Il monitoraggio del traffico di rete e degli accessi ad Internet effettuati dal dipendente durante l’orario di lavoro

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – Nel rispetto del principio di «liceità, correttezza e trasparenza», il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 del GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12 del Regolamento), anche qualora il trattamento preveda il monitoraggio dell’attività di navigazione dei propri dipendenti nell’ambito dell’attività lavorativa.

Massima (2) – L’adempimento degli obblighi informativi nei confronti del dipendente (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce una specifica condizione per il lecito utilizzo di tutti i dati raccolti nel corso del rapporto di lavoro, attraverso strumenti tecnologici e/o strumenti di lavoro, per tutti i fini connessi al relativo rapporto, ivi compresi i rilievi disciplinari, unitamente al rispetto della disciplina in materia di protezione dei dati personali (v. art. 4, comma 3, l. 20 maggio 1970, n. 300).

Massima (3) – Ove non contengano tutti gli elementi informativi essenziali richiesti dall’art. 13 del GDPR, i documenti contenenti un riferimento ad operazioni di tracciamento delle connessioni ad Internet messi a disposizione dei dipendenti (alcuni dei quali pubblicati nella Intranet, come l’accordo sindacale, il codice di comportamento, alcune circolari interne dell’Ufficio del personale, nonché il modulo che ogni dipendente è tenuto a firmare all’atto della richiesta per l’accesso ad Internet e agli altri servizi di rete utilizzati in occasione dello svolgimento dell’attività lavorativa) non possono sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, agli interessati in merito alle caratteristiche essenziali dello stesso, essendo stati redatti per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati. Il mancato rispetto degli obblighi informativi impedisce all’interessato di esser pienamente consapevole della tipologia di operazioni di trattamento che potranno essere svolte anche attingendo, in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa.

Massima (4) – Il sistema utilizzato da un datore di lavoro (nel caso di specie un Comune) che effettui una raccolta sistematica dei dati di navigazione dei dipendenti e che comporti inevitabilmente il trattamento di informazioni anche estranee all’attività professionale, desumibili dagli URL visitati, risulta in contrasto con il divieto per il datore di lavoro di trattare dati «non attinenti alla valutazione dell’attitudine professionale del lavoratore» e dunque con l’art. 113 del Codice in materia di protezione dei dati personali, in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.

Massima (5) – L’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali “non pertinenti”, che ricadono nell’ambito di applicazione dell’art. 113 del Codice in materia di protezione dei dati personali, concernente il trattamento dei dati nell’ambito dei rapporti di lavoro.Massima (5) – L’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali “non pertinenti”, che ricadono nell’ambito di applicazione dell’art. 113 del Codice in materia di protezione dei dati personali, concernente il trattamento dei dati nell’ambito dei rapporti di lavoro.

Massima (6) – Il trattamento dei dati personali dei lavoratori, consistente nella raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web dei singoli dipendenti (originariamente associati in via diretta al nominativo, successivamente, attraverso l’id macchina), nella memorizzazione per trenta giorni e nella possibilità di estrarre una reportistica relativa alla navigazione di singoli dipendenti, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo e richiede l’obbligo di valutazione di impatto ai sensi dell’art. 35 GDPR. Ciò a maggior ragione se si considera la particolare “vulnerabilità” degli interessati nel contesto lavorativo e l’impiego di sistemi che comportano il “monitoraggio sistematico”, da cui derivi anche la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.

Provvedimento: GPDP, Docweb n. 9669974 del 13 maggio 2021

Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9669974

Keywords: Internet, monitoraggio, traffico di rete, controllo a distanza, tracciamento, rapporto di lavoro, principio di liceità, principio di correttezza, principio di trasparenza, principio di minimizzazione dei dati, diritti e libertà fondamentali, dati di navigazione, navigazione web, l. n. 300/70.

