anche nel pubblico impiego dove permane, comunque, una ragionevole aspettativa di riservatezza. Questo è uno dei principi ribaditi nel provvedimento del Garante Privacy n. 190 del 13 maggio 2021 con il quale ha irrogato una sanzione da 84 mila euro al Comune di Bolzano per aver tratto illecitamente i dati dei propri dipendenti in violazione degli artt. 5, 6, 9, 88 e 35 del GDPR, nonché 113 e 114 del Codice Privacy.
L’atto propulsivo, che ha dato origine all’avvio del procedimento da parte dell’Autorità Garante, è stato il reclamo presentato dall’interessato – dipendente della pubblica amministrazione sanzionata – che eccepiva la liceità del trattamento dei dati personali utilizzati per avviare un procedimento disciplinare a suo carico, nonché la violazione dei principi di liceità, correttezza e minimizzazione del Regolamento Europeo 679/2016.
Inoltre, veniva sollevata violazione dell’art. 4, L. 300/1970 poiché il controllo effettuato sulla navigazione apparentemente legittimato dalle necessarie misure tecniche da impiegarsi a salvaguardia dei dati trattati – come previsto dal Codice dell’Amministrazione digitale – era invece da ritenersi massivo, costante ed indiscriminato.
L’Ente, in via cautelativa, nelle more del procedimento ha avviato diversi correttivi nella speranza che essi venissero presi in considerazione mitigando l’eventuale sanzione dell’Authority. Tra i tanti, il Comune di Bolzano ha sospeso il procedimento disciplinare; ha aggiornato le informative dei dipendenti eliminando il rinvio per relationem alle norme del contratto collettivo; ed ha avviato i processi di pseudo-anonimizzazione dei dati contenuti nei file log sostituendo alcuni dati con codici alfanumerici.
Seppure il Garante ha tenuto conto del comportamento adottato dell’Amministrazione Comunale al fine di eliminare le situazioni di illiceità, tutelare i diritti degli interessati e modificare documenti e procedure del proprio modello organizzativo privacy, ha sanzionato il Comune ribadendo interessanti principi di diritto, domestici ed euronitari, con riguardo alla tutela della riservatezza dei prestatori di lavoro.
Dalla pronuncia emerge, non solo la necessità di tutelare la riservatezza e i diritti privacy dei lavoratori in quanto la linea di confine tra vita lavorativa e vita privata è labile e fluida ma anche, il concetto che l’applicazione del GDPR e del Codice Privacy devono trovare esplicazione in maniera sostanziale e non solo formale.
Infatti, le informative fornite ai dipendenti risultavano essere generiche e con rinvio ad ulteriori documenti anch’essi vaghi i quali non raggiungevano l’obiettivo proprio degli artt. 12-14 del Regolamento, ovvero quello di informare l’interessato sulle modalità di trattamento e le finalità dello stesso.
Non sono stati ritenuti sufficienti né l'accordo siglato con le rappresentanze sindacali maggiormente rappresentative ex art. 4, L. 300/1970 né tanto meno il codice di comportamento relativo all’utilizzo della rete internet. Sul punto il Garante ha ribadito che il controllo/monitoraggio attraverso impianti audiovisivi e altri strumenti di lavoro può avvenire “esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” (D.lgs. 151/2015) precisando che i pc e gli altri dispositivi connessi alla rete non possono essere ricondotti nell’alveo degli strumenti di lavoro, diversamente dai sistemi di blocco automatico della navigazione per certe categorie di siti web (si v. anche provvedimento del 13 luglio 2016, n. 303, doc. web n. 5408460). Inoltre, un controllo così come effettuato dal Comune di Bolzano (ex ante) esula dall’apparente finalità di monitoraggio dell’attività insolita o, comunque, a tutela della sicurezza dell’infrastruttura informatica ma è invece finalizzato al monitoraggio dell’attività lavorativa, tant’è che è sfociato in un procedimento sanzionatorio, anche se poi sospeso.
Ancora una volta, viene ribadito il concetto del balancing test che deve necessariamente operare nel delicato contesto lavorativo, anche pubblico, in cui devono convivere diritti, interessi legittimi ed obblighi contrastanti per loro natura ma assoggettati tutti al limite massimo e necessario della compressione degli stessi.
