Il Garante privacy sanziona sul monitoraggio di dipendenti sul posto di lavoro

Il Garante privacy ha recentemente comminato una sanzione di 84.000 euro al Comune di Bolzano per aver condotto attività di monitoraggio indiscriminato sui propri dipendenti.

Il Garante privacy ha recentemente comminato una sanzione al Comune di Bolzano per aver condotto attività di monitoraggio indiscriminato sui propri dipendenti. Nel provvedimento, il Garante attesta la violazione di numerose disposizioni del GDPR, con specifico riferimento all’articolo 5, comma 1, lettere a) e c) e agli articoli 6, 9, 13, 88 e 35 del GDPR.

La vicenda culminata nel provvedimento del Garante privacy muove i passi da un reclamo presentato all’autorità di controllo da un dipendente del Comune di Bolzano. Tale reclamo lamentava presunte violazioni della disciplina di protezione di dati personali con riguardo al trattamento di dati posti in essere dal Comune mediante il monitoraggio del traffico di rete e dei singoli accessi ad Internet effettuati dall’interessato e, in generale, dai dipendenti comunali. In particolare, il reclamante evidenziava che il Comune avrebbe trattato dati personali relativi alla sua navigazione Internet durante l’orario di lavoro. I dati racconti dal Comune sarebbero stati utilizzati per formulare rilievi disciplinari.

In tal senso, l’attività di trattamento condotta dal Comune si sarebbe sostanziata in violazione dei principi di liceità, correttezza e minimizzazione stabiliti dal GDPR. Inoltre, il trattamento sarebbe avvenuto in assenza di un’informativa ai dipendenti in merito ai possibili controlli sugli accessi ad Internet da parte del datore di lavoro, precisando che non può “a tal fine ritenersi esaustivo il contenuto dell’accordo sindacale del 25.10.2010 ove non è assolutamente indicato alcun limite con riferimento alla navigazione in internet né in che misura sia consentito utilizzare la rete per ragioni personali e in quali casi possa scattare controllo; non risulta poi alcuna informazione riguardo al trattamento dei dati acquisiti, al soggetto responsabile di siffatto trattamento e alla sua finalità” (cfr. p. 7 reclamo).

Il reclamante ha, quindi, chiesto al Garante di “verificare la liceità dei trattamenti” di dati posti in essere dal Comune, “di dichiarare illecito il trattamento che risulti violare la normativa e i principi in materia di protezione dei dati perianali, oltre che l’art., 4 l. 300/1970”, “dichiarare l’inutilizzabilità delle informazioni reperite in violazione di legge e disporre il divieto dell’ulteriore trattamento e conservazione dei dati” e di “disporre la trasmissione degli atti all’autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili” (cfr. p. 10 reclamo).

All’esito delle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal titolare del trattamento, nonché dalle successive valutazioni, il Garante ha  accertato la non conformità di taluni trattamenti aventi ad oggetto dati personali dei dipendenti condotti dal Comune. In particolare, l’attività istruttoria dell’autorità di controllo ha evidenziato come il Comune abbia utilizzato, per un arco temporale di dieci anni, un sistema di monitoraggio e filtraggio del traffico di navigazione dei dipendenti capace di memorizzare i dati dei dipendenti per un mese e creare report per finalità di sicurezza di rete. Il sistema in uso, dunque, garantiva all’ente la possibilità di effettuare raccolte preventive e indiscriminate di dati di traffico. Sebbene il datore di lavoro avesse stipulato uno specifico accordo con i sindacati, come richiesto dalla normativa di settore, il Garante ha sottolineato che tale trattamento dei dati deve anche rispettare i principi di protezione dei dati stabiliti dal GDPR.

Con riferimento agli obblighi informativi in capo al titolare del trattamento, il Garante ha ritenuto che il Comune non abbia informato adeguatamente i dipendenti circa il sistema di monitoraggio adottato. Inoltre, l’attività di monitoraggio condotta dal Comune comportava il trattamento di una portata di dati personali dei dipendenti sproporzionata alle finalità perseguite e non strettamente inerente al rapporto lavorativo in essere. In tal senso, il Garante sostiene che la necessità di tutelare l’integrità delle reti aziendali non può determinare la totale obliterazione di qualsivoglia aspettativa di privacy da parte del dipendente sul posto di lavoro, anche qualora il dipendente utilizzi i servizi di rete messi a disposizione dal datore di lavoro. Il Garante ha, inoltre, evidenziato che il Comune di Bolzano non ha effettuato una valutazione d’impatto sulla protezione dei dati, come richiesto dall’articolo 35 del GDPR.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento consistente nella raccolta sistematica e preventiva dei dati personali riferiti alla navigazione in internet ha interessato tutti i dipendenti del Comune (circa mille) e che, in taluni casi, alcuni dati sono stati utilizzati per consultazioni specifiche mediante estrazione di report di dettaglio della navigazione web dei dipendenti, in violazione dei principi generali del trattamento e delle disposizioni nazionali di settore che tutelano specificamente la dignità degli interessati nei luoghi di lavoro (art. 88 del Regolamento, nonché artt. 113 e 114 del Codice). È stata altresì considerato l’ampio arco temporale del trattamento, intrapreso fin dal 2000. Inoltre, il Garante ha riscontrato violazioni per quanto riguarda il trattamento dei dati sanitari dei dipendenti: il modulo da compilare per le richieste mediche particolari prevedeva l’esame da parte del responsabile del reparto, con conseguente trattamento illecito dei dati sanitari.

Per tutti questi motivi e con il potere conferito dagli articoli 58, paragrafo 2, lettera i) e 83 GDPR, il Garante privacy ha emesso nei confronti del Comune di Bolzano una sanzione di € 84.000 per monitoraggio indiscriminato dei dipendenti in violazione degli articoli 5, comma 1, lettere a) e c) nonché gli articoli 6, 9,13, 88, e 35 GDPR. Il Garante ha inoltre ordinato al Comune di adottare misure tecniche e organizzative per rendere anonimi i dati relativi alle postazioni di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati e aggiornare le procedure interne incluse nell’accordo sindacale.

Su un simile argomento può essere interessante l’articolo: “Sanzionata dall’autorità privacy olandese una società per uso illecito dei dati biometrici dei propri dipendenti”.