Riferimenti normativi: art. 8 CEDU; artt. 6, 9,13, 88, 35 del Reg. UE 679/2016 (GDPR); artt. 113 e 114 del Codice Privacy; art. 4 l. 20 maggio 1970, n. 300; art. 10 d.lgs. 10 settembre 2003, n. 276.

Data del commento: 1° giugno 2022

Massime e Commento di Giona Compagnoni

1. Il caso

Il Garante per la protezione dei dati personali è intervenuto a seguito di un reclamo promosso da una dipendente del Comune di Bolzano che lamentava il trattamento illegittimo dei propri dati effettuato tramite il monitoraggio della navigazione Internet e della cronologia dei siti web visitati durante l’orario di lavoro.

Il reclamo ha dato evidenza di come il sistema di registrazione degli accessi ad Internet consentisse all’Ente Pubblico: (i) di controllare e tracciare in maniera massiva e costante la cronologia dei siti Internet visitati dai dipendenti, il tempo di navigazione per ciascun sito e la conservazione di tali dati associati a ciascun dipendente per un lungo periodo di tempo; (ii) di trattare tali dati in assenza di un’informativa in merito ai possibili controlli sugli accessi ad Internet da parte del datore di lavoro, non risultando alcuna informazione relativa al trattamento dei dati acquisiti, al soggetto responsabile di tale trattamento e alla sua finalità. Il reclamante ha chiesto al Garante di dichiarare illecito il trattamento effettuato in violazione delle norme in materia di protezione dei dati personali, dell’art. 4 l. n. 300/1970 e l’inutilizzabilità delle informazioni reperite in violazione alla legge, disponendo il divieto dell’ulteriore trattamento, inclusa la conservazione di tali dati.

2. Le questioni

L’Autorità è chiamata a pronunciarsi in merito (i) all’adozione dei principi applicabili di liceità, correttezza, trasparenza con riferimento al monitoraggio della navigazione in Internet dei dipendenti e all’informativa quale «specifica condizione di liceità» per l’utilizzo dei dati nel rapporto di lavoro, (ii) alla minimizzazione nel trattamento dei dati personali dei dipendenti relativi alla navigazione effettuata in Internet durante l’orario di lavoro, anche se estranei all’attività lavorativa degli interessati, (iii) all’adozione del principio di limitazione della finalità con riguardo all’utilizzo dei dati raccolti per altri fini connessi alla gestione del rapporto di lavoro, nonché (iv) all’obbligo di effettuare una valutazione d’impatto exart. 35 GDPR.

2.1. Il principio di liceità, correttezza e trasparenza del trattamento dei dati relativi alla navigazione in Internet dei dipendenti e l’informativa agli interessati quale «specifica condizione di liceità» per l’utilizzo dei dati nel rapporto di lavoro

In merito alla prima questione l’Autorità chiarisce che il titolare del trattamento, «nel rispetto del principio di “liceità, correttezza e trasparenza» (GPDP, provv. del 13 maggio 2021, Docweb n. 9669974, in commento), deve sempre adottare misure appropriate per fornire all’interessato un’idonea informativa concisa, trasparente e facilmente comprensibile e che «l’adempimento degli obblighi informativi nei confronti del dipendente (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce una specifica condizione per il lecito utilizzo di tutti i dati raccolti nel corso del rapporto di lavoro, attraverso strumenti tecnologici e/o strumenti di lavoro, per tutti i fini connessi al relativo rapporto, ivi compresi i rilievi disciplinari, unitamente al rispetto della disciplina in materia di protezione dei dati personali (v. art. 4, comma 3, l. 20 maggio 1970, n. 300)» (Ibidem).

Nel caso di specie l’Ente ha adottato, per finalità di sicurezza della rete e sulla base di un accordo sindacale ai sensi dell’art. 4 della Legge n. 300/1970, un sistema che «consentiva, quindi, attraverso la possibilità di ricondurre la navigazione a uno specifico nome utente (“id utente”), di effettuare un controllo individualizzato della navigazione in Internet dei singoli dipendenti, mediante estrazione di dati, ad opera dell’amministratore di rete, su richiesta dei dirigenti competenti» (Ibidem) fornendo ai dipendenti l’informativa generale sul trattamento dei dati personali «pubblicata sul sito istituzionale» (Ibidem).

