Illecito trattamento dei dati personali dei dipendenti

Con provvedimento del 5 febbraio 2015 (Doc-Web: 3813428) il Garante è nuovamente tornato sul tema del trattamento dei dati personali dei dipendenti, dichiarando illecito il trattamento operato dal datore di lavoro, con una pronuncia che non si può certo definire sorprendente e che si colloca in scia rispetto alle precedenti rese in materia.

La decisione

Il caso riguarda un lavoratore, il quale, a seguito di licenziamento, adiva l’Autorità lamentando che il datore di lavoro fosse incorso in illecito trattamento dei dati personali dei dipendenti operando abusivamente un “monitoraggio” del traffico in rete (con il conteggio del tempo trascorso e l’analisi dei siti visitati) nonché delle attività svolte sui programmi di scrittura (ad esempio, delle azioni svolte sul pc e dei file salvati sul pc) e sul contenuto dei messaggi di posta elettronica ricevuti e inviati dall’account personale.

Dagli accertamenti effettuati dall’Autorità non emergevano tutti i profili di illiceità evidenziati e la pronuncia, pertanto,  si focalizza solo sul monitoraggio del traffico internet.

Dal provvedimento si evince che la società datrice di lavoro a seguito di attacchi alla rete da parte di hacker stranieri, avrebbe installato un sistema di proxy al fine di monitore e tener traccia per 24 ore di tutto il traffico entrante e uscente dalla rete aziendale, con esclusivo riferimento all’attività delle singole macchine, dando notizia di ciò ai dipendenti.

Ad avviso dell’Autorità il monitoraggio del traffico in rete effettuato presenterebbe diverse criticità:

• illecito trattamento dei dati personali dei dipendenti per profili di violazione di legge:

il sistema appariva configurato in modo da permettere la memorizzazione sistematica dell’indirizzo di dettaglio delle singole pagine web (c.d. URL) richieste e visitate dagli utenti (dipendenti e collaboratori della società), ed era idoneo a consentire un controllo della navigazione web individualmente effettuata da soggetti identificabili.

In particolare “la specifica e accertata funzionalità del sistema, configurata in modo da consentire la registrazione, con una significativa profondità temporale, dei dati relativi alla navigazione web effettuata dalla singola macchina (IP) e quindi dal lavoratore cui la stessa è stata attribuita in via esclusiva”, consentiva  “agevolmente (…) di estrapolare i dati di dettaglio relativi a <URL visitata, IP sorgente e orario di connessione>”

Le stesse contestazioni mosse al lavoratore ricorrente dimostravano come il datore di lavoro avesse la possibilità di risalire in ogni momento all’identità dell’utilizzatore della singola macchina.

Il trattamento dei dati personali dei dipendenti operato si attestava, pertanto, in contrasto con il principio di liceità per “violazione della rilevante disciplina di settore che vieta l’impiego di apparecchiature idonee al controllo a distanza dell’attività dei lavoratori (artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, l. 20 maggio 1970, n. 300). Tra queste sono ricomprese anche le strumentazioni hardware e software che, se configurate in modo da trattare dati di dettaglio in ordine alla risorsa internet visitata (URL) ed in presenza di un collegamento univoco tra i dati relativi alla connessione e la persona utilizzatrice, consentono di ricostruirne l’attività”

• illecito trattamento dei dati personali dei dipendenti per violazione delle “Linee guida per posta elettronica e internet”

Secondo l’Autorità la condotta datoriale in ordine al trattamento dei dati personali dei dipendenti si discosterebbe anche dalle indicazioni fornite dal Garante nelle Linee guida per posta elettronica e internet,  adottate con provvedimento “confermato da Trib. Roma, sez. I., 10 dicembre 2012, n. 12826”.

Il Garante, infatti,  ha osservato che il trattamento in esame era stato posto in essere in assenza di un’informativa completa circa le effettive caratteristiche del sistema ai sensi dell’art. 13 del Codice Privacy, nonché di una policy volta a disciplinare in modo puntuale l’utilizzo degli strumenti elettronici affidati in dotazione ai lavoratori ed in particolare con riguardo alla navigazione web degli stessi.

L’Autorità non ha ritenuto a tal fine esaustiva la comunicazione ai dipendenti operata dal datore, dato che essa “non recava gli elementi essenziali del trattamento, né informava in merito all’eventualità di controlli anche su base individuale volti a verificare il corretto uso degli strumenti di lavoro e alle modalità degli stessi, limitandosi a specificare che il sistema fosse idoneo a tracciare la navigazione effettuata dalle <singole macchine>”.

Il Garante, pertanto, ha dichiarato illecito il trattamento operato dal Titolare in violazione degli artt. 11, comma 1, lett. a), 13, 114 del Codice nonché dell’art. 4 l. n. 300/1970 con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensi dell’art. 11, comma 2 del Codice.

L’illecito trattamento dei dati personali dei dipendenti tra controlli a distanza e privacy 

Nonostante, come si è anticipato in incipit, il provvedimento reso non sorprenda, si impone qualche riflessione.

