x

x

Dati di navigazione dei dipendenti: tra sicurezza informatica e controlli dei lavoratori

Antelope Canyon
Ph. Antonio Capodieci / Antelope Canyon

I dati di navigazione dei dipendenti sono il cuore del provvedimento adottato dal Garante per la protezione dei dati personali verso il Comune di Bolzano lo scorso maggio, pubblicato nella newsletter di giugno 2021. L’Autorità ha sanzionato il Comune per illiceità relative al trattamento dei dati personali di navigazione dei dipendenti raccolti da un sistema implementato per finalità di protezione e sicurezza della rete informatica interna dell’Ente.

Nulla di nuovo sotto il Sole, te lo anticipo. A questo punto, ti chiederai perché mai dovresti continuare nella lettura… Due motivi:

  1. Il provvedimento n. 190 del 13 maggio 2021 restituisce in maniera cristallina l’orientamento del Garante sul tema della raccolta e dell’utilizzo dei dati di navigazione dei dipendenti che, indipendentemente dalle critiche e spunti riflessivi che vi si possono muovere, è sostanzialmente legge per ogni datore di lavoro (e per chi lo assiste) in qualità di titolare del trattamento dei dati dei propri dipendenti;
  2. Questo “viaggio” ti costa solo qualche minuto. Al Comune di Bolzano, invece, è costato 84.000 euro.

Se ti ho convinto, si parte.

 

La vicenda: il sistema di raccolta “incriminato” dei log di dati di navigazione

In breve, la vicenda riguarda l’implementazione da parte del Comune di Bolzano di un sistema di raccolta dei log di dati di navigazione dei dipendenti, installato dopo la firma di un accordo sindacale il 20 ottobre 2000 quale misura di sicurezza a protezione e sicurezza della rete informatica dell’ente.

I log relativi ai dati di navigazione dei dipendenti raccolti dal sistema – contenenti dati personali dei dipendenti quali giorno, ora, user id (iniziale del nome e prime lettere del cognome), pc utilizzato e URL del sito consultato – venivano impiegati dal Comune per avviare un procedimento disciplinare contro un dipendente, “reo” di aver utilizzato la propria postazione per “seguire attività non istituzionali” (leggasi 3 ore passate su YouTube, accesso a Facebook e ad altri siti non inerenti il suo lavoro). La vicenda è simile ad un’altra che la Cassazione ha deciso qualche mese fa (ne abbiamo parlato qui).  

Sebbene il procedimento disciplinare veniva archiviato, finendo in un nulla di fatto a causa dell’inattendibilità dei dati di navigazione fotografati dai log poiché non differenzianti tra navigazione intenzionale e involontaria – ad esempio, i log contavano nel tempo di navigazione i siti collegati ai banner pubblicitari e ai pop-up, presumibilmente mai effettivamente visitati il dipendente avanzava comunque reclamo al Garante, lamentando violazioni nel trattamento dei propri dati di navigazione.  

Nel reclamo, l’interessato sostanzialmente lamentava la violazione dei principi fondamentali di cui all’articolo 5 del GDPR poiché il sistema di raccolta dei dati di navigazione “incriminato” permetteva di controllare, tracciare, filtrare in maniera massiva, costante e indiscriminata la cronologia dei siti internet visitati e il tempo di navigazione di ciascun dipendente per ciascun sito, consentendo di estrarne un report previo inoltro di richiesta all’Ufficio servizi informatici dell’Ente.

In sintesi, un controllo a distanza in violazione dell’articolo 4 dello Statuto dei Lavoratori, aggravato dalla conservazione per un lungo periodo di tempo e dall’assenza di un’informativa sul trattamento dei dati di navigazione correlato al controllo degli accessi a Internet dei dipendenti.

 

Le difese del Comune e l’avvio del procedimento

Chiamato a difendersi dal Garante nell’ambito dell’istruttoria avviata a seguito del reclamo, il Comune si difendeva facendo leva principalmente sui seguenti punti:

  • Lo stesso accordo sindacale sulla base del quale veniva implementato il sistema, pubblicato sulla intranet del Comune e di cui l’interessato aveva firmato la presa visione, prevedeva espressamente la possibilità per i dirigenti di chiedere all’amministratore di rete controlli mirati degli accessi ad Internet da parte di personale del rispettivo ufficio/ripartizione, comportanti quindi il trattamento dei dati di navigazione del dipendente sotto controllo;
  • Le informazioni relative al trattamento erano state date agli interessati dal Comune mediante una serie di documenti: l’accordo sindacale, l’informativa generale ai dipendenti, il codice di comportamento e le circolari interne dell’Ufficio del personale;
  • Per il trattamento dei dati di navigazione non era stata effettuata alcuna valutazione d’impatto perché l’analisi dei rischi effettuata dal Comune, “validata” dal parere positivo del DPO, non aveva fatto emergere alcun rischio elevato per i diritti e le libertà delle persone fisiche.

Letta la nota del Comune, il Garante ha comunicato all’Ente l’avvio del procedimento per l’adozione di un provvedimento sanzionatorio, rilevando che il trattamento dei dati di navigazione oggetto della vicenda risultava in violazione di svariate disposizioni del GDPR. In particolare, i profili di violazione contestati erano 3: assenza di un’informativa idonea, violazione dei principi di cui all’articolo 5 e mancanza di una valutazione di impatto.

