La Newsletter 478/2021 del Garante Privacy contiene il principio secondo cui non sia possibile, per il datore di lavoro, controllare in maniera indiscriminata la navigazione internet dei lavoratori.
A prescindere dagli accordi sindacali eventualmente sottoscritti, le attività di controllo devono sempre avvenire nel rispetto di quanto previsto dalla legge 300/70 (Statuto dei lavoratori).
Il caso di specie riguarda un provvedimento sanzionatorio nei confronti del Comune di Bolzano, emesso a seguito di un reclamo presentato da un dipendente: il lavoratore, durante un procedimento disciplinare a suo carico, è venuto a conoscenza del controllo costante effettuato dal datore di lavoro sui dati di navigazione.
Nello specifico, la PA aveva attivato – da circa dieci anni – un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete, senza fornire adeguata informazione ai dipendenti.
A riguardo, il datore di lavoro aveva stipulato un accordo con le organizzazioni sindacali, così come previsto dalla normativa vigente, tuttavia il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr.
Poiché il sistema di controllo consentiva lo svolgimento di operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti, raccogliendo anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato, nei confronti del Comune è stata comminata una sanzione per il trattamento illecito dei dati del personale. Inoltre, il Comune dovrà provvedere ad adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.