Il trattamento dei dati personali dei dipendenti operato dal datore di lavoro è stato valutato dal Garante in contrasto con l’articolo 4 dello Statuto dei Lavoratori, che vieta l’impiego di apparecchiature idonee al controllo a distanza dell’attività dei lavoratori. L’articolo in esame, è bene ricordarlo, si compone di due commi: il primo comma pone un divieto assoluto e insuperabile; il secondo, invece, introduce limitate deroghe, in presenza di determinati presupposti e adempimenti.

La difesa datoriale lascia intuire una blanda eco di controlli posti in essere a scopo difensivo. Tuttavia il Garante non pare minimamente considerare una simile scriminante, che apparirebbe comunque sanzionabile: le esigenze difensive del datore di lavoro, infatti, non sono sufficientemente controbilanciate dalla necessità di informare compiutamente i dipendenti dei trattamenti operati e il Garante sottolinea che le informazioni rese si limitavano a dare atto che era possibile tracciare la navigazione delle singole macchine (non veniva quindi adeguatamente rivelata la possibilità di ricostruire l’attività dei singoli dipendenti/ collaboratori).

Nè era stato adottato un regolamento informatico che definisse con precisione le modalità e i limiti dell’utilizzo della strumentazione informatica, quantomeno in riferimento alla navigazione web.

La pronuncia è tuttavia interessante perché pare collocarsi nel nodo centrale da cui si diramano le maggiori problematiche in ordine al trattamento dei dati personali dei dipendenti riferite al tema del controllo a distanza dei lavoratori dal punto di vista della prassi aziendale.

Nodo ancora non sciolto neppure dall’annuncio contenuto nel Jobs Act -lettera f) comma 7 dell’articolo 1 del c.d. Jobs Act (L. 183/2014)- in ordine alla revisione dei controlli a distanza (che avrebbe potuto fornire l’occasione anche per chiarire la portata dei controlli difensivi), poiché lo slancio del legislatore non ha ancora trovato attuazione nel Decreto Ministeriale che avrebbe dovuto tradurlo nell’ordinamento – e che, in ogni caso, ormai non dovrebbe ignorare raccomandazione CM/Rec (2015) 5 del Consiglio d’Europa del 1 aprile 2015, adottata proprio in ordine al trattamento dei dati personali nel contesto del rapporto di lavoro, con particolare attenzione per gli aspetti derivanti dalla tecnologia.

Il quadro normativo, pertanto, ad oggi è immutato e non sempre facile da interpretare soprattutto quando emergano aspetti patologici.

Infatti, sul terreno presidiato dalla pronuncia si incrociano il tema del controllo a distanza e quello dei controlli difensivi e vi convergono frammenti di fattispecie e decisioni che appartengono a diverse giurisdizioni; si tratta di tematiche che affiorano in processi penali in riferimento all’utilizzabilità della prova per condotte delittuose ascritte al lavoratore, o in processi contro il datore (perché il divieto di controllo a distanza è assistito da sanzione penale); lambiscono i processi civili in tema di licenziamento dei lavoratori e, infine, sotto il profilo amministrativo, sono attratte anche nell’orbita di competenza del Garante per la Protezione dei Dati Personali (oltre che in quella delle DTL).

Il quadro giurisprudenziale è molto variegato, e, per orientarsi nella pratica,  occorre sempre valutare le pronunce nella giusta prospettiva e con riferimento sia al bene oggetto di tutela, sia alla fattispecie concretamente decisa sia al filone nel quale si colloca.

Se da una parte le condotte datoriali, ricomprese a qualsiasi titolo nell’ambito dei “controlli”, sono volte a perseguire differenti interessi o finalità che possono assumere rilevanza sul piano civile o penale, dall’altra le informazioni acquisite attraverso dette condotte, come tutte le informazioni relative a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, sono dati personali, e i loro trattamento è lecito solo nel rigoroso perimetro delineato dalla normativa posta a presidio della riservatezza.

Quindi, da un lato, la violazione di norme (civili e penali) cogenti rende il trattamento  sempre non conforme al principio di liceità canonizzato dall’art. 11 del Codice della Privacy, e per ciò solo illecito. D’altro lato, però, anche le condotte datoriali compliance con la normativa di settore possono costituire trattamenti illeciti, se irrispettose delle disciplina dettata in materia di protezione dei dati personali, anche attraverso i provvedimenti generali adottati dall’Autorità Garante (la quale, proprio recentemente, per agevolare la conoscenza della normativa privacy nei rapporti di lavoro, ha diffuso un utile vademecum).

Dal caso di specie si trae la forte necessità di compiere attente valutazioni prima di giustificare i controlli a distanza, soprattutto se operati- come legittima risposta ad attacchi (anche esterni)- al di fuori delle modalità e dei limiti delineati dall’articolo 4 comma 2 dello Statuto dei Lavoratori.  Non solo: appare imprescindibile il rispetto della normativa sulla protezione dei dati personali, anche nella declinazione di rango secondario operata dal Garante; non occorre che il trattamento sia operato attraverso attività di controllo rilevanti sotto il profilo penale per incorrere in censure, è sufficiente un trattamento dei dati personali dei lavoratori non rispettoso degli obblighi, in maggior parte di natura informativa, gravanti sul Titolare e canonizzati nelle Linee Guida, adempimenti che vanno posti in essere non in maniera blanda e formalistica, ma in maniera efficace e puntuale, o, in altre parole, “idonea”.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017