Può essere illecito monitorare la navigazione internet dei lavoratori sul luogo di lavoro

Stampa

Un provvedimento del Garante per la privacy con il quale sanziona un Comune italiano per aver violato la privacy dei propri dipendenti. Il Garante rende noto che “non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy”. Principi estendibili anche al comparto scuola.

Il fatto

Con reclamo una dipendente di un Comune italiano ha lamentato presunte violazioni della disciplina di protezione di dati personali con riguardo al trattamento di dati posti in essere dall’Ente mediante il monitoraggio del traffico di rete e dei singoli accessi ad Internet effettuati dall’interessato e, in generale, dai dipendenti comunali. In particolare, il reclamante ha lamentato che l’Ente avrebbe trattato dati personali relativi alla sua navigazione in Internet, durante l’orario di lavoro, e di aver ricevuto, in data XX, una comunicazione di avvio di procedimento disciplinare (cfr. nota del XX allegata al reclamo), nella quale gli veniva contestato che “nel periodo dal XX al XX, era […] collegat[o] con il computer del Comune, per oltre 40 minuti a facebook e per oltre 3 ore a youtube, per seguire attività non istituzionali e che […] aveva consultato pagine Internet non inerenti il suo lavoro” come risultanti dai tabulati del traffico dati del Comune. Tali dati sarebbero stati utilizzati per formulare i rilievi disciplinari, previa richiesta della Direttrice dell’Ufficio gestione del Territorio all’Ufficio servizi informatici dell’Ente. Successivamente il procedimento disciplinare sarebbe stato archiviato per ragioni inerenti all’inattendibilità dei dati raccolti .

Il trattamento dei dati da parte del datore di lavoro
Con Provvedimento del 13 maggio 202 n. 190 del 13 maggio 2021 il garante afferma che la disciplina di protezione dei dati personali consente che il datore di lavoro tratti i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), dei lavoratori nel rispetto dei principi generali del trattamento (art. 5 del Regolamento) e se il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale o dell’Unione, in particolare per finalità di gestione del rapporto di lavoro (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento e 2-ter del Codice).
Il datore di lavoro deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda […l’impiego di] sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento). Sul punto, il Codice, confermando l’impianto anteriore alle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”). In particolare, l’art. 114 del Codice prevede che “Resta fermo quanto disposto dall’articolo 4 della l. 20 maggio 1970, n. 300”, analogamente all’art. 113 che rinvia all’art. 8 della l. 20 maggio 1970, n. 300, e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.

Illegittimo controllare la navigazione internet sul pc del proprio dipendente
L’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può, infatti, giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali, “non pertinenti” che ricadono nell’ambito di applicazione dell’art. 113 del Codice (con riguardo ai rischi per gli interessati e alle responsabilità per il titolare in ordine all’acquisizione di informazioni afferenti alla sfera privata dei dipendenti, v. da ultimo, provv. del 15 aprile 2021 n. 137 in corso di pubblicazione; ma v. pure, provv. del 26 marzo 2020, n. 64 – “Didattica a distanza: prime indicazioni” -, doc. web n. 9300784, par. 5 e, già, Linee guida su posta elettronica e internet, provv. 1° marzo 2007, n. 13, doc. web n. 1387522 in particolare, punto 5.2., lett. a), i cui principi possono ritenersi tutt’ora validi).

I trattamenti di dati personali connessi alla richiesta di accertamento medico straordinario nell’ambito della c.d. “sorveglianza sanitaria” (d.lgs. 9 aprile 2008, n. 81).
Altra questione interessante affrontata nel proprio corposo provvedimento è quello relativo al trattamento dei dati del reclamante effettuato mediante il modulo della richiesta di accertamento medico straordinario. Il Garante afferma:
La finalità di sicurezza e salute sui luoghi di lavoro afferisce, tipicamente, all’adempimento degli obblighi in materia di “diritto del lavoro”, che legittimano il trattamento di dati personali dei dipendenti da parte del datore di lavoro (artt. 5, 6, par. 1, lett. c), 9, par. 2, lett. b), e 88 Regolamento) e del medico competente (art. 9, parr. 2, lett. h), e 3, del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), ciascuno nell’ambito dei differenti compiti ed entro i precisi limiti fissati dalla legge. Ciò anche nel quadro delle disposizioni nazionali più specifiche e di maggior tutela che garantiscono la dignità e la libertà del dipendente nel contesto lavorativo (artt. 88 del Regolamento e 113 del Codice).

Il differente ruolo tra medico competente e datore di lavoro
Pertanto, mentre il datore di lavoro “vigila affinché i lavoratori […] non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” (es. art. 18 del d.lgs. n. 81/2008), il medico competente, nell’ambito delle proprie attività di sorveglianza sanitaria (“la sorveglianza sanitaria è effettuata dal medico competente”), è l’unico soggetto legittimato a trattare i dati relativi alla salute dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, del d.lgs. n. 81/2008), potendo, “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori, stabilire la necessità di sottoporre i lavoratori a ulteriori indagini diagnostiche; è, altresì, previsto che il lavoratore possa rivolgersi direttamente al medico competente per ottenere una visita straordinaria correlata alle proprie specifiche o sopravvenute condizioni di salute (art. 41, commi 2 e 4, del d.lgs. 81/2008).

Il datore di lavoro non può essere informato di eventuali problemi di salute del dipendente prima della visita medica
In base al richiamato quadro normativo, il datore di lavoro può conoscere il mero giudizio di idoneità alla mansione specifica corredato dalle eventuali prescrizioni che il professionista fissa come condizioni di lavoro (cfr. art. 41, comma 6-bis, del d.lgs. n. 81/2008). Pertanto, solo una volta effettuata la visita, il datore di lavoro dovrà, in base al quadro normativo sopra delineato, attuare le misure eventualmente indicate dal medico competente e adibire il lavoratore alle corrispondenti mansioni (art. 42 del d.lgs. n. 81/2008).
Non è invece previsto che, come prospettato dal Comune, “nelle more dell’effettuazione della visita medica” il dipendente informi il proprio dirigente di “eventuali situazioni di disagio personale” al fine di ottenere la “modifica […del] l’assegnazione dei compiti e delle attività assegnati al dipendente che effettua la richiesta di visita o le modalità di prestazione dell’attività lavorativa” (cfr. verbale audizione in atti).
Ciò premesso, si ritiene che il modulo originariamente in uso presso l’amministrazione, che il dipendente doveva compilare per richiedere al medico competente un accertamento straordinario sulle proprie condizioni di salute, nella parte in cui presupponeva la necessaria presa visione del Direttore di Ripartizione, non fosse conforme al richiamato quadro normativo di settore comportando – indipendentemente dall’espressa indicazione della patologia da parte del lavoratore – che soggetti delegati allo svolgimento delle funzioni datoriali all’interno dell’amministrazione, venissero a conoscenza di dati personali relativi allo stato di salute, diversi e ulteriori rispetto a quelli consentiti dalla legge, essendo, pertanto, il trattamento dei dati personali dei lavoratori che hanno compilato detto modulo avvenuto in violazione degli artt. 5, 9, par. 2, lett. b), e 88 del Regolamento.

Stampa

Corso di perfezionamento in Metodologia CLIL: acquisisci i 60 CFU con Mnemosine, Ente accreditato Miur