Con newsletter del 22 giugno 2021, il Garante per la protezione dei dati personali ha emesso, in data 13 maggio 2021, un provvedimento sanzionatorio nei confronti del Comune di Bolzano, in esito al reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato.
Indipendentemente da specifici accordi sindacali, non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato: le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.
In questo caso, il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti.
Di fatto venivano raccolte anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato. La comprensibile esigenza del datore di lavoro di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.
Nel caso di specie, il Garante non ha ritenuto rilevante, al fine di escludere la responsabilità datoriale, il fatto che, data la scarsa qualità dei dati raccolti e la loro accertata inattendibilità, il procedimento disciplinare sia stato successivamente archiviato, posto che, in ogni caso, i dati relativi alla navigazione web del reclamante sono stati comunque utilizzati per avviare il predetto procedimento disciplinare e trattati nell’ambito dello stesso.
Il quadro normativo vigente consente al datore di lavoro di utilizzare, per ulteriori trattamenti necessari alla gestione del rapporto di lavoro, solo le informazioni raccolte nel rispetto delle condizioni e dei limiti previsti dall’art. 4, commi 1 o 2, della l. n. 300/70 e
della disciplina di protezione dati. Tali successive ed eventuali operazioni di trattamento presuppongono quindi la necessità di fornire agli interessati un’adeguata informativa sui trattamenti che il datore di lavoro si riserva di effettuare e l’opportuna configurazione dei sistemi in modo che siano poste in essere le sole operazioni necessarie e raccolti i soli dati pertinenti in relazione alla finalità principale per la quale i dati sono originariamente trattati.
Oltre alla sanzione di 84.000 euro per l’illecito trattamento dei dati del personale, al datore di lavoro è stato imposto di adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.