La protezione dei dati personali nell'ambito del rapporto di lavoro pubblico e privato

L’utilizzo dei servizi di comunicazione elettronica (internet, posta elettronica aziendale) – gia' oggetto, in termini generali, di specifiche linee guida del Garante (provv. 1° marzo 2007, linee guida per posta elettronica e internet, doc. web n. 1387522) – ha formato oggetto di verifica in relazione al trattamento posto in essere da un Ateneo italiano e avente ad oggetto file di log, MAC Address (Media Access Control Address), indirizzo IP nonchè altre informazioni relative all’accesso ai servizi internet, alla posta elettronica e alle connessioni di rete, da parte di una pluralita' di utenti (personale tecnico amministrativo, docenti, ricercatori e studenti). Tali informazioni, raccolte e conservate per un periodo di 5 anni, erano oggetto di ulteriori operazioni di trattamento per il tramite degli amministratori di sistema, quali, il monitoraggio e il filtraggio delle stesse. Contrariamente a quanto sostenuto dall’Ateneo, l’accertamento ha evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi IP e dei MAC Address (identificativo hardware) dei computer assegnati ai dipendenti o in uso agli altri utenti abilitati, consentendo di risalire, anche indirettamente, alla postazione corrispondente e, quindi, all’utente che vi operava (cfr., Gruppo Art. 29, parere n. 4/2007 – WP 136 sul concetto di dato personale; sul carattere di dato personale del MAC Address stante la relativa univocita', cfr. Gruppo Art. 29, parere n. 13/2011 – WP 185 sui servizi di geolocalizzazione su dispositivi mobili intelligenti, spec. p. 11).

All’esito dell’accertamento l’Autorita' ha dichiarato illecito il trattamento, con la conseguente inutilizzabilita' dei dati trattati in violazione di legge (art. 11, comma 2 del Codice) e disposto il divieto dell’ulteriore trattamento su base individuale dei dati personali, salva la conservazione di quelli necessari ai fini della eventuale acquisizione da parte dell’autorita' giudiziaria.

Il trattamento effettuato dall’Ateneo infatti è stato ritenuto in contrasto con i princìpi di necessita', pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. a) ed) del Codice) che non consentono controlli massivi, prolungati e indiscriminati, ma impongono di privilegiare soluzioni ispirate alla gradualita' del monitoraggio e alla residualita' di controlli. L’Ateneo non aveva poi reso la dovuta informativa in favore degli utilizzatori della rete, anche con riguardo alle effettive caratteristiche delle operazioni di trattamento effettuate (art. 13 del Codice), nè a tal fine è risultato idoneo il regolamento interno sull’utilizzo degli strumenti elettronici.

Il descritto sistema era stato inoltre configurato con funzionalita' tali da permettere operazioni di controllo dell’attivita' e dell’utilizzo dei servizi della rete effettuato da soggetti identificabili. Sotto questo profilo è stato accertato che il trattamento nei confronti dei dipendenti dell’Ateneo era effettuato in violazione anche della disciplina sull’impiego di apparecchiature idonee al controllo a distanza dell’attivita' dei lavoratori (art. 4, l. n. 300/1970 e art. 114 del Codice).

Sotto quest’ultimo profilo, il provvedimento del Garante ha rappresentato la prima occasione in cui l’Autorita' ha espresso il proprio orientamento sull’ambito di applicazione del comma 2 del citato art. 4 della l. n. 300/1970 quale risultante dalle modifiche intervenute per effetto dell’art. 23, d.lgs. n. 151/2015 (riforma del lavoro o Jobs act), mediante una possibile “perimetrazione” degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, in presenza dei quali vengono meno talune garanzie per gli interessati sul piano lavoristico (la procedura di “concertazione” sindacale o l’equivalente autorizzazione dell’organo pubblico di controllo).

Il Garante, infatti (con ciò muovendosi nel solco di quanto gia' tracciato, seppure in termini più generali, dal Ministero del lavoro delle politiche sociali, con nota 18 giugno 2015), ha precisato che – con riferimento agli strumenti oggetto del provvedimento, vale a dire servizio di posta elettronica e navigazione web – possono ritenersi ricompresi nella predetta nozione solo “servizi, software o applicativi stretta- mente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza”. A titolo esemplificativo, possono essere considerati “strumenti di lavoro” alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad es., sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cd. envelope del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio antivirus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).

Viceversa – ha concluso coerentemente il Garante- non possono considerarsi “strumenti di lavoro” nei termini anzidetti software che consentano, con modalita' indipendenti e non percepibili dall’utente (cd. in background) e senza alcun impatto o interferenza sulla normale attivita' dell’utilizzatore, costanti operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” degli accessi a internet o al servizio di posta elettronica (provv. 13 luglio 2016, n. 303, doc. web n. 5408460).

