Il caso ha voluto che a pochissima distanza di tempo si sono succeduti due provvedimenti dell’Autorità Garante per la Protezione dei dati Personali ed una decisione della Corte di Cassazione che hanno affrontato da differenti punti di vista ma in modo sostanzialmente armonico il tema dei limiti dei controlli e del trattamento dei dati personali effettuato attraverso la strumentazione elettronica. Ci riferiamo in particolare ai provvedimenti del Garante 13.07.2016, n. 303, e 08.09.2016, n. 350 nonché alla sentenza della Corte di Cassazione 05.10.2016, n. 19922.
Il Provvedimento 13.07.2016, n. 303, affronta il tema della legittimità del controllo dei dati di accesso e navigazione internet.
Il caso trattato dall’Autorità riguardava un’Università che nell’ambito delle proprie procedure per la sicurezza della propria rete informatica raccoglieva e conservava per 5 anni, per ogni postazione di lavoro, tutti i file di log relativi al traffico internet tra cui i Media Access Control Address (MAC Address), gli indirizzi IP e le informazioni relative all’accesso ai servizi internet, all’utilizzo della posta elettronica ed alle connessioni di rete. L’Ateneo si era dotato di un regolamento per il corretto utilizzo degli strumenti elettronici, diffuso tra tutti gli utenti, ma non aveva fornito a questi ultimi una specifica informativa sulla registrazione e conservazione dei file di log. I software di back up, inoltre, consentivano agli amministratori di sistema operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti internet.
L’Authority ha ritenuto che i Media Access Control Address (MAC Address) e gli indirizzi IP dei computers sono “dati personali” ai sensi del D.Lgs. n. 196/2003 e permettono di risalire all’identità dell’utilizzatore della postazione di lavoro.
Ciò detto, ha aggiunto il Garante, la registrazione sistematica dei dati di log e la loro conservazione nel tempo costituiscono trattamenti di dati personali che consentono indirettamente di ricostruire l’attività dei dipendenti monitorati attraverso la possibilità di collegare i dati relativi alla connessione e navigazione internet e la persona utilizzatrice la postazione di lavoro.
Tale trattamento è contrario al principio di liceità ed all’art. 4 della Le. n. 300/1970 nonché con i principi di necessità, pertinenza e non eccedenza.
Il trattamento è in contrasto con il principio di liceità poiché viene effettuato con software che non sono “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” i quali non sono percepibili dall’utente ed operano in modo indipendente rispetto alla normale attività dell’utilizzatore.
In tema di navigazione web possono considerarsi “strumenti di lavoro” solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza quali, a titolo esemplificativo, il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet, nonché “i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso). Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale, invece, non possono normalmente consentire controlli sull’attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla disciplina di cui all’art. 4 Stat. lav. (ad es. sistemi di protezione perimetrale – firewall – in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni – IPS/IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne)”.
Il trattamento è inoltre contrario ai principi di necessità, pertinenza e non eccedenza poiché la registrazione sistematica dei MAC Address e degli indirizzi IP costituisce un controllo massimo, prolungato, costante ed indiscriminato non strettamente necessario alle generiche finalità di protezione e sicurezza informatica e di supporto ad eventuali possibili indagini dell’autorità giudiziaria.
Invece il Provvedimento 08.09.2016, n. 350, in prospettiva è forse più interessante poiché riguarda l’impiego delle nuove tecnologie per l’esecuzione di uno degli incombenti più classici, la rilevazione presenze.
Si tratta infatti di un provvedimento di verifica preliminare con cui l’Autorità Garante ha affermato la legittimità di un sistema di rilevazione delle presenze dei dipendenti basato su un’applicazione scaricata su smartphone che sfrutta il sistema di goelocalizzazione degli apparecchi telefonici.
La decisione presa dall’Authority è interessante per due ordini di motivi. In primo luogo per l’indagine svolta sull’interazione tra dati di goelocalizzazione e dati di presenza al lavoro. Secondariamente poiché nel caso si trattava di una app installata sullo smartphone personale dei dipendenti e non sull’apparecchio telefonico dato in dotazione dall’azienda come strumento di lavoro.
