Navigazione in internet dei lavoratori: no a controllo indiscriminato

Pubblicato il


Navigazione in internet dei lavoratori: no a controllo indiscriminato

Il datore di lavoro non può monitorare la navigazione internet dei dipendenti in maniera indiscriminata.

L’eventuale controllo, indipendentemente dall’esistenza di specifici accordi con i sindacati, deve sempre avvenire nel rispetto dello Statuto dei lavoratori e della normativa sulla Privacy.

Sanzioni Privacy per controllo indiscriminato dei lavoratori sul web

Così il Garante per la protezione dei dati personali nel provvedimento n. 190 del 13 maggio 2021, con cui ha sanzionato un ente locale - il Comune di Bolzano - dopo aver rilevato l’illiceità del trattamento effettuato nei confronti dei dipendenti.

Il provvedimento è stato pronunciato a seguito del reclamo di una lavoratrice che, nel corso di un procedimento disciplinare a suo carico, aveva scoperto di essere stata costantemente controllata da parte datoriale.

Alla stessa era stata contestata la consultazione di Facebook e Youtube durante l’orario di lavoro ma il procedimento disciplinare era stato poi archiviato per l’inattendibilità dei dati di navigazione raccolti.

Nel reclamo, la dipendente aveva lamentato presunte violazioni della disciplina di protezione dei dati personali con riguardo al trattamento di dati posto in essere dall’Ente mediante il monitoraggio del traffico di rete e dei singoli accessi a Internet.

Dagli accertamenti posti in essere dal Garante, era emerso che il sistema di controllo e filtraggio della navigazione web dei dipendenti era in uso da circa dieci anni, prevedendo la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete.

Anche se il datore aveva stipulato apposito accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, tale trattamento di dati avrebbe dovuto comunque rispettare anche i principi di protezione previsti dal GDPR.

Secondo l’Autority, invece, il sistema era stato implementato senza che i dipendenti fossero stati adeguatamente informati: esso consentiva operazioni di trattamento non necessarie e sproporzionate rispetto alla menzionata finalità di sicurezza della rete interna, per tramite di una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti.

Senza contare che l’apparato raccoglieva anche informazioni estranee all'attività professionale, riconducibili alla vita privata degli interessati.

Per il Garante Privacy, l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non poteva portare al completo annullamento di ogni aspettativa di riservatezza dei dipendenti sul luogo di lavoro, anche nel caso in cui si fosse trattato di utilizzo di servizi di rete messi a disposizione del datore di lavoro.

L’Ente, in definitiva, è stato sanzionato con una multa di 84mila euro per l’illecito trattamento dei dati del personale. Contestualmente, è stata imposta l’adozione di misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

La notizia del provvedimento è stata pubblicata nella Newsletter del Garante Privacy n. 478 del 22 giugno 2021.

Allegati