(di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia) Il Garante della protezione dei dati personali sanziona Il Comune di Bolzano per aver monitorato la navigazione internet dei lavoratori in modo indiscriminato.
La vicenda prende le mosse da un procedimento disciplinare a carico di un dipendente al quale veniva contestata la consultazione di Facebook e YouTube durante l’orario di lavoro.
L’Autorità, nel proprio provvedimento, sottolinea alcuni importanti elementi che riguardano non solo il trattamento dei dati, ma anche il modus operandi del Comune, prima e durante il procedimento ispettivo.
Il caso
Dagli accertamenti effettuati dal Garante a seguito del reclamo presentato da un dipendente al quale veniva contestato il collegamento “con il computer del Comune, per oltre 40 minuti a facebook e per oltre 3 ore a youtube, per seguire attività non istituzionali e che […] aveva consultato pagine Internet non inerenti il suo lavoro” è emersa un’attività di monitoraggio e filtraggio della navigazione internet dei dipendenti effettuata dal Comune.
I dati così raccolti venivano poi conservati per un mese e veniva creata apposita reportistica per finalità di sicurezza della rete.
L’analisi della vicenda e delle modalità concrete con le quali il Comune aveva realizzato questo monitoraggio, tra l’altro per un periodo di tempo piuttosto esteso (una decina d’anni circa), ha fatto emergere alcuni importanti aspetti.
1- Mancanza di un’adeguata informativa
Il trattamento effettuato dal Comune è avvenuto in assenza di un’adeguata e specifica informativa ai dipendenti in merito ai possibili controlli sugli accessi a Internet da parte del datore di lavoro.
il sistema adottato dal Comune per finalità di sicurezza della rete, nella configurazione originaria, consentiva operazioni di filtraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, la memorizzazione di tali dati e la loro conservazione, per trenta giorni, nonché l’estrazione di report, anche su base individuale.
Questo sistema ha consentito l’individuazione diretta del lavoratore e della sua postazione di lavoro e ha dato origine a una raccolta sistematica di dati relativi all’attività e all’utilizzo dei servizi di rete da parte di dipendenti direttamente identificabili.
Il Comune non aveva i fornito ai dipendenti alcuna specifica informativa relativa ai trattamenti dei dati personali né, in quelle rese disponibili, vi era alcun riferimento al trattamento dei dati personali relativi alla navigazione in Internet da parte degli stessi.
In altri documenti, messi a disposizione dell’Autorità e analizzati nel corso dell’istruttoria, era presente il riferimento alle operazioni di tracciamento delle connessioni a Internet, ma essendo i documenti redatti per assolvere a obblighi diversi, non contenevano tutti gli elementi informativi essenziali richiesti dall’art. 13 del Regolamento e non potevano pertanto sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, agli interessati.
2 – Principio di minimizzazione
In base al Regolamento, il trattamento deve essere “necessario” rispetto alla lecita finalità perseguita (art. 6, par. 1 del Regolamento) e avere ad oggetto i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento).
A tal riguardo il Garante sottolinea che l’ambito dei controlli (indiretti o preterintenzionali), sebbene effettuati nel rispetto delle normative di settore, non possono essere effettuati in via massiva e devono, in ogni caso, essere effettuati previo esperimento di misure meno limitative dei diritti dei lavoratori.
L’Autorità, rimarcando il labile confine esistente tra ambito lavorativo e professionale e quello strettamente privato, ribadisce inoltre la necessità di proteggere e garantire le aspettative di riservatezza del lavoratore sul luogo di lavoro anche nell’ipotesi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale anche attraverso dispositivi personali.
Nel caso analizzato, al contrario, è emerso che le modalità concrete con le quali erano effettuati i controlli non rispettavano i principi di necessità e proporzionalità, rispetto alla finalità di protezione e sicurezza della rete interna invocata dall’Ente.
Il sistema utilizzato dal Comune, infatti, “effettuando una raccolta sistematica dei dati di navigazione dei dipendenti comportava inevitabilmente il trattamento di informazioni anche estranee all’attività professionale, desumibili dagli URL visitati, e risultava, pertanto, in contrasto con il divieto per il datore di lavoro di trattare dati “non attinenti alla valutazione dell’attitudine professionale del lavoratore” e dunque con l’art. 113 del Codice, in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276” (così testualmente l’ordinanza del 13 maggio 2021).
L’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può, infatti, giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali, “non pertinenti” che ricadono nell’ambito di applicazione dell’art. 113 del Codice
3- Limitazione della finalità
Il Regolamento prevede, all’art. 5, che “i dati devono essere “raccolti per finalità determinate, esplicite legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”.
Nel caso analizzato dal Garante questo principio non è stato rispettato, posto che i dati relativi alla navigazione web dei dipendenti, originariamente raccolti e trattati in modo non proporzionato e non conforme alla disciplina in materia di protezione dei dati personali, , e senza un’adeguata informativa ai sensi dell’art. 13 del Regolamento, sono stati successivamente impiegati per contestare addebiti disciplinari.
Per l’Autorità prive di pregio si sono rivelate anche le indicazioni fornite dal Comune in merito all’archiviazione del procedimento disciplinare.
Quest’ultimo, infatti, non aveva comportato l’irrogazione di sanzioni in quanto i dati raccolti non erano attendibili, riportando anche una serie di siti (es. collegati a banner) che non erano stati necessariamente visitati dal lavoratore, senza possibilità di distinzione tra il sito effettivamente visitato e quelli a navigazione indiretta/involontaria.
La circostanza relativa alla scarsa qualità dei dati raccolti non rileva ai fini della valutazione del rispetto del Regolamento, in quanto i dati raccolti sono stati comunque oggetto di trattamento, in quanto utilizzati per avviare il predetto procedimento disciplinare.
L’autorità Garante, infine, rileva la mancanza di una valutazione d’impatto effettuata dal Comune e la inidoneità del nuovo accordo sindacale stipulato per il trattamento dei dati personali dei dipendenti.
Per le violazioni riscontrate e in considerazione dell’atteggiamento collaborativo e propositivo del Comune, la sanzione amministrativa irrogata è stata quantificata in 83.000 €.