Quando le email rischiano di diventare strumento di controllo del lavoratore. Interviene il Garante

Stampa

E’ stata lamentata da parte del personale di una importante Università la violazione della disciplina in materia di protezione dei dati personali con riguardo, tra l’altro, all’asserito controllo posto in essere dal datore di lavoro in ordine all’utilizzo di sistemi di comunicazione elettronica e di videosorveglianza.

Dalle verifiche effettuate da parte del Garante per la protezione dei dati personali, è emerso che  l’Ateneo in questione effettuava operazioni che consistevano nella raccolta e conservazione, per un periodo di 5 anni (successivamente ha dichiarato di voler ridurre tale tempo di conservazione a 12 mesi), dei file di log relativi al traffico internet contenenti, tra gli altri, il MAC Address (Media Access Control Address), l’indirizzo IP nonché informazioni relative all’accesso ai servizi internet, all’utilizzo della posta elettronica e alle connessioni di rete Tramite il personale tecnico del “Settore competente” sarebbe  stata effettuata attività di “controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni” L’istruttoria del Garante ha  evidenziato che ” i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi I p (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti .




L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore”.

E con provvedimento del 13 luglio 2016 e reso noto in questi giorni di settembre, l’Autorità ha reso noto che ” In tale nozione, infatti – e con riferimento agli strumenti oggetto del presente provvedimento, vale a dire servizio di posta elettronica e navigazione web – è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza. Da questo punto di vista e a titolo esemplificativo, possono essere considerati “strumenti di lavoro” alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet.

Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).

Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale, invece, non possono normalmente consentire controlli sull’attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla disciplina di cui all’art. 4 Stat. lav. (ad es.  sistemi di protezione perimetrale – firewall – in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni – IPS/IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne).”

Stampa

Il nuovo programma di supporto gratuito Trinity per docenti di lingua inglese