x

x

Privacy - Garante: primo censimento degli strumenti di lavoro e degli apparati per i controlli a distanza dopo il Jobs Act

Privacy - Garante: primo censimento degli strumenti di lavoro e degli apparati per i controlli a distanza dopo il Jobs Act
Privacy - Garante: primo censimento degli strumenti di lavoro e degli apparati per i controlli a distanza dopo il Jobs Act

Il caso

L’Autorità Garante per la protezione dei dati personali è intervenuta elaborando un primo importante censimento degli strumenti di lavoro e degli apparati per i controlli a distanza, dopo la riforma dello Statuto dei Lavoratori ad opera del Jobs Act.

Con il provvedimento in esame, il Garante si pronuncia su una serie di segnalazioni e reclami con i quali si lamentava la illiceità di trattamenti di dati personali effettuati da un Ateneo, la cui infrastruttura consentiva di monitorare tutti gli accessi alla rete e alle caselle di posta elettronica da parte dei propri “utenti” (docenti, ricercatori, personale tecnico amministrativo e bibliotecario, studenti, dottorandi, specializzandi, assegnisti di ricerca, professori a contratto e visiting professors).

Per alcune categorie di “utenti” i dati raccolti erano chiaramente riconducibili ai singoli utilizzatori della rete per effetto dell’incrocio tra indirizzi Ip (indirizzo internet) e i Mac address (Media Access Control Address), che identificano il computer assegnato a ciascun dipendente. Inoltre, l’Università non aveva fornito un’idonea informativa privacy, come richiesto dall’articolo 4 dello Statuto e dal Codice Privacy (Decreto Legislativo 30 giugno 2003, n. 196).

Data la natura di dato personale del Mac address ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati (articolo 4, comma 1, lettera b) del Codice Privacy), il trattamento dei dati da parte dell’Ateneo risulta essere illegittimo e in violazione della normativa in materia.

Per i motivi esposti, il Garante ha inibito l’ulteriore trattamento dei dati personali e la conservazione di quelli finora trattati ai fini di un’eventuale acquisizione degli stessi da parte dell’autorità giudiziaria, trasmettendo gli atti e copia del provvedimento in oggetto alla stessa per le valutazioni di competenza in ordine agli illeciti penali configurabili.

Normativa di riferimento

Ricordiamo che l’articolo 4 della legge 300/1970 (“Statuto dei Lavoratori”) disciplina gli strumenti di controllo a distanza dell’attività dei lavoratori, precisando che gli stessi “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e che “possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” o, nel caso di imprese con unità produttive dislocate in province e regioni diverse, “dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale”. In mancanza di accordi, l’installazione e l’utilizzo di tali strumenti necessita di un’apposita autorizzazione della Direzione territoriale del lavoro o del Ministro del lavoro e delle politiche sociali.

La disposizione legislativa, riformata dall’articolo 23 del Decreto Legislativo n. 151/2015, recante “Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di rapporto di lavoro e pari opportunità, in attuazione della legge 10 dicembre 2014, n. 183” , esenta da tale disciplina gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e gli “strumenti di registrazione degli accessi e delle presenze” il cui utilizzo, dunque, non necessita di alcun accordo sindacale o autorizzazione amministrativa.

Con il provvedimento in esame il Garante si è pertanto pronunciato entrando nel merito dei singoli strumenti per i quali non è richiesto l’accordo sindacale e quelli per i quali, invece, è richiesto.

Secondo il Garante il servizio di posta elettronica offerto ai dipendenti con l’attribuzione di un account personale, gli altri servizi della rete aziendale, tra cui internet, o quelli più prettamente diretti ad assicurare il fisiologico e sicuro funzionamento della rete, ossia i sistemi di logging, i software antivirus e i sistemi di inibizione automatica di contenuti inconferenti con il lavoro, costituiscono strumenti di lavoro che a norma dell’articolo 4 dello Statuto non necessitano di accordi con le associazioni sindacali o autorizzazioni amministrative.

Non possono, invece, essere considerati strumenti di lavoro gli apparati e i sistemi software che consentono in background, dunque con modalità non percepibili dall’utente, di monitorare, filtrare, controllare e tracciare in modo costante e indiscriminato gli accessi a internet o al servizio di posta elettronica. Tali applicativi ricadono nella categoria degli strumenti di controllo a distanza dell’attività dei lavoratori.

