Nella newsletter del 22 settembre 2009 del Garante della Privacy è richiamato un interessante parere su un caso di monitoraggio di accessi internet effettuati da un dipendente. |
Nel caso analizzato dal Garante, il Signor XY ha segnalato un illecito trattamento di dati personali da parte dell’azienda per cui lavorava, la quale avrebbe monitorato nel dettaglio i suoi accessi a Internet per circa 9 mesi. Da questo monitoraggio sarebbero poi scaturite delle contestazioni disciplinari per “l’indebito utilizzo dello strumento elettronico assegnatogli in dotazione per lo svolgimento dell’attività lavorativa”, seguite dal suo licenziamento un mese dopo la fine del periodo di monitoraggio.
Nel parere si evidenziano le seguenti rilevazioni:
– l’attività di monitoraggio era stata avviata solo a seguito di disservizi provocati dal reclamante nell’utilizzo della rete Internet, riconducibili ad un’“eccessiva attività di scarico dati effettuata dalla postazione” del signor XY e si è protratta in maniera continuativa per 9 mesi;
– all’utente erano state fornite specifiche istruzioni circa l’utilizzo della postazione di lavoro tramite un regolamento aziendale per la sicurezza e l’utilizzo delle risorse informatiche, il quale recitava che “è assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa”;
– l’utente era stato preventivamente informato circa i controlli che sarebbero stati effettuati sulla sua postazione individuale in ordine agli accessi effettuati alla rete;
– il sistema di web-proxy era stato “appositamente installato e configurato dal responsabile del CED al fine di monitorare le attività svolte dal sig XY”;
– nessuna attività di monitoraggio era stata effettuata in passato nei confronti di dipendenti diversi dal signor XY e il monitoraggio era stato effettuato in deroga alla normale prassi aziendale;
– i dati monitorati dal software (il proxy SQUID) venivano poi rielaborati quotidianamente da un altro software in grado di generare una reportistica facilmente leggibile (cioè veniva effettuato un ulteriore trattamento oltre al “semplice” monitoraggio);
– la società aveva rilevato l’impossibilità di adottare strumenti di content filtering, soluzione sperimentata ma non ritenuta praticabile;
– dopo la segnalazione, il software utilizzato non è stato più impiegato per registrare i log di navigazione web (ma non dismesso).
A seguito di queste considerazioni, il Garante ha osservato che l’utilizzo di funzionalità appositamente configurate per il tracciamento sistematico e continuativo degli accessi ad internet costituisce una violazione dello Statuto dei lavoratori (L. 300/1970), la quale vieta l’impiego di apparecchiature per finalità di controllo a distanza dell’attività lavorativa. Illiceità ribadita anche dal punto 4 delle Linee guida del Garante su posta elettronica e internet del 2007, che sottolineano che “non può ritenersi consentito il trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire – a volte anche minuziosamente – l’attività di lavoratori”. Lo stesso articolo continua dicendo che “Il trattamento dei dati che ne consegue è illecito, a prescindere dall’illiceità dell’installazione stessa. Ciò, anche quando i singoli lavoratori ne siano consapevoli”. Inoltre, poiché il monitoraggio compiuto dall’azienda era stato prolungato e costante, sono stati violati anche i principi di pertinenza e non eccedenza del trattamento
In conseguenza delle osservazioni espresse, il Garante ha disposto i seguenti provvedimenti:
– divieto alla Ditta di utilizzare i dati personali rilevati con il monitoraggio internet relativi al signor XY;
– trasmissione del provvedimento all’autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.
In breve, su questo caso si possono fare le seguenti considerazioni:
– la redazione di un disciplinare di utilizzo delle risorse informatiche è una prassi consigliata dallo stesso Garante per illustrare ai dipendenti limiti e possibili divieti di impiego delle risorse informatiche. E’ una tutela per l’azienda in caso di utilizzi illeciti da parte dei dipendenti;
– l’esistenza del disciplinare non autorizza comunque l’azienda a intraprendere azioni che vanno contro le linee guida del Garante su posta elettronica e internet (le quali, per inciso, vietano in prima battuta la registrazione non anonima delle navigazioni internet. Ci si può arrivare ma per step successivi);
– non importa se il dipendente viene preventivamente avvisato – il monitoraggio prolungato e costante è comunque illegale;
– come ricordato dal Garante nel provvedimento su posta elettronica e internet, i dati rilevati sono potenzialmente sensibili, poiché dalla navigazione su internet si potrebbero trarre indicazioni sulle preferenze sessuali del dipendente, sulle convinzioni politiche o religiose, su adesioni a sindacati ecc ecc.
– avendo una provenienza illecita, i dati personali ricavati dal monitoraggio non possono essere utilizzati. Ne deriva che, se da questi dati scaturisce un qualsiasi intervento, tale intervento non si poggia su fondamenti leciti;
– il Garante si limita a rilevare la violazione da parte dell’azienda dello Statuto dei Lavoratori e l’illiceità del trattamento effettuato di dati personali. E’ successivamente lasciata all’autorità giudiziaria la valutazione di eventuali illeciti penali derivanti da tali atteggiamenti…
Per altre questioni riguardanti la protezione dei dati personali è possibile consultare il nostro forum sull’argomento o scrivere a
formazione@blog.sinetinformatica.it