Nonostante quanto dichiarato, dalle verifiche effettuate dall’Autorità è emerso che, sul sito web dell’Ente, non era presente alcuna specifica informativa relativa ai trattamenti dei dati personali dei dipendenti né vi era alcun riferimento al trattamento dei dati relativi alla navigazione in Internet.

Un riferimento alle operazioni di tracciamento delle connessioni era presente in altri documenti redatti per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati (quali, l’accordo sindacale, il codice di comportamento, alcune circolari interne dell’Ufficio del personale, nonché il modulo che ogni dipendente doveva firmare all’atto della richiesta per l’accesso ad Internet e agli altri servizi di rete).

Il Garante ha sottolineato come tali atti, che non contenevano gli elementi informativi di cui all’art. 13 del Regolamento, non possono sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, per «consentire all’interessato di esser pienamente consapevole della tipologia di operazioni di trattamento che potranno essere svolte anche attingendo, in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa (cfr., Sentenze della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 – Ricorso n. 61496/08 – Causa Barbulescu c. Romania, spec. par. n.133 e 140 e sentenza del 9 gennaio 2018- ricorso n. 1874/13 e 8567/13- Causa López Ribalda e altri v. Spagna, spec. par. n. 115)» (Ibidem).

2.2. Raccolta di dati non attinenti all’attività lavorativa e principio di minimizzazione

Il sistema adottato dal Comune, per finalità di sicurezza della rete, consentiva operazioni di filtraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, la memorizzazione di tali dati e la loro conservazione, per trenta giorni, nonché l’estrazione di report, anche su base individuale, dando luogo a una raccolta sistematica di dati relativi all’attività e all’utilizzo dei servizi di rete da parte dipendenti direttamente identificabili.

Tuttavia, sulla base al Reg. UE 679/2016, il trattamento dei dati deve essere «necessario» rispetto alla lecita finalità perseguita (art. 6, par. 1, GDPR) e avere ad oggetto i soli dati «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» [art. 5, par. 1, lett. c), GDPR].

L’Autorità ritiene che, nei casi in cui il trattamento sia posto in essere nei confronti dei dipendenti e comporti un collegamento tra i dati relativi alla connessione e l’utilizzatore, consentendo di ricostruirne anche indirettamente l’attività, sia in contrasto con il principio di liceità nonché con la rilevante disciplina di settore in materia di lavoro [artt. 11, co. 1, lett. a) e 114 del Codice e art. 4, l. 20 maggio 1970, n. 300]. Tanto, sia con riguardo alla disciplina in materia di impiego di apparecchiature idonee al controllo a distanza dell’attività dei lavoratori (si veda GPDP, Provv. del 5 febbraio 2015, Docweb n. 3813428 e Provv. del 21 luglio 2011, Docweb n. 1829641), sia con riguardo al quadro normativo risultante dalle modifiche intervenute per effetto dell´art. 23 del d.lgs. 14 settembre 2015, n. 151.

La linea di confine tra l’ambito professionale e quello strettamente privato non può sempre essere tracciata in modo netto e ciò può determinare l’annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, sia nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro sia nei casi in cui utilizzi una risorsa aziendale anche attraverso dispositivi personali.

Sulla base di tale ragione la Corte europea dei diritti dell’uomo ha nel tempo confermato che la protezione della vita privata (art. 8 CEDU) si estende anche all’ambito lavorativo, ove si esplicano la personalità e le relazioni della persona che lavora.

