Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro: nuovo provvedimento del Garante

computer-privacyPubblicato sul sito di SI.net Servizi Informatici.

Il Garante della Privacy ha emesso un nuovo provvedimento su un tema molto dibattuto, il monitoraggio degli accessi internet dei dipendenti e il controllo della posta elettronica.

Con il provvedimento n. 303 del 2016, ripreso nella newsletter dello scorso 15 settembre, il Garante ha ribadito che verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Il Garante è tornato quindi su un argomento più volte trattato, che riguarda i controlli effettuati da un ente (un’Università, in questo caso) sugli accessi internet degli utenti che utilizzano le sue risorse aziendali.

Dalla lettura del testo del provvedimento, emergono diversi aspetti su cui riflettere:

1) Tracciare le attività dei dispositivi di proprietà di un utente o che gli sono stati assegnati per attività lavorative, identificando il MAC address degli stessi, equivale ad effettuare un trattamento di dati personali. E’ abbastanza evidente, poiché il concetto di dato personale (sia nel Codice dalla Privacy italiano che nel Regolamento europeo) fa riferimento ad informazioni che possono anche indirettamente essere ricondotte ad un individuo. Di conseguenza, tutte le informazioni riconducibili ad una postazione di lavoro assegnata a un utente (nel caso trattato dal Garante “la presenza di eventuali postazioni condivise fra più persone è da considerarsi circostanza residuale”) sono da considerarsi quindi dati personali: questo comporta una serie di adempimenti, fra cui l’informativa relativa al trattamento dei dati da fornire agli utenti.

2) L’esistenza di un regolamento di utilizzo delle risorse informatiche non può sostituire l’informativa, “… in quanto non reca gli elementi essenziali richiesti dalla legge per l’informativa da rendere agli interessati, né è idoneo a renderli edotti in modo esaustivo in merito alle operazioni di trattamento effettuate”.

3) Le attività svolte dal personale tecnico dell’ateneo sono un insieme di azioni proattive (“controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale”) idonee a consentire un controllo dell’attività e dell’utilizzo dei servizi individualmente effettuato da soggetti identificabili. Questo aspetto porta il trattamento nello spinoso contesto del controllo a distanza dei lavoratori, per cui sussistono precise prescrizioni nello Statuto dei Lavoratori.

4) Dopo il Jobs Act, lo Statuto dei Lavoratori consente espressamente la possibilità di impiegare ai fini dello svolgimento di controlli aziendali per esigenze organizzative e produttive, entro determinati limiti, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa“. In questa categoria possono rientrare sia le postazioni di lavoro sia i sistemi di sicurezza aziendali, tra cui anche i sistemi di filtraggio dei contenuti. Altri dispositivi specificamente utilizzati per il controllo e la registrazione della navigazione non rientrano nella categoria prevista dallo Statuto dei Lavoratori, per cui il trattamento di dati personali effettuato attraverso tali strumenti non è lecito.

5) La memorizzazione dei dati inerenti al MAC Address e dei dati relativi alla connessione ai servizi di rete in modo massivo ed anelastico (essendo in questo contesto considerati dati personali) non risulta strettamente necessaria per la generica finalità di protezione e sicurezza, oltre che per astratte finalità derivanti da possibili indagini giudiziarie, dando luogo ad un trattamento di dati eccedente rispetto agli scopi dichiarati (nel caso trattato, tali dati venivano memorizzati per 5 anni).

Si tratta dunque di un provvedimento che analizza molti aspetti sia di carattere tecnologico che organizzativo e che evidenzia ancora una volta come il controllo della rete aziendale costituisca un ambito molto delicato e spinoso, dove l’utilizzo degli strumenti e il trattamento dei dati può considerarsi lecito o meno a seconda del contesto e delle scelte organizzative.

La linea di demarcazione che distingue il lecito dall’illecito è molto sottile e spesso sono le sfumature che fanno la differenza.

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva<

Annunci

Pubblicato il 20 settembre 2016, in Uncategorized con tag , , , , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: