A più di un anno dalla pubblicazione del decreto attuativo della delega sulle semplificazioni (D.lgs. 151/2015), il Garante per la protezione dei dati personali evidenzia alcuni aspetti fondamentali della nuova formulazione dell’articolo 4 dello Statuto dei lavoratori in un provvedimento in cui dichiara illecito il trattamento di dati personali derivante da verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale di un Ateneo universitario (n.303 del 13 luglio 2016).
Who's Who
Gabriele Faggioli
CEO di Digital360, CEO di P4I - Partners4Innovation, Presidente Clusit
In particolare, nel provvedimento il Garante suggerisce la linea interpretativa per definire gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, dichiarando che «in tale nozione è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza».
Il Garante considera quindi “strumenti di lavoro” sia il servizio di posta elettronica offerto ai dipendenti sia gli altri servizi della rete aziendale, fra cui anche il collegamento a siti Internet nonché «i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso)».
Di contro il Garante ribadisce che non rientrano nella definizione di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” tutti i software che operano in background attività di monitoraggio, filtraggio, controllo e tracciatura, costante e indiscriminata, degli accessi a Internet e alla posta elettronica.
Nel caso di specie, sottoposto all’attenzione del Garante, l’Ateneo aveva sostenuto che i file di log relativi al traffico Internet, contenenti l’indirizzo IP, il Mac address e informazioni relative all’accesso ai servizi Internet, all’utilizzo della posta elettronica e alle connessioni di rete, venivano raccolti in forma anonima e conservati per 5 anni solo in caso del manifestarsi di eventi anomali. In relazione alle suddette attività, sulla base del presupposto che il Mac address non rientrasse nella definizione di dato personale fornita dal codice privacy (art. 4 comma 1 lett. b)), l’Ateneo, titolare del trattamento, non forniva agli interessati la specifica informativa ex art.13 del Codice privacy.
A seguito dell’istruttoria, il Garante ha evidenziato diverse non conformità a carico dell’Ateneo.
In particolare:
· Il Mac Address della “interfaccia” di rete di una postazione è da considerarsi “dato personale”, in quanto costituito da una sequenza numerica associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless, da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato. Il Mac Address è infatti immodificabile e consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando. Configurandosi un trattamento di dati personali, il Titolare avrebbe dovuto fornire agli interessati una specifica informativa ex art. 13 del Codice.
· Le attività sistematiche e indiscriminate di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni dei dipendenti, nonché la loro conservazione per un ampio periodo di tempo (5 anni), permettendo la ricostruzione dell’attività svolta da un individuo identificabile, configurano una forma di controllo a distanza dell’attività lavorativa e sono soggette a quanto disposto dall’art. 4 dello Statuto dei lavoratori.
· I software che, in modo indipendente e non percepibile dall’utente, effettuano verifiche costanti su tutti gli accessi a Internet e alla posta elettronica non possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e necessitano quindi delle tutele previste dall’art. 4 comma 2 dello Statuto dei lavoratori.
· I controlli massivi, prolungati nel tempo, costanti e indiscriminati non rispettano i principi di necessità, pertinenza e non eccedenza che impongono invece l’utilizzo di misure graduali, meno lesive dei diritti dei dipendenti, legittimando i controlli più invasivi solo in caso di rilevazione di specifiche anomalie.
Il suddetto provvedimento conferma, pertanto, la coerenza degli orientamenti avuti fino ad oggi dal Garante con la nuova definizione dell’art. 4 dello Statuto dei lavoratori, in particolar modo rimane comunque attuale quanto disposto dalle linee Guida concernenti la posta elettronica e Internet dell’1 marzo 2007. Dal provvedimento qui analizzato, inoltre, emerge come l’intento sottostante alle modifiche apportate all’art. 4 dello Statuto dei lavoratori non è assolutamente identificabile nella volontà di legittimare l’effettuazione di controlli a distanza sull’attività lavorativa, come già dichiarato dal Ministero del Lavoro in un comunicato del 18 giugno 2015.
Dunque, alla luce di quanto sopra esposto, è possibile sostenere che nonostante i provvedimenti emessi dal Garante, le interpretazioni dottrinali e giurisprudenziali nonché le modifiche normative in materia di controlli a distanza, il principio giuridico sottostante rimane ad oggi totalmente invariato.
*Gabriele Faggioli Giurista, CEO di P4I – Partners4Innovation, Presidente Clusit e Adjunct professor MIP – Politecnico di Milano
Francesca Lo Giudice, Consultant P4I