Viene precisato come l’ambito dei controlli (indiretti o preterintenzionali), entro i limiti stabiliti dalla disciplina di settore, e i trattamenti di dati personali che possono essere lecitamente effettuati dal datore di lavoro, debbano essere comunque non massivi, graduali e ammissibili solo previo esperimento di misure meno limitative dei diritti dei lavoratori (si veda l’Audizione del Garante sul Jobs Act presso Commissione lavoro Camera deputati 9 luglio 2015, Docweb n. 4119045; nonché la Dichiarazione di Antonello Soro, Presidente del Garante per la privacy, Docweb n. 9164334, resa in merito alla sentenza CEDU, Grande Camera, del 17 ottobre 2019, causa López Ribalda and others v. Spain, ove viene affermato che «il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui “funzione sociale” si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri»).

È stato ritenuto che le caratteristiche originarie del sistema e le conseguenti operazioni di trattamento non fossero necessarie e proporzionate rispetto alla finalità di protezione e sicurezza della rete interna voluta dall’Ente [cfr. considerando n. 49 e art. 6, par. 1, lett. e) del GDPR], «avendo riguardato, peraltro, dati non “adeguati, pertinenti e limitati” a quanto necessario a garantire la sicurezza della rete, in violazione dei principi di liceità e di minimizzazione di cui all’art. 5, par. 1, lett. a) e c), e dell’art. 6 del Regolamento» (GPDP, provv. del 13 maggio 2021, Docweb n. 9669974, in commento).

Il rischio di usi impropri della navigazione in Internet (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può giustificare ogni forma di interferenza nella vita privata, ma può essere superato con la predisposizione di misure tecniche e organizzative atte che possano prevenire che informazioni relative alla sfera personale del lavoratore vengano raccolte (si veda GPDP, Provv. 1° marzo 2007, n. 13, Docweb n. 1387522).

Anche su tale aspetto si è soffermato il Garante chiarendo che i principi di necessità e proporzionalità impongono di privilegiare misure preventive ed, in ogni caso, gradualità nell’ampiezza del monitoraggio «che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie» quali, ad esempio, la riscontrata presenza di virus e «comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori» [cfr. audizione del Garante, cit., spec. punto 2, lett. e)].

Nel caso di specie l’acquisizione sistematica e massiva di dati personali, anche non attinenti all’attività professionale, non è risultata conforme al principio di minimizzazione [v. art. 5, par. 1, lett. c) del GDPR]. Inoltre, le prospettate attività di controllo non hanno previsto l’adozione in prima battuta di misure preventive (ad es. redazione di black list di siti Internet non consentiti) né accertamenti graduali, ad esempio, su base aggregata, al fine di non consentire controlli prolungati, costanti o indiscriminati. Ciò risulta in contrasto con il principio di proporzionalità di cui all’art. 5, par. 1, lett. c), del GDPR e all’art. 52 Carta dei diritti fondamentali dell’Unione europea (cfr. GPDP, Ordinanza ingiunzione nei confronti di Clear Channel Italia S.p.A., Prov. n. 137 del 15 aprile 2021, Docweb n. 9670738).

2.3. Principio di limitazione della finalità e utilizzo dei dati raccolti per altri fini connessi alla gestione del rapporto di lavoro

Sulla base dell’accordo sindacale ai sensi dell’art. 4 della l. n. 300/1970, il Comune si è riservato la possibilità di consultare i dati relativi alla navigazione web dei propri dipendenti, per eventuali esigenze legate a procedimenti disciplinari.

Alcune operazioni di trattamento presuppongono, quindi, la necessità di fornire agli interessati un’adeguata informativa sui trattamenti che il datore di lavoro si riserva di effettuare e l’opportuna configurazione dei sistemi in modo «che siano poste in essere le sole operazioni necessarie e raccolti i soli dati pertinenti in relazione alla finalità principale per la quale i dati sono originariamente trattati e nel rispetto dei principi generali della protezione dei dati» (GPDP provv. del 13 maggio 2021, Docweb n. 9669974, in commento).

