I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.
L’utilizzo di software che controllino in modo continuo l’attività online dei dipendenti (tramite posta elettronica, navigazione web etc.) sono una violazione dei diritti dei lavoratori: il Garante Privacy pone precisi limiti alle novità del Jobs Act in base alle quali pc, email e smartphone sono strumenti informatici che l’impresa può utilizzare senza procedure sindacali. Il provvedimento dell’Autorità n.303 del 13 luglio 2016 rappresenta di fatto la prima interpretazione autorevole delle modifiche all’articolo 4 dello Statuto dei Lavoratori previste dall’articolo 23 del dlgs 151/2015, attuativo del Jobs Act.
Il provvedimento del Garante fornisce dettagli sulle tipologie di software che non rientrano tra le misure di controllo lecite. Al bando, dunque, i sistemi che consentono: «operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale», perché «idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili». Il Garante ha stabilito che MAC Address e indirizzi IP sono da considerarsi dati personali.
Si tratta infatti di elementi che consentono l’identificazione univoca del pc e delle attività di chi lo usa. L’indirizzo IP consente di identificare una connessione, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) «associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l’indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando».
Possono invece essere considerati strumenti di lavoro (leciti), a titolo esemplificativo:
il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale);
altri servizi della rete aziendale, fra cui anche il collegamento a siti internet;
sistemi e misure che consentono il fisiologico e sicuro funzionamento della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso);
altri strumenti utili al conseguimento di una elevata sicurezza della rete aziendale: sistemi di protezione perimetrale, firewall, in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni, IPS/IDS, agenti su base statistica o con il ricorso a sorgenti informative esterne.
In ultima analisi, non possono essere considerati strumenti di lavoro ma di controllo a distanza del dipendente, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete. Pertanto, è illecito il trattamento dei dati così raccolti.
L’Autorità fa presente che, anche in caso di utilizzi di videosorveglianza ”mobile” da parte di organi di pubblica sicurezza o di altri soggetti pubblici, bisogna rendere una idonea informativa ai dipendenti ma anche alla cittadinanza.
Il Garante ricorda che il datore di lavoro deve sempre e comunque salvaguardare la libertà e la dignità dei lavoratori: oltre a fornire una informativa completa ai dipendenti in ordine alle consentite modalità di utilizzo degli strumenti aziendali e l’indicazione puntuale delle tipologie di eventuali controlli che possono essere effettuati anche su base individuale. Va tenuto presente anche che, in caso di cessazione del rapporto di lavoro, gli account riconducibili all’ex dipendente devono essere disattivati: non è consentita l’adozione di sistemi informatici di reindirizzamento della posta a terze persone.
Nel corso del 2015 il Garante è stato più volte chiamato a pronunciarsi riguardo alla pubblicazione online, sui siti istituzionali degli enti pubblici, di dati, atti o provvedimenti contenenti dei dati personali riferiti ai lavoratori. Elemento discriminante tra gli interessi opposti delle parti risulta essere, al riguardo, l’osservanza del principio di pertinenza e non eccedenza dei dati pubblicati rispetto al rispetto degli obblighi dettati in materia dal legislatore.
Particolare attenzione va riservata al trattamento dei dati relativi a soggetti disabili e alla pubblicazione dei dati relativi ai compensi percepiti dai soggetti che ricoprono incarichi di consulenza o collaborazione con gli enti pubblici: per questi ultimi è prevista la pubblicazione obbligatoria dei dati riguardanti i compensi ma non quelli relativi ai dati reddituali. Tale ultima ipotesi è ammessa esclusivamente nel caso di soggetti che ricoprono incarichi politici.
Nessun commento:
Posta un commento