In un recente provvedimento (13 maggio 2021 – doc. web. N. 9669974) l’Autorità Garante ha sanzionato un Comune per aver implementato un sistema di controllo della navigazione in internet senza aver reso ai lavoratori una informativa ai sensi dell’articolo 13 del Regolamento UE 679/2016. Il caso affrontato dal Garante ha preso spunto da una sanzione disciplinare irrogata a un lavoratore pubblico che utilizzava il computer del Comune, per finalità non lavorative. In particolare, per aver consultato Facebook, Youtube e altre pagine web.
(Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy)
Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete.
Il trattamento sarebbe avvenuto in assenza di un’informativa ai dipendenti in merito ai possibili controlli sugli accessi ad Internet da parte del datore di lavoro. Infatti, nel corso delle verifiche era emerso che, sul sito web dell’Ente, non era presente alcuna specifica informativa relativa ai trattamenti dei dati personali dei dipendenti né, in quelle rese disponibili, vi era alcun riferimento al trattamento dei dati personali relativi alla navigazione in Internet da parte degli stessi.
Un riferimento alle operazioni di tracciamento delle connessioni ad Internet era invece presente in altri documenti messi a disposizione dei dipendenti, alcuni dei quali pubblicati nella intranet, quali, l’accordo sindacale, il codice di comportamento, alcune circolari interne dell’Ufficio del personale, nonché il modulo che ogni dipendente doveva firmare all’atto della richiesta per l’accesso ad Internet e agli altri servizi di rete.
Tali atti, che non contenevano tuttavia tutti gli elementi informativi essenziali richiesti dall’art. 13 del Regolamento, essendo stati redatti per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati, non possono quindi sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, agli interessati in merito alle caratteristiche essenziali dello stesso; ciò allo scopo di consentire all’interessato di esser pienamente consapevole della tipologia di operazioni di trattamento che potranno essere svolte anche attingendo, in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa (cfr., Sentenze della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 – Ricorso n. 61496/08 – Causa Barbulescu c. Romania, spec. par. n.133 e 140 e sentenza del 9 gennaio 2018- ricorso n. 1874/13 e 8567/13- Causa López Ribalda e altri v. Spagna, spec. par. n. 115).
Sul punto si evidenzia, altresì, che l’adempimento degli obblighi informativi nei confronti del dipendente (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce una specifica condizione per il lecito utilizzo di tutti i dati raccolti nel corso del rapporto di lavoro, attraverso strumenti tecnologici e/o strumenti di lavoro, per tutti i fini connessi al relativo rapporto, ivi compresi i rilievi disciplinari, unitamente al rispetto della disciplina in materia di protezione dei dati personali (v. art. 4, comma 3, l. 20 maggio 1970, n. 300).
Fonte: Avv. Marco Soffientini, Data Protection Officer di Federprivacy