Controllo e-mail e smartphone aziendali: divieto del Garante per la Privacy

Il Garante per la Privacy, con Nota 17 febbraio 2017, n. 424, ribadisce che sono vietati i controlli indiscriminati su e-mail e smartphone aziendali.

Per il datore di lavoro accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale è un comportamento illecito.
I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.

Il datore di lavoro non può accedere indiscriminatamente alle email dei dipendenti, ai dati personali contenuti nello smartphone o nel tablet, né tanto meno intervenire da remoto sui contenuti del device in dotazione al lavoratore: lo ribadisce il Garante della Privacy vietando l’utilizzo di dati trattati in violazione alle norme di legge.

In primo luogo, la policy sul trattamento dei dati va comunicata al dipendente con specifica informativa, dettagliando modalità e finalità dell’attività di raccolta e conservazione dei dati. Ci sono poi regole precise da seguire nel trattamento e conservazione dei dati, che devono sempre uniformarsi al principio di correttezza e non possono prevedere attività  di controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

Altre violazioni: configurazione del sistema di posta elettronica in modo da conservare copia della corrispondenza anche dopo la cessazione del rapporto di lavoro per un tempo non proporzionato (anni): dopo la cessazione del rapporto gli account di posta devono essere rimossi, previa disattivazione degli stessi e contestuale adozione di sistemi automatici per informare i terzi e fornire loro indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.

Non è conforme ai principi di necessità, pertinenza e non eccedenza la conservazione per anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche.

In generale, le norme sul controllo a distanza, anche dopo le modifiche del Jobs Act, contenute nell’articolo 23 del decreto legislativo 151/2015, non consentono di effettuare attività idonee a realizzare (anche indirettamente) il monitoraggio massivo, prolungato e indiscriminato dell’attività del lavoratore.

Il datore di lavoro è sempre tenuto a salvaguardare la libertà e la dignità del lavoratore e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore.

Il Garante considera illecita anche la mancata disattivazione della mail aziendale dopo la fine del rapporto di lavoro  e l'eccessiva durata  del periodo di conservazione sui server aziendali dei dati e dei contenuti delle comunicazioni elettroniche intrattenute dal dipendente.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali e delle  eventuali verifiche da parte del lavoro da server remoti.

Controllo a distanza dei lavoratori dipendenti: non si possono monitorare email e navigazione web

I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.

L’utilizzo di software che controllino in modo continuo l’attività online dei dipendenti (tramite posta elettronica, navigazione web etc.) sono una violazione dei diritti dei lavoratori: il Garante Privacy pone precisi limiti alle novità del Jobs Act in base alle quali pc, email e smartphone sono strumenti informatici che l’impresa può utilizzare senza procedure sindacali. Il provvedimento dell’Autorità n.303 del 13 luglio 2016 rappresenta di fatto la prima interpretazione autorevole delle modifiche all’articolo 4 dello Statuto dei Lavoratori previste dall’articolo 23 del dlgs 151/2015, attuativo del Jobs Act.

Il provvedimento del Garante fornisce dettagli sulle tipologie di software che non rientrano tra le misure di controllo lecite. Al bando, dunque, i sistemi che consentono: «operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale», perché «idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili». Il Garante ha stabilito che MAC Address e indirizzi IP sono da considerarsi dati personali.

Si tratta infatti di elementi che consentono l’identificazione univoca del pc e delle attività di chi lo usa. L’indirizzo IP consente di identificare una connessione, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) «associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l’indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando».

Possono invece essere considerati strumenti di lavoro (leciti), a titolo esemplificativo:

il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale);

altri servizi della rete aziendale, fra cui anche il collegamento a siti internet;

sistemi e misure che consentono il fisiologico e sicuro funzionamento della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso);

altri strumenti utili al conseguimento di una elevata sicurezza della rete aziendale: sistemi di protezione perimetrale, firewall, in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni, IPS/IDS, agenti su base statistica o con il ricorso a sorgenti informative esterne.

In ultima analisi, non possono essere considerati strumenti di lavoro ma di controllo a distanza del dipendente, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete. Pertanto, è illecito il trattamento dei dati così raccolti.

L’Autorità fa presente che, anche in caso di utilizzi di videosorveglianza ”mobile” da parte di organi di pubblica sicurezza o di altri soggetti pubblici, bisogna rendere una idonea informativa ai dipendenti ma anche alla cittadinanza.

Il Garante ricorda che il datore di lavoro deve sempre e comunque salvaguardare la libertà e la dignità dei lavoratori: oltre a fornire una informativa completa ai dipendenti in ordine alle consentite modalità di utilizzo degli strumenti aziendali e l’indicazione puntuale delle tipologie di eventuali controlli che possono essere effettuati anche su base individuale. Va tenuto presente anche che, in caso di cessazione del rapporto di lavoro, gli account riconducibili all’ex dipendente devono essere disattivati: non è consentita l’adozione di sistemi informatici di reindirizzamento della posta a terze persone.

Nel corso del 2015 il Garante è stato più volte chiamato a pronunciarsi riguardo alla pubblicazione online, sui siti istituzionali degli enti pubblici, di dati, atti o provvedimenti contenenti dei dati personali riferiti ai lavoratori. Elemento discriminante tra gli interessi opposti delle parti risulta essere, al riguardo, l’osservanza del principio di pertinenza e non eccedenza dei dati pubblicati rispetto al rispetto degli obblighi dettati in materia dal legislatore.

Particolare attenzione va riservata al trattamento dei dati relativi a soggetti disabili e alla pubblicazione dei dati relativi ai compensi percepiti dai soggetti che ricoprono incarichi di consulenza o collaborazione con gli enti pubblici: per questi ultimi è prevista la pubblicazione obbligatoria dei dati riguardanti i compensi ma non quelli relativi ai dati reddituali. Tale ultima ipotesi è ammessa esclusivamente nel caso di soggetti che ricoprono incarichi politici.