Un articolato pronunciamento del Garante per la protezione dei dati personali (ordinanza-ingiunzione contro il Comune di Bolzano del 13.05.2021) conferma che le attività di monitoraggio e di controllo delle attività dei dipendenti, con specifico riferimento alla navigazione sul web con gli strumenti aziendali, è sempre e comunque soggetta ad un rigoroso e puntuale rispetto dei principi normativi e regolamentari dettati dal Regolamento privacy e dall’art. 4 dello Statuto dei Lavoratori.
Il monitoraggio della navigazione internet dei dipendenti, pur anche quando si tratti di strumenti messi a disposizione dal datore di lavoro, deve essere infatti sempre improntato all’osservanza dei principi di liceità, correttezza e trasparenza e quindi il titolare del trattamento “è, comunque, tenuto a rispettare i principi in materia di protezione dei dati (art. 5 del Regolamento) ed è responsabile dell’attuazione delle misure tecniche e organizzative adeguate a garantire e essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento”.
Innanzitutto e nel rispetto del principio di liceità, correttezza e trasparenza, il datore di lavoro deve fornire agli interessati adeguata informativa “in forma concisa, trasparente, intelligibile e facilmente accessibile”.
Il titolare del trattamento, inoltre, deve rispettare il principio di minimizzazione dei dati non attinenti all’attività lavorativa e della loro raccolta, nel senso che “il trattamento deve essere “necessario” rispetto alla lecita finalità perseguita e avere ad oggetto i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Il Garante sottolinea, ancora, come “i trattamenti di dati personali che possono essere lecitamente effettuati dal datore di lavoro, debbano essere comunque non massivi, graduali e ammissibili solo previo esperimento di misure meno limitative dei diritti lavoratori”, con ciò evidenziando che anche nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale anche attraverso dispositivi personali, posto che “la linea di confine tra ambito l’lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto, non può essere prefigurato l’annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro”.
Pertanto, l’esigenza del datore di lavoro di ridurre o di evitare l’uso improprio della navigazione in Internet da parte dei dipendenti (visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta mediante “la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali, “non pertinenti”.
Nel caso specifico è stato contestato al Comune di Bolzano che nemmeno le nuove procedure adottate, per quanto trasfuse in un accordo sindacale e per quanto finalizzate alla minimizzazione dei dati, sono state sufficienti a rendere proporzionato il trattamento poiché “consentono ancora all’amministrazione la raccolta dei dati di navigazione individualmente effettuata e l’associazione fra questi dati e l’interessato” e poiché non viene garantita, come richiesto in aderenza alla normativa di riferimento e nel rispetto della protezione dei dati, “un’adeguata separazione fra i dati di navigazione in Internet e le identità dei dipendenti”.
Secondo il Garante, infine, non è una misura sufficiente il richiamo del datore di lavoro, contenuto nell’accordo sindacale, al corretto utilizzo degli strumenti di rete da parte dei propri dipendenti ed al divieto espresso di utilizzo degli strumenti informatici per fini personali.
Per qualsiasi ulteriore approfondimento Margiotta & Partners è a disposizione inviando una mail a segreteria@margiottalegal.it.