(Garante per la protezione dei dati personali, Provvedimento 13 luglio 2016, n. 303)

Il caso

L’Autorità Garante per la protezione dei dati personali è intervenuta elaborando un primo importante censimento degli strumenti di lavoro e degli apparati per i controlli a distanza, dopo la riforma dello Statuto dei Lavoratori ad opera del Jobs Act.

Con il provvedimento in esame, il Garante si pronuncia su una serie di segnalazioni e reclami con i quali si lamentava la illiceità di trattamenti di dati personali effettuati da un Ateneo, la cui infrastruttura consentiva di monitorare tutti gli accessi alla rete e alle caselle di posta elettronica da parte dei propri “utenti” (docenti, ricercatori, personale tecnico amministrativo e bibliotecario, studenti, dottorandi, specializzandi, assegnisti di ricerca, professori a contratto e visiting professors).

Per alcune categorie di “utenti” i dati raccolti erano chiaramente riconducibili ai singoli utilizzatori della rete per effetto dell’incrocio tra indirizzi Ip (indirizzo internet) e i Mac address (Media Access Control Address), che identificano il computer assegnato a ciascun dipendente. Inoltre, l’Università non aveva fornito un’idonea informativa privacy, come richiesto dall’articolo 4 dello Statuto e dal Codice Privacy (Decreto Legislativo 30 giugno 2003, n. 196).

Data la natura di dato personale del Mac address ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati (articolo 4, comma 1, lettera b) del Codice Privacy), il trattamento dei dati da parte dell’Ateneo risulta essere illegittimo e in violazione della normativa in materia.

Per i motivi esposti, il Garante ha inibito l’ulteriore trattamento dei dati personali e la conservazione di quelli finora trattati ai fini di un’eventuale acquisizione degli stessi da parte dell’autorità giudiziaria, trasmettendo gli atti e copia del provvedimento in oggetto alla stessa per le valutazioni di competenza in ordine agli illeciti penali configurabili.

Normativa di riferimento

Ricordiamo che l’articolo 4 della legge 300/1970 (“Statuto dei Lavoratori”) disciplina gli strumenti di controllo a distanza dell’attività dei lavoratori, precisando che gli stessi “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e che “possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” o, nel caso di imprese con unità produttive dislocate in province e regioni diverse, “dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale”. In mancanza di accordi, l’installazione e l’utilizzo di tali strumenti necessita di un’apposita autorizzazione della Direzione territoriale del lavoro o del Ministro del lavoro e delle politiche sociali.

La disposizione legislativa, riformata dall’articolo 23 del Decreto Legislativo n. 151/2015, recante “Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di rapporto di lavoro e pari opportunità, in attuazione della legge 10 dicembre 2014, n. 183” , esenta da tale disciplina gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e gli “strumenti di registrazione degli accessi e delle presenze” il cui utilizzo, dunque, non necessita di alcun accordo sindacale o autorizzazione amministrativa.

Con il provvedimento in esame il Garante si è pertanto pronunciato entrando nel merito dei singoli strumenti per i quali non è richiesto l’accordo sindacale e quelli per i quali, invece, è richiesto.

Secondo il Garante il servizio di posta elettronica offerto ai dipendenti con l’attribuzione di un account personale, gli altri servizi della rete aziendale, tra cui internet, o quelli più prettamente diretti ad assicurare il fisiologico e sicuro funzionamento della rete, ossia i sistemi di logging, i software antivirus e i sistemi di inibizione automatica di contenuti inconferenti con il lavoro, costituiscono strumenti di lavoro che a norma dell’articolo 4 dello Statuto non necessitano di accordi con le associazioni sindacali o autorizzazioni amministrative.

Non possono, invece, essere considerati strumenti di lavoro gli apparati e i sistemi software che consentono in background, dunque con modalità non percepibili dall’utente, di monitorare, filtrare, controllare e tracciare in modo costante e indiscriminato gli accessi a internet o al servizio di posta elettronica. Tali applicativi ricadono nella categoria degli strumenti di controllo a distanza dell’attività dei lavoratori.

(Garante per la protezione dei dati personali, Provvedimento 13 luglio 2016, n. 303)