Privacy, il datore di lavoro non può controllare la navigazione internet dei dipendenti in modo indiscriminato

Il datore di lavoro non può controllare la navigazione internet dei lavoratori in modo indiscriminato, anche se ci sono stati specifici accordi sindaca; le eventuali attività di controllo devono infatti comunque essere svolte sempre nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

A dirlo è il Garante per la protezione dei dati personali con provvedimento sanzionatorio nei confronti di un Comune, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente sottoposto a controllo da parte dell’Amministrazione.

Il Comune infatti utilizzava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete.

Se da un lato è vero che il datore di lavoro aveva stipulato un accordo con le organizzazioni sindacali, dall’altro il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Invece, il sistema utilizzato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità Garante ha inoltre ribadito che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può tuttavia condurre al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Per tali ragioni il Comune ha dovuto pagare una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale; e dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.