Verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori. Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a unâuniversitĂ il monitoraggio massivo delle attivitĂ in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dallâAteneo.
Nel corso dellâistruttoria, lâamministrazione ha respinto le accuse, sostenendo che lâattivitĂ di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto dâautore o di indagini della magistratura. LâUniversitĂ aveva inoltre aggiunto che non venivano trattati dati personali dei dipendenti che si connettevano alla rete. Lâistruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.
Lâinfrastruttura adottata dallâAteneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e allâe-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, âstrumenti utilizzati dal lavoratore per rendere la prestazione lavorativaâ. Tali software, infatti, non erano necessari per lo svolgimento della predetta attivitĂ ed operavano, peraltro, in background, con modalitĂ non percepibili dallâutente. Eâ stato cosĂŹ violato lo Statuto dei lavoratori â anche nella nuova versione modificata dal cosiddetto âJobs Actâ â che in caso di controllo a distanza prevede lâadozione di specifiche garanzie per il lavoratore.
Nel provvedimento il Garante ha rimarcato che lâUniversitĂ avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli piĂš invasivi, legittimati solo in caso di individuazione di
specifiche anomalie, come la rilevata presenza di virus. In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.
LâAutoritĂ ha infine riscontrato che lâUniversitĂ non aveva fornito agli utilizzatori della rete unâidonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando cosĂŹ il principio di liceitĂ alla base del trattamento dei dati personali. LâAutoritĂ ha quindi dichiarato illecito il trattamento dei dati personali cosĂŹ raccolti e ne ha vietato lâulteriore uso, imponendo comunque la loro conservazione per consentirne lâeventuale acquisizione da parte della magistratura
Articolo tratto da: Garante per la Protezione dei dati personali
