Home  › Personale

Privacy, «no» al controllo indiscriminato su email e internet dei dipendenti

di Daniela Casciola

Q
E
L Esclusivo per Quotidiano Enti Locali & PA

Verifiche indiscriminate sulla posta elettronica e sulla navigazione nella rete del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori. Questa la decisione adottata dal Garante della privacy con il parere n. 5408460/2016che ha vietato a un'università il monitoraggio massivo delle attività in internet dei propri dipendenti.

La vicenda
Il caso nasce dalla denuncia del personale tecnico-amministrativo e docente che lamentava la violazione della propria privacy per il controllo a distanza posto in essere dall'Ateneo che aveva raccolto e conservato in modo «massivo» dati dei dipendenti per un periodo di 5 anni. Una platea che comprendeva i docenti, i ricercatori, il personale tecnico amministrativo e bibliotecario, gli studenti, i dottorandi, gli specializzandi e gli assegnisti di ricerca, ma anche professori a contratto e visiting professors.
L'istruttoria del Garante ha evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti. L'infrastruttura adottata dall'Ateneo consentiva inoltre la verifica costante e indiscriminata degli accessi degli utenti alla rete e all'email, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa». Tali software, infatti, non erano necessari per lo svolgimento dell'attività e operavano, peraltro, in background, con modalità non percepibili dall'utente.

La decisione
Nel provvedimento, il Garante ha denunciato la violazione non solo delle norme del Codice per la tutela dei dati personali ma dello stesso statuto dei lavoratori - anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l'adozione di specifiche garanzie per il lavoratore.
L'Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus. In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.
L'Autorità ha anche riscontrato che l'Università non aveva fornito agli utilizzatori della rete un'idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.
L'Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l'ulteriore uso, imponendo comunque la loro conservazione per consentirne l'eventuale acquisizione da parte della magistratura.


© RIPRODUZIONE RISERVATA