di Lucia Izzo - Violano il Codice della privacy e lo Statuto dei lavoratori, le operazioni di raccolta e memorizzazione indiscriminata dei dati del personale riguardanti posta elettronica e navigazione nella rete. Tanto ha stabilito il Garante per le Protezione dei dati personali nel parere iscritto al Registro dei provvedimenti n. 303 del 13 luglio 2016 (qui sotto allegato).
La vicenda considerata origina dalla segnalazione da parte del personale di un'Università italiana che ha lamentato la violazione della disciplina in materia di protezione dei dati personali con riguardo, tra l'altro, all'asserito controllo posto in essere dal datore di lavoro in ordine all'utilizzo di sistemi di comunicazione elettronica e di videosorveglianza.
Alla luce della documentazione in atti e delle dichiarazioni rese dal titolare del trattamento nel corso dell'istruttoria, emerge che l'Ateneo ha effettuato operazioni che consistono nella raccolta e conservazione, per un periodo di 5 anni, dei file di log relativi al traffico internet contenenti, tra gli altri, il MAC Address (Media Access Control Address), l'indirizzo IP nonché informazioni relative all'accesso ai servizi internet, all'utilizzo della posta elettronica e alle connessioni di rete.
Il trattamento coinvolge dati personali riferiti ad un novero assai ampio di soggetti definiti "utenti" della rete di Ateneo (in particolare, i docenti, i ricercatori, il personale tecnico amministrativo e bibliotecario, gli studenti, i dottorandi, gli specializzandi e gli assegnisti di ricerca, ma anche professori a contratto e visiting professors).
Tutto ciò è avvenuto per il tramite di apparati (differenti dalle ordinarie postazioni di lavoro) e di sistemi software che consentono, con modalità non percepibili dall'utente (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell'utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di "monitoraggio", "filtraggio", "controllo" e "tracciatura" costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica.
Ciò assume particolare rilievo con riguardo alla possibilità di risalire all'identità dell'utilizzatore della postazione, pertanto per il Garante appare evidente l'illiceità di un simile trattamento che viola sia il Codice per la tutela dei dati personali, ma anche lo Statuto dei lavoratori (l. n. 300/1970) con la conseguente inutilizzabilità dei dati trattati in violazione di legge.
Infatti, nei casi in cui il trattamento sia posto in essere nei confronti dei dipendenti e in presenza del menzionato collegamento tra i dati relativi alla connessione e la persona utilizzatrice, è possibile ricostruirne anche indirettamente l'attività, in contrasto con il principio di liceità nonché con la rilevante disciplina di settore in materia di lavoro.
Tanto, sia con riguardo alla disciplina in materia di impiego di apparecchiature idonee al controllo a distanza dell'attività dei lavoratori vigente all'epoca in cui il trattamento è stato iniziato, sia con riguardo al quadro normativo risultante dalle modifiche intervenute per effetto dell'art. 23 del decreto legislativo 14 settembre 2015, n. 151.
Ciò considerato, i sistemi ed applicativi in uso presso l'Università esulano senza dubbio dal perimetro degli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" e comportano, quindi, un trattamento in contrasto con quanto previsto dalla legge.
Il trattamento effettuato si pone altresì in violazione dei principi di necessità, pertinenza e non eccedenza previsti dal Codice, che non consentono controlli massivi, prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete.
Anche su tale aspetto si è soffermato il Garante chiarendo che i principi di necessità e proporzionalità impongono di privilegiare misure preventive ed, in ogni caso, gradualità nell'ampiezza del monitoraggio "che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie" quali, ad esempio, la riscontrata presenza di virus e "comunque all'esito dell'esperimento di misure preventive meno limitative dei diritti dei lavoratori".
In particolare, la memorizzazione dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete in modo massivo e anelastico, in presenza della menzionata associabilità in via univoca all'utente, non risulta strettamente necessaria per la generica finalità di protezione e sicurezza informativa ovvero per astratte finalità derivanti da possibili indagini giudiziarie, dando luogo ad un trattamento di dati eccedente rispetto agli scopi dichiarati.
L'Ateneo non ha infatti addotto la ricorrenza di specifici episodi "anomali" ovvero la presenza di idonei presupposti che possano legittimare sotto il profilo della proporzionalità il trattamento (quali, ad esempio, incidenti di sicurezza occorsi o la presenza di indagini in corso da parte dell'autorità giudiziaria).
Pertanto il Garante ha dichiarato illecito il trattamento descritto, con la conseguente inutilizzabilità dei dati trattati in violazione di legge, e ha disposto con effetto immediato il divieto all'ulteriore trattamento.
Garante dei dati personali, n. 303 del 13 luglio 2016• Foto: 123rf.com