Per completezza ricordiamo che ai sensi del vigente art. 4 Le. n. 300/1970 gli strumenti di registrazione accessi e presenze, intendendosi per tali i tradizionali apparati di rilevazione, non sono soggetti all’obbligo della preventiva autorizzazione sindacale.
Il Garante ha ammesso l’utilizzabilità di una app installata su smartphone per la rilevazione delle presenze sottolineando che l’applicativo deve però possedere i seguenti requisiti:
– i dati di geolocalizzazione dei lavoratori possono essere trattati ma devono essere cancellati. Non possono essere conservati;
– i dati di localizzazione della sede di lavoro e di timbratura (data e orario) possono essere conservati in linea con l’obbligo di tenuta del LUL (5 anni);
– l’app deve avere un’icona che indichi in modo chiaro quando la localizzazione è accesa;
– l’app non può accedere ad altri dati presenti nello smartphone quali i dati di navigazione internet, rubrica telefonica, etc.
Inoltre il Garante ha prescritto che:
– i dati dell’app possono essere usati solo per la finalità tipica, la rilevazione presenze, e non per scopi diversi e/o indiretti (es. controllo del lavoro per fini disciplinari);
– sia rispettato l’obbligo (generale) di notificazione preventiva all’Autorità;
sia rispettato l’obbligo di informativa al lavoratore;
– siano individuati incaricati e responsabili del trattamento anche con riferimento al fornitore dell’app;
– siano adottate misure di sicurezza.
Da ultimo in ordine di tempo, la Corte di Cassazione (decisione 05.10.2016, n. 19922) si è occupata dei controlli c.d. a carattere difensivo.
I controlli a carattere difensivo erano quei controlli occulti ammissibili se e nella misura in cui venivano realizzati dal datore di lavoro contrastare attività illecite ovvero pre ragioni organizzative o produttive.
Nel caso trattato dalla Corte si trattava di un sistema di controllo realizzato da una società di vigilanza privata attraverso l’uso di due apparecchiature elettroniche che attraverso il sistema GPS di cui erano dotati permettevano di controllare da remoto la posizione dei veicoli utilizzati dagli addetti alla vigilanza e, per conseguenza, l’attività di questi. In quel caso, proprio attraverso l’incrocio di tali dati, la società datrice di lavoro aveva rilevato che un addetto alla vigilanza aveva segnalato nei propri rapportini di aver effettuato dei controlli in località in cui in realtà non era mai andato e per tale ragione lo aveva licenziato.
I Giudici di legittimità hanno stabilito che il controllo realizzato dall’azienda fosse illecito (ed hanno annullato il licenziamento) poiché non poteva dirsi di carattere difensivo.
I controlli c.d. difensivi, ha sottolineato il Collegio, devono avere le seguenti caratteristiche:
– si deve trattare di un meccanismo di controllo realizzato a posteriori, ovverosia almeno a seguito di sospetti sulla commissione di illeciti e violazioni, e deve essere mirato alla repressione di precise condotte illecite. Non si deve trattare di un sistema di controllo predisposto ex ante e generalizzato;
– gli impianti ed apparecchi di controllo che rilevino anche i dati relativi all’attività lavorativa dei dipendenti non possono essere utilizzati per provare l’inadempimento contrattuale dei lavoratori;
– il sistema deve servire a tutelare beni dell’azienda estranei al rapporto lavoratori quali sono il patrimonio materiale (macchine ed attrezzature) ed immateriale (know how) e non beni giuridici diversi come l’immagine e la reputazione poiché “quasi sempre la violazione degli obblighi contrattuali dei dipendenti può generare danni alla società (ed alla sua reputazione) che però costituiscono il “rischio naturale” correlato all’attività imprenditoriale che la legge non consente di limitare attraverso sistemi invasivi della dignità dei lavoratori”
Per qualsiasi ulteriore informazione potete rivolgervi al CENTRO SERVIZI INVESTIGATIVI contattandoci al numero 0242296056 oppure via mail info@servizinvestigativi.it