EntiOnLine
Categorie
indietro
31/12/2015 I controlli sull'utilizzo di posta elettronica aziendale e di internet
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

La protezione dei dati personali nel rapporto di lavoro pubblico e privato

L’utilizzo dei sistemi di comunicazione elettronica (ad es., la posta elettronica aziendale) e internet, – gia' oggetto, in termini generali, del provv. 1° marzo 2007, n. 13, Linee guida per posta elettronica e internet, doc. web n. 1387522 –, è stato esaminato, in particolare con riguardo al trattamento dei dati personali riferiti alla navigazione internet dei dipendenti, a seguito di accertamenti ispettivi effettuati presso una societa' operante nel settore dei servizi di comunicazione e promozione commerciale. All’esito dell’accertamento l’Autorita' ha dichiarato illecito il trattamento effettuato in violazione degli artt. 11, comma 1, lett. a), 13, 114 del Codice, nonchè dell’art. 4, l. n. 300/1970, nel testo originario, con la conseguente inutilizzabilita' dei dati trattati in violazione di legge, ai sensi dell’art. 11, comma 2, del Codice e disposto il divieto dell’ulteriore trattamento su base individuale dei dati personali riferiti alla navigazione internet dei dipendenti, con conservazione di quelli comunque trattati ai fini della eventuale acquisizione da parte dell’autorita' giudiziaria (5 febbraio 2015, n. 65, doc. web n. 3813428).

Oltre, infatti, all’assenza di un’informativa completa circa le effettive caratteristiche del sistema, nonchè di una policy volta a disciplinare in modo puntuale l’utilizzo degli strumenti elettronici affidati in dotazione ai lavoratori, il sistema era stato configurato con funzionalita' tali da permettere la memorizzazione sistematica dell’indirizzo di dettaglio delle singole pagine web (cd. url) richieste e visitate dagli utenti (dipendenti e collaboratori della societa'), consentendo un controllo della navigazione web individualmente effettuata da soggetti identificabili. Il sistema consentiva, ad es., di generare report su base individuale per il tramite dell’amministratore di sistema e di estrapolare i dati di dettaglio relativi alla risorsa internet visitata (url), all’IP sorgente e all’orario di connessione, in presenza di un collegamento univoco tra i dati relativi alla connessione e la persona utilizzatrice, consentendo, quindi, di ricostruirne l’attivita' (cfr., par. 4 Linee guida cit.; nonchè, provv. 21 luglio 2011, n. 308, doc. web n. 1829641, confermata da Trib. Roma, sez. I, 21 marzo 2013 n. 4766; cfr. anche provv.ti 2 aprile 2009, doc. web n. 1606053 e 1° aprile 2010 doc. web n. 1717799).

Nel solco di un orientamento gia' espresso con le citate Linee guida per posta elettronica e internet, l’Autorita' ha ribadito che il datore di lavoro, in occasione della effettuazione di controlli sul corretto utilizzo di strumenti forniti in dotazione ai dipendenti nell’ambito del rapporto di lavoro, deve in ogni caso salvaguardare la liberta' e la dignita' dei lavoratori. Inoltre, conformemente ai princìpi di liceita' e correttezza, deve fornire un’informativa chiara e dettagliata in ordine alle consentite modalita' di utilizzo degli strumenti aziendali e l’indicazione puntuale delle tipologie di eventuali controlli che possono essere effettuati anche su base individuale. E' stato, pertanto, ritenuto illecito, e conseguentemente vietato, il trattamento effettuato da una societa' mediante la raccolta e la successiva produzione in giudizio di alcune e-mail (con indicazione sia dei dati cd. esterni che del loro contenuto) scambiate tra determinati dipendenti e tra questi e terze persone, senza aver previamente adottato un disciplinare o strumento analogo sull’utilizzo della posta elettronica aziendale e senza aver fornito una specifica informativa ai dipendenti. Il Garante ha, altresì, ritenuto che la societa', nel trattare per finalita' ulteriori – effettuazione di controlli per dichiarati scopi di tutela del patrimonio aziendale – dati raccolti al diverso fine di consentire la continuita' e l’efficienza dei sistemi aziendali, abbia violato il principio di finalita' dei trattamenti effettuati (v. art. 11, comma 1, lett. b), del Codice).

In conformita' ai princìpi in materia di protezione dei dati personali, in caso di cessazione del rapporto di lavoro gli account riconducibili a persone identificate o identificabili devono essere disattivati, adottando contestualmente sistemi automatici volti ad informare i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attivita' professionale del titolare del trattamento. Non è invece conforme ai suesposti princìpi reindirizzare automaticamente su indirizzi di posta elettronica aziendale i messaggi in transito su account attribuiti ad ex dipendenti (provv. 30 luglio 2015, n. 456, doc. web n. 4298277).

Fonte: Garante per la protezione dei dati personali - Relazione 2015

Banca dati