Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro: nuovo provvedimento del Garante

Facebook
Twitter
LinkedIn
computer privacy Il Garante della Privacy ha emesso un nuovo provvedimento su un tema molto dibattuto, il monitoraggio degli accessi internet dei dipendenti e il controllo della posta elettronica.

Con il provvedimento n. 303 del 2016, ripreso nella newsletter dello scorso 15 settembre, il Garante ha ribadito che verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Il Garante è tornato quindi su un argomento più volte trattato, che riguarda  i controlli effettuati da un ente (un’Università, in questo caso) sugli accessi internet degli utenti che utilizzano le sue risorse aziendali.

Dalla lettura del testo del provvedimento, emergono diversi aspetti su cui riflettere:

1)    Tracciare le attività dei dispositivi di proprietà di un utente o che gli sono stati assegnati per attività lavorative, identificando il MAC address degli stessi, equivale ad effettuare un trattamento di dati personali. E’ abbastanza evidente, poiché il concetto di dato personale (sia nel Codice dalla Privacy italiano che nel Regolamento europeo) fa riferimento ad informazioni che possono anche indirettamente essere ricondotte ad un individuo. Di conseguenza, tutte le informazioni riconducibili ad una postazione di lavoro assegnata a un utente (nel caso trattato dal Garante “la presenza di eventuali postazioni condivise fra più persone è da considerarsi circostanza residuale”) sono da considerarsi quindi dati personali: questo comporta una serie di adempimenti, fra cui l’informativa relativa al trattamento dei dati da fornire agli utenti.

2)    L’esistenza di un regolamento di utilizzo delle risorse informatiche non può sostituire l’informativa, “… in quanto non reca gli elementi essenziali richiesti dalla legge per l’informativa da rendere agli interessati, né è idoneo a renderli edotti in modo esaustivo in merito alle operazioni di trattamento effettuate”.

3)    Le attività svolte dal personale tecnico dell’ateneo sono un insieme di azioni proattive (“controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale”) idonee a consentire un controllo dell’attività e dell’utilizzo dei servizi individualmente effettuato da soggetti identificabili. Questo aspetto porta il trattamento nello spinoso contesto del controllo a distanza dei lavoratori, per cui sussistono precise prescrizioni nello Statuto dei Lavoratori.

4)    Dopo il Jobs Act, lo Statuto dei Lavoratori consente espressamente la possibilità di impiegare ai fini dello svolgimento di controlli aziendali per esigenze organizzative e produttive, entro determinati limiti, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa“. In questa categoria possono rientrare sia le postazioni di lavoro sia i sistemi di sicurezza aziendali, tra cui anche i sistemi di filtraggio dei contenuti. Altri dispositivi specificamente utilizzati per il controllo e la registrazione della navigazione non rientrano nella categoria prevista dallo Statuto dei Lavoratori, per cui il trattamento di dati personali effettuato attraverso tali strumenti non è lecito.

5)    La memorizzazione dei dati inerenti al MAC Address e dei dati relativi alla connessione ai servizi di rete in modo massivo ed anelastico (essendo in questo contesto considerati dati personali) non risulta strettamente necessaria per la generica finalità di protezione e sicurezza, oltre che per astratte finalità derivanti da possibili indagini giudiziarie, dando luogo ad un trattamento di dati eccedente rispetto agli scopi dichiarati (nel caso trattato, tali dati venivano memorizzati per 5 anni).

Si tratta dunque di un provvedimento che analizza molti aspetti sia di carattere tecnologico che organizzativo e che evidenzia ancora una volta come il controllo della rete aziendale costituisca un ambito molto delicato e spinoso, dove l’utilizzo degli strumenti e il trattamento dei dati può considerarsi lecito o meno a seconda del contesto e delle scelte organizzative.

La linea di demarcazione che distingue il lecito dall’illecito è molto sottile e spesso sono le sfumature che fanno la differenza.

Ricordiamo che SI.net offre ad aziende ed enti pubblici una vasta gamma di servizi dedicati alla protezione dei dati e alla sicurezza informatica, curando sia gli aspetti tecnologici sia organizzativi. Per maggiori informazioni, è possibile visitare la pagina del sito dedicata e contattarci, senza impegno, per la richiesta di soluzioni personalizzate.

A questo link è possibile leggere il provvedimento del Garante n. 303 del 2016.
____________________________________________________

Per informazioni sui servizi offerti da SI.net per accompagnarti nelle continue sfide legate all’innovazione tecnologica, scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter e su Facebook.

 

 

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

 

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva