Garante privacy: no al controllo (indiscriminato) della navigazione internet dei lavoratori
Il Garante per la protezione dei dati personali ha sanzionato pesantemente (ben 84.000 €) un datore di lavoro avendo rilevato l’illiceità della condotta messa in atto nei confronti dei dipendenti sul controllo dei tempi di navigazione in internet e dei siti visitati.
Il Garante ha stabilito che non è possibile monitorare la navigazione Internet dei lavoratori in modo indiscriminato e che, indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy. Il provvedimento è maturato dopo il reclamo di un dipendente che aveva scoperto di essere stato costantemente controllato da parte del datore di lavoro. Il dipendente aveva lamentato le modalità del trattamento dati posto in essere dal datore mediante il monitoraggio del traffico di rete e dei singoli accessi a Internet.
Dagli accertamenti svolti dal Garante è emerso che il sistema di controllo e filtraggio della navigazione web dei dipendenti era in uso da dieci anni, prevedendo la conservazione dei dati per un mese e la creazione di apposita reportistica associata a ciascun dipendente. Anche se il datore aveva stipulato all’epoca un accordo con le organizzazioni sindacali, come richiesto dalla legge, il trattamento di dati avrebbe dovuto comunque rispettare anche i principi di protezione previsti dal successivo GDPR.
Secondo l’Autority, invece, il sistema era stato implementato senza che i dipendenti fossero stati adeguatamente informati: esso consentiva operazioni di trattamento non necessarie e sproporzionate rispetto alle finalità di protezione e sicurezza della rete interna. Il sistema raccoglieva anche informazioni estranee all’attività professionale, riconducibili alla vita privata degli interessati.
Nel provvedimento (cfr. 190 del 13 maggio 2021) l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro.
Oltre alla sanzione per l’illecito trattamento il datore di lavoro dovrà adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.
Diventa molto importante per verificare la liceità della condotta aziendale adottare quantomeno le seguenti misure:
- valutare il rispetto della privacy di qualsiasi misura e prassi interna
- predisporre una specifica policy che deve essere portata a conoscenza di tutti
- in caso modificare le informative specifiche integrando le autorizzazioni dei dipendenti ai trattamenti dati che li riguardano
Per maggiori informazioni rivolgersi a: sicurezza@ergonstp.it oppure telefonare a 040-3783211