La raccolta effettuata riguarda una amplissima tipologia di dati, contenuti rispettivamente: nelle comunicazioni avvenute attraverso la posta elettronica, negli allegati inviati e ricevuti, nei documenti formati, nella cronologia dei siti visitati, ciò anche nello svolgimento di attività non lavorative, con conseguente trattamento di dati privati del lavoratore e di terzi.

L’esigenza di ridurre il rischio di usi impropri della navigazione web, però, non può giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta esclusivamente mediante la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera personale possano essere raccolte, dando luogo a trattamenti di informazioni personali, “non pertinenti” che ricadono nell’ambito di applicazione dell’art. 113 del Codice in materia di protezione dei dati personali.

A tale ultimo proposito Cass., sez. civ., 19 settembre 2016, n. 18302 ha stabilito che «acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata (…) anche se i dati non sono successivamente utilizzati. Non è necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione della prescrizione legislativa».

Tale disciplina lavoristica, pure a seguito delle modifiche disposte con l’art. 23 del d.lgs. 14 settembre 2015, n. 151, non consente l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore ed inoltre costituisce una delle norme del diritto nazionale «più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro» individuate dall’art. 88 GDPR.

Pertanto, è stato ritenuto illegittimo il trattamento dei dati in violazione dell’art. 5, par. 1, lett. a) e c), e dell’art. 6 del GDPR e dell’art. 113 del Codice Privacy, e senza un’adeguata informativa ai sensi dell’art. 13 del GDPR, successivamente impiegati per contestare addebiti disciplinari, non rispettando nemmeno i presupposti e le condizioni previste dall’art. 4, co. 3, della l. n. 300 del 1970.

2.4. Obbligo di effettuare la valutazione d’impatto sulla protezione dei dati

L’adozione di adeguate misure tecniche e organizzative atte a garantire che il trattamento avvenga in conformità alla normativa vigente è obbligo del titolare, tenuto altresì a valutare preventivamente se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Tale valutazione preventiva deve essere effettuata in ragione delle tecnologie impiegate, della natura, dell’oggetto, del contesto e delle finalità.

La raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web dei dipendenti, inizialmente associati direttamente al nominativo, poi attraverso l’id-macchina, la memorizzazione per trenta giorni e la possibilità di estrarre una reportistica relativa alla navigazione web, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo e rende obbligatoria la valutazione di impatto di cui all’art. 35 GDPR.

Tale valutazione è necessaria sulla base dell’esistenza di un trattamento che «possa presentare un rischio elevato», come nel caso in esame, sia in considerazione della particolare “vulnerabilità” degli interessati nel contesto lavorativo (si vedano le «Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679», WP 248 del 4 aprile 2017), che dell’impiego di sistemi che comportano un «monitoraggio sistematico», inteso come «trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti» (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri nn. 4 e 7)presentando rischi in termini di possibile monitoraggio dell’attività dei dipendenti (si vedano gli artt. 35 e 88, par. 2, del GDPR; v. anche GPDP, Provv. 11 ottobre 2018, n. 467, Docweb n. 9058979, all. n. 1, che espressamente menziona i «trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (…) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti»).

Il Gruppo di Lavoro ex art. 29 del GDPR ha ritenuto che un titolare del trattamento «può considerare che un trattamento che soddisfi due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati. In generale, il WP29 ritiene che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati, indipendentemente dalle misure che il titolare del trattamento ha previsto di adottare».

Il «rischio elevato» al trattamento di dati relativi a «interessati vulnerabili» (Si veda considerando nn. 75 e 88 del GDPR) rappresenta un criterio ai fini della valutazione d’impatto per effetto di un accentuato squilibrio di poteri fra interessato e titolare del trattamento. In questo senso l’interessato può non disporre del potere di acconsentire liberamente o di opporsi con facilità al trattamento dei propri dati ovvero esercitare con facilità i propri diritti.