All’esito di un procedimento seguito alla proposizione di un reclamo, il Garante ha disposto il divieto dei trattamenti di dati personali dei dipendenti effettuato da una societa' attraverso il servizio di posta elettronica aziendale (sia in costanza del rapporto di lavoro che successivamente alla sua interruzione) e tramite l’utilizzo dei dispositivi Blackberry affidati in dotazione ai dipendenti.

In particolare, l’Autorita' ha ritenuto illecita la sistematica conservazione sul server aziendale dei dati esterni e dei contenuti delle comunicazioni elettroniche effettuate attraverso gli account di posta elettronica aziendali, peraltro per un periodo di tempo – dieci anni – ritenuto non conforme ai princìpi di necessita', pertinenza e non eccedenza in quanto non commisurato alle ordinarie necessita' di gestione dei servizi di posta elettronica ivi comprese quelle di sicurezza dei sistemi. Tali dati, gestiti anche da un soggetto terzo in assenza di idoneo criterio di legittimazione, erano accessibili alla societa' nell’ambito di una procedura di security investigation request. E' emerso che tale complessiva attivita' non era stata in alcun modo resa nota ai dipendenti, nè attraverso informative individualizzate nè tramite i documenti relativi alle politiche aziendali in materia di utilizzo degli strumenti informatici, in contrasto con l’obbligo per il datore di lavoro di fornire una previa informativa ai dipendenti su tutti i trattamenti effettuati, anche in base al principio di correttezza. Inoltre tale trattamento consentiva alla societa' di effettuare il controllo dell’attivita' dei dipendenti in violazione della disciplina di settore (cfr. artt. 11, comma 1, lett.a) e 114 del Codice nonchè art. 4, l. n. 300/1970). Tale disciplina, pure a seguito delle modifiche introdotte con il gia' citato articolo 23 del d.lgs. n. 151/2015, non consente l’effettuazione di attivita' idonee a realizzare (anche indirettamente) il controllo massivo, prolungato e indiscriminato dell’attivita' del lavoratore (v. linee guida per posta elettronica e internet, provv. 1° marzo 2007, n. 13, doc. web n. 1387522, spec. par. 4, 5.2. lett. b) e 6; si veda anche Consiglio di Europa, raccomandazione del 1° aprile 2015, CM/Rec(2015)5, spec. princ. 14). Inoltre, posto che la societa' permetteva – ragionevolmente – l’uso di e-mail a scopo privato, tali operazioni avrebbero consentito l’eventuale trattamento di dati “non rilevanti ai fini della valutazione dell’attitudine professionale” del dipendente nonchè di dati sensibili, in violazione dell’art. 8 dello Statuto dei lavoratori e 10 del d.lgs. n. 276/2003.

E' stata altresì ritenuta non conforme alle disposizioni in materia di protezione dei dati personali la procedura adottata dalla societa' consistente nel mantenere attive fino a sei mesi le caselle di posta elettronica aziendale dopo la cessazione del rapporto di lavoro. In base all’orientamento consolidato dell’Autorita', dopo la cessazione del rapporto gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di meccanismi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attivita' professionale del datore di lavoro (v. da ultimo provv. 30 luglio 2015, n. 456, doc. web n. 4298277).

Per quanto riguarda l’utilizzo dei dispositivi Blackberry è stata ritenuta illecita la possibilita' per la societa' di accedere da remoto ai contenuti (anche di natura privata) presenti nel dispositivo nonchè di raccogliere, conservare, comunicare a terzi e cancellare i dati. Ciò pur in presenza di un’informativa (che peraltro non menzionava la presenza di un’applicazione in grado di rilevare le soglie di consumo di ciascun utente), in quanto le descritte attivita' sono state ritenute non conformi ai princìpi di liceita' (anche con riferimento ai gia' menzionati artt. 4 e 8, l. n. 300/1970 richiamati dagli artt. 113 e 114 del Codice), necessita', pertinenza e non eccedenza.

Il Garante ha infine invitato la societa' ad adottare di regola – a seguito dell’interruzione del rapporto di lavoro o di trasferimento del dipendente – procedure che consentano a quest’ultimo di partecipare alla ricognizione e, se del caso, alla consegna di documenti o di oggetti collocati all’interno degli uffici, soprattutto in caso di assegnazione individuale di spazi e postazioni (provv. 22 dicembre 2016, n. 547, doc. web n. 5958296).

Fonte: Garante per la protezione dei dati personali - Relazione 2016