Ancora una volta l’Autorità Garante per la protezione dei dati personali si è vista costretta a dover intervenire sul famigerato tema inerente il controllo dei lavoratori. Intervento piuttosto importante considerando sia il destinatario – un ente pubblico e nello specifico il Comune di Bolzano – e con una sanzione comunque rilevante di ben 84 mila euro.

Il tema è di natura informatica: ovvero il controllo della navigazione in internet dei lavoratori in modo indiscriminato. Occorre ricordare che sul tema del controllo dei lavoratori sono vigenti sia le normative in materia di privacy che lo statuto dei lavoratori ormai risalente al 1970. Ed il fatto di adempiere correttamente ad una delle due norme non libera il datore di lavoro dal dover rispettare l’altra.

Vediamo nel merito i fatti. Un dipendente del Comune di Bolzano ha presentato reclamo all’Autorità Garante lamentando presunte violazioni della disciplina di protezione di dati personali con riferimento al trattamento dei propri dati effettuato dall’Ente attraverso il monitoraggio del traffico di rete e dei singoli accessi ad Internet effettuati dall’interessato e, in generale, dai dipendenti comunali. Secondo il reclamante l’ente avrebbe utilizzati i dati di navigazione indiscriminatamente raccolti per procedere poi ad un avvio di procediamo disciplinare nel quale venivano contestati nel dettaglio al dipendente, la durata di specifiche navigazioni riguardanti facebook e youtube. Palese dunque la violazione da parte dell’ente dei principi fondamentali del vigente Regolamento Europeo per la protezione dei dati personali:  liceità, correttezza e minimizzazione nel trattamento dei dati personali dei dipendenti che il Comune non ha applicato adottando un sistema atto a registrare tutti gli accessi ad internet di ogni dipendente attivo presso l’Ente, andando a controllarne e tracciarne la navigazione, mantenendo peraltro anche specifiche informazioni quali cronologia dei siti e tempo di navigazione. Questa condotta è stata ovviamente censurata dall’Autorità competente, trattandosi da una parte di un controllo totalmente vietato dall’Art. 4 della LEGGE 300 del 1970, e dall’altra effettuando un trattamento senza nemmeno rispettare le prescrizioni richieste in materia di privacy in particolare senza che venisse rilasciata apposita informativa sul trattamento dati. Ciò che più stupisce è come tale sistema fosse attivo da più di dieci anni: il sistema ha dunque attraversato vari provvedimenti del Garante, modifiche normative, probabilmente anche vari responsabili del trattamento, “sopravvivendo” in modo ingiustificato nel tempo.  Benchè l’Ente avesse provato a giustificarsi evidenziando come fossero necessarie azioni atte a ridurre gli usi impropri di internet nell’Ente, il Garante ha evidenziato come non si possa comunque annullare completamente la riservatezza dell’interessato sul luogo di lavoro. E veniamo appunto alle conseguenze sanzionatorie e non. Infatti, oltre agli 84.000 euro di sanzione, l’Autorità di controllo ha anche prescritto l’adozione di misure tecniche ed organizzative al fine di anonimizzare completamente i dati relativi alla postazione di lavoro da cui opera ciascun dipendente, provvedendo ovviamente sia alla cancellazione dei dati personali presenti nei log navigazione web registrati, sia provvedendo all’aggiornamento delle procedure interne individuate e inserite nell’accordo sindacale. Quest’ultimo aspetto merita attenzione in quanto in gran parte dei casi aziende ed enti trascurano integralmente l’importanza dell’adozione delle misure organizzative, che costituiscono invece nel Regolamento Europeo un perno fondamentale per dimostrare il concetto di accountability. Ancora una volta l’attenzione va riportata sull’uso che viene fatto delle tecnologie e sul fatto che il loro potenziale debba essere gestito in conformità alla legge. L’Ente difatti avrebbe comunque potuto attivare dei meccanismi di controllo purché ciò fosse avvenuto secondo principi di gradualità ed in trasparenza.