Costituisce, altresì, un ulteriore criterio per la determinazione di un trattamento che rappresenta un «rischio elevato» il trattamento di dati sensibili o dati di natura estremamente personale. Rientrano in tale casistica non solo le categorie particolari di dati personali di cui agli artt. 9 e 10 ma anche ulteriori categorie di dati che possono aumentare i rischi eventuali per i diritti e le libertà delle persone fisiche. Si tratta di «dati personali considerati sensibili (nell’accezione comune del termine), in quanto connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza) ovvero in quanto incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) ovvero in quanto una loro violazione comporta evidentemente un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti)» (si vedano le «Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679», WP 248 del 4 aprile 2017).

Il criterio in oggetto può riferirsi anche a dati quali documenti personali, e-mail, agende, e informazioni molto personali contenute in applicazioni che consentono di tenere traccia del proprio stile di vita.

Nel caso di specie il Garante ha rilevato che il trattamento sia stato posto in essere dal Comune in assenza di una valutazione di impatto effettuata solo successivamente all’azione promossa da parte dell’Autorità per la protezione dei dati personali e solo sui “log di navigazione”, individuando una serie di misure tecniche ed organizzative successivamente all’azione promossa dal Garante.

3. Precedenti

In tema di violazioni della disciplina in materia di protezione dei dati personali relativi al controllo posto in essere dal datore di lavoro in ordine all’utilizzo di sistemi di comunicazione elettronica dei dipendenti, il Garante è stato più volte chiamato a pronunciarsi.

Tra i provvedimenti più significativi si vedano, ad esempio: (i) Ordinanza ingiunzione nei confronti di Clear Channel Italia S.p.A. del 15 aprile 2021, Docweb n. 9670738, relativa all’indagine e all’imaging (copiatura di tutti i contenuti memorizzati sui dispositivi nel corso dello svolgimento dell’attività lavorativa e anche nello svolgimento di attività personali) effettuata dal titolare del trattamento e datore di lavoro, poi commissionata a terzi, sui contenuti degli strumenti aziendali affidati ai dipendenti nell’ambito del rapporto di lavoro, effettuando un controllo sull’attività complessivamente svolta dagli interessati. Il Garante ha precisato che l’adeguata ed effettiva pubblicizzazione di documenti relativi alla possibilità di effettuare tali controlli è tanto più necessaria, in applicazione dei principi di trasparenza e correttezza da parte del datore di lavoro, quanto più il grado di controllo prospettato è profondo ed intrusivo (ii) Provv. del 13 luglio 2016, n. 303, Docweb n. 5408460, ove è stata riconosciuta una responsabilità in capo all’Università degli studi di Chieti e Pescara per la raccolta e conservazione dei file di log relativi al traffico Internet contenenti il MAC Address (Media Access Control Address), l’indirizzo IP nonché informazioni relative all’accesso ai servizi Internet, all’utilizzo della posta elettronica e alle connessioni di rete del personale dipendente e di terzi (es. studenti, dottorandi, specializzandi e assegnisti di ricerca, ma anche professori a contratto e visiting professors). Il Garante ha chiarito che i principi di necessità e proporzionalità impongono di privilegiare misure preventive ed, in ogni caso, gradualità nell’ampiezza del monitoraggio «che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie» quali, ad esempio, la riscontrata presenza di virus e «comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori» [cfr. audizione del Garante, cit., spec. punto 2, lett. e)]. Inoltre, è stato chiarito come la memorizzazione dei dati relativi al MAC Address e i dati relativi ai servizi di rete che permetta di associare la connessione in via univoca all’utente, non è strettamente necessaria per la generica finalità di protezione e sicurezza informativa ovvero per astratte finalità derivanti da possibili indagini giudiziarie ed è eccedente rispetto agli scopi dichiarati [artt. 3 e 11, comma 1, lett. d) del Codice]; (iii) Provv. del 21 luglio 2011, Docweb. n. 1829641, che ha sanzionato l’Istituto Poligrafico e Zecca dello Stato s.p.a. per avere, tra l’altro, implementato uno specifico software che opera congiuntamente a un sistema proxy/web gateway che non si limitava solo ad evitare il libero accesso ai siti webritenuti inconferenti con lo svolgimento delle attività lavorative ma categorizza le pagine filtrate «ricorrendo ad una molteplicità di classi di siti visitati, tra i quali, si trovano indicizzati quelli raggruppati nella dizione entertainment, vehicles, marketing, sex, sport, ecc., e che tale indicizzazione determina altresì la categorizzazione, su base individuale, della navigazione effettuata da ciascun utente secondo le categorie predefinite dal sistema medesimo». Il Garante ha ritenuto che la categorizzazione di ciascun utente realizzata tramite la configurazione di tale web gateway consente, oltre ad «un controllo a distanza dell’attività effettuata, anche una vera e propria “profilazione” degli utenti, in grado di rivelare, con immediatezza, dati sensibili ad essi riferiti, ivi comprese informazioni il cui trattamento è precluso dall’art. 8 l. n. 300/1970», disposizione che vieta al datore di lavoro, anche nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso.

