Verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Garante della privacy, decisione-n-303-del-13-luglio-2016, Presidente Soro, Relatore Iannini

A margine

Nella vicenda, i dipendenti di una università lamentano, davanti al Garante della privacy, la violazione della disciplina in materia di protezione dei dati personali con riguardo al controllo posto in essere dal datore di lavoro in ordine all’utilizzo della rete internet e dei sistemi di comunicazione elettronica nei loro confronti.

L’università-titolare del trattamento, ritenendo legittimo il proprio operato, precisa che le operazioni poste in essere consistono nella raccolta e conservazione, per un periodo di 5 anni, dei file di log relativi al traffico internet contenenti il MAC Address (Media Access Control Address), l’indirizzo IP nonché informazioni relative all’accesso ai servizi internet, all’utilizzo della posta elettronica e alle connessioni di rete al fine “di monitoraggio del servizio nonché di sicurezza e […] integrità dei sistemi” nonché in caso di richieste investigative dell’Autorità giudiziaria.

Il Garante, considerato che il MAC Address di una postazione rappresenta l’indirizzo fisico identificativo del dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato, ritiene che il suo trattamento equivalga al trattamento di “dati personali” e imponga pertanto il rispetto della normativa sulla protezione dei dati che l’Ateneo, effettuando le operazioni descritte, ha violato con particolare riferimento al principio di liceità (art. 11, comma 1, lett. a) del Codice della privacy).

Violazione che risulta anche dalla mancata informativa sulla privacy ai dipendenti da parte dell’università, con riguardo alle effettive caratteristiche delle operazioni di trattamento del sistema in esame.

Sotto altro profilo, l’infrastruttura adottata, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” viola anche lo Statuto dei lavoratori che, in caso di controllo a distanza, prevede l’adozione di specifiche garanzie per il lavoratore.

L’Autorità dichiara quindi illecito il trattamento dei dati personali così raccolti e ne vieta l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

di Simonetta Fabris


Stampa articolo