In risposta all’avvio del procedimento, il Comune comunicava al Garante di aver interrotto il trattamento dei dati di navigazione e, comunque, di aver (i) effettuato la valutazione di impatto, (ii) redatto specifica informativa dedicata ai trattamenti che, per esigenze organizzative e di sicurezza informatica sul trattamento dei dati, comportano il tracciamento delle attività dei dipendenti mediante i dati di navigazione, e (iii) pseudonimizzato i log mediante la sostituzione dell’user id con un numero.

 

Assenza dell’informativa

Il primo profilo di violazione trattato dal provvedimento del Garante è l’assenza di un’informativa al trattamento idonea.

Pur avallando quanto dichiarato dal Comune nella propria nota, il Garante ha rilevato che i documenti indicati dall’Ente, redatti per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati, non contenevano tutti gli elementi previsti dall’articolo 13 del GDPR.

Inoltre, la frammentarietà delle informazioni contenute in molteplici atti, diversi per natura e funzione nonché stratificatisi nel tempo dall’Ente, rendeva comunque le stesse inidonee a rispondere adeguatamente ai requisiti di chiarezza, semplicità e trasparenza di cui all’articolo 13 del GDPR.

Prima nota di viaggio: solo un’informativa organica dedicata ai trattamenti di cui si vuole dare notizia all’interessato è valida ai sensi del GDPR. No a informative “Lego”, costruite dando le informazioni un po’ qui e un po’ là nell’ambito di altri documenti adottati dal titolare. 

Nel caso di specie, dunque, si rendeva necessaria un’informativa sul trattamento dei dati di navigazione dei dipendenti ad hoc.

 

Violazione dei principi

Ricollegandosi all’assenza di un’informativa adeguata, e ricordando che secondo lo Statuto dei Lavoratori il rispetto di quest’ultimo obbligo è condizione necessaria per l’utilizzo dei dati, dunque anche per i dati di navigazione, raccolti da strumenti da cui possa derivare un controllo a distanza dei lavoratori per tutti i fini connessi alla gestione dei rapporti di lavoro, il Garante parte constatando come già solamente questa mancanza sarebbe stata sufficiente a rendere il trattamento illecito.

Premesso ciò, l’illiceità dei trattamenti effettuati dal sistema sarebbe stata comunque ravvisabile nella violazione dei principi di minimizzazione, pertinenza e proporzionalità in relazione alla finalità di sicurezza e protezione della rete perseguita dal Comune.

Questo perché il sistema effettuava una raccolta sistematica, generalizzata ed indiscriminata dei dati di navigazione relativi all’attività e all’utilizzo dei servizi di rete da parte dipendenti, i quali erano univocamente e direttamente identificabili grazie alla struttura dei file di log. L’operatività del sistema è stata quindi ritenuta sproporzionata rispetto alla finalità principale perseguita e, a cascata, i dati di navigazione raccolti non utilizzabili per i fini connessi alla gestione del rapporto di lavoro.

Interessanti le ulteriori osservazioni del Garante relative alla pseudonomizzazione dei log effettuata dal Comune a seguito dell’avvio del procedimento. Su questo punto, l’Autorità ravvisa l’insufficienza di questa misura a rendere proporzionato e compatibile col principio di minimizzazione il trattamento.

Secondo il Garante, condizione fondamentale per porre rimedio alla violazione dei suddetti principi deve consistere nell’anonimizzazione dei log, impendendo così il controllo generalizzato e preventivo dei dipendenti mediante l’associazione del numero pseudonimo alla loro postazione pc di lavoro ma restando salva la possibilità per il titolare di intraprendere rilevazioni puntuali di dati di navigazione solo a fronte di riscontrate anomalie di traffico web la cui entità sia tale da compromettere la sicurezza e l’integrità dei sistemi informativi.

Seconda nota di viaggio: il controllo preventivo, generalizzato, ingiustificato e diffuso – per quanto incidentale – sui dati di navigazione dei dipendenti non è mai possibile. Raccolta dei dati di navigazione in forma anonima e controlli attivabili solo se giustificati dal riscontro di anomalie di traffico.

 

Mancanza della valutazione di impatto

Terzo ed ultimo profilo è quello relativo alla mancanza della valutazione di impatto di cui all’articolo 35 del GDPR.

In merito a questa contestazione, pur premettendo che il principio di responsabilizzazione prevede che spetti al titolare la decisione sul se sia necessario o meno effettuarla, il Garante ha osservato che, nel caso di specie, i trattamenti realizzati dal Comune risultavano indubbiamente integrare almeno due dei nove criteri previsti dalle linee guida in materia –  monitoraggio sistematico e vulnerabilità degli interessati – che, come noto, sostanzialmente “obbligano” alla valutazione d’impatto proprio nei casi in cui il trattamento presenti almeno due di tali condizioni.

Inoltre, a riprova della necessità che la valutazione d’impatto dovesse essere realizzata, il Garante non ha mancato di ricordare che l’allegato 1 del proprio provvedimento contenente l’elenco di trattamenti che richiedono una DPIA menziona espressamente i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.

Terza nota di viaggio: in questi casi, la valutazione d’impatto va fatta. Senza se e senza ma.

 

La violazione “ciliegina”

In teoria, il viaggio sarebbe finito qui.

Se vuoi però continuarlo e conoscere la violazione “ciliegina” rintracciata nell’ambito del provvedimento, resta sintonizzato su questa rubrica