4. Bibliografia

In materia di monitoraggio del traffico di rete e degli accessi ad Internet effettuati dal dipendente durante l’orario di lavoro si rinvia a E. Gragnoli, L’uso della posta elettronica sui luoghi di lavoro e la strategia di protezione elaborata dall’Autorità Garante, in P. Tullini (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro. Uso dei mezzi elettronici, potere di controllo e trattamento dei dati personali, in Trattato di diritto commerciale e diritto pubblico dell’economia, diretto da F. Galgano, Padova, 2010, Vol. LVIII, pp. 53 ss., dove si sostiene che la “regolamentazione” in una policy possa far venire meno il carattere “chiuso” della corrispondenza del dipendente, perché in tal modo viene riconosciuta al datore la facoltà di determinare i criteri di segretezza. In materia si veda altresì P. Tullini, Tecnologie informatiche in azienda: dalle linee-guida del Garante alle applicazioni concrete, in P. Tullini (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, cit., pp. 123 ss.; G. Finocchiaro, Limiti posti dal Codice in materia di protezione dei dati personali al controllo del datore di lavoro, in P. Tullini (a cura di), Web e lavoro. Profili evolutivi e di tutela, Torino, 2017, pp. 51 ss.; nonché N. Lugaresi, Uso di internet sul luogo di lavoro, controlli del datore di lavoro e riservatezza del lavoratore, in P. Tullini (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro. Uso dei mezzi elettronici, potere di controllo e trattamento dei dati personali, cit., pp. 75 ss., il quale evidenzia come il diritto alla privacy comporti anche il dovere in capo al datore di lavoro di tutelare il dipendente da «seccature arrecate da terzi sul luogo di lavoro», quale, per esempio, l’invio di e-mail spam consentito o agevolato dalla pubblicazione degli indirizzi di posta elettronica assegnati ai dipendenti sul sito web aziendale. In contrasto con quanto detto sopra L. Perina, L’evoluzione della giurisprudenza e dei provvedimenti del garante in materia di protezione dei dati personali dei lavoratori subordinati, in Riv. it. dir. lav., 2010, 1, II, pp. 305 ss. che – sotto la vigenza della disciplina precedente all’entrata in vigore del GDPR – ha sostenuto una certa inclinazione dell’Autorità a privilegiare l’osservanza dei requisiti strettamente formali e procedurali per il trattamento dei dati e il loro monitoraggio informatico, soprassedendo invece alle evidenze sostanziali e sacrificando, talvolta, l’esigenza di una responsabilizzazione della persona che illecitamente utilizza strumenti informatici. Tale prospettiva risulta ora mutata, quantomeno per via dell’introduzione ex lege del principio di responsabilizzazione (accountability) di cui agli artt. 5, par. 2, e 24 GDPR.