Controllo a distanza, i paletti del Garante
Il Garante per la Privacy, con provvedimento n. 303 del 13 luglio 2016 (vedi newsletter n. 419 del 15 settembre 2016 ), ha dichiarato illecito il trattamento dei dati effettuato da una Università la quale raccoglieva e conservava, per un periodo di 5 anni, i file di log relativi al traffico internet contenenti, tra gli altri, il MAC Address (Media Access Control Address), l’indirizzo IP, nonché informazioni relative all’accesso ai servizi internet, all’utilizzo della posta elettronica ed alle connessioni di rete di una serie di utenti fra cui docenti, ricercatori, personale tecnico amministrativo e bibliotecario, studenti, dottorandi, specializzandi e assegnisti di ricerca, professori a contratto e visiting professor.
Per giungere a tale conclusione il Garante ha richiamato il comunicato del ministro del Lavoro del 18 giugno 2015 e l’articolo 173 del Dlgs n. 81/2008 .
Ai sensi del citato comunicato, infatti, «l’espressione “per rendere la prestazione lavorativa” comporta che l’accordo o l’autorizzazione non servono se, e nella misura in cui, lo strumento viene considerato quale mezzo che “serve” al lavoratore per adempiere la prestazione: ciò significa che, nel momento in cui tale strumento viene modificato (ad esempio, con l’aggiunta di appositi software di localizzazione o filtraggio) per controllare il lavoratore, si fuoriesce dall’ambito della disposizione: in tal caso, infatti, da strumento che “serve” al lavoratore per rendere la prestazione il pc, il tablet o il cellulare divengono strumenti che servono al datore per controllarne la prestazione».
Nel caso di specie, nonostante la raccolta e la conservazione fosse effettuata in forma anonima, per esclusive finalità di monitoraggio del servizio nonché di sicurezza e integrità dei sistemi, e per far fronte ad eventuali richieste investigative dell’Autorità giudiziaria, il Garante ha constatato che era possibile risalire all’identità dell’utilizzatore della postazione, soprattutto con riferimento ai dipendenti cui era, per l’appunto, assegnata una specifica postazione di lavoro.
Inoltre, l’Ateneo non aveva fornito la dovuta informativa in favore degli utilizzatori della rete, anche con riguardo alle effettive caratteristiche delle operazioni di trattamento effettuate.
D’altra parte il Regolamento di Ateneo che dettava regole in merito al corretto utilizzo degli strumenti elettronici in dotazione agli utenti, non è stato ritenuto idoneo a sostituire l’adempimento di cui all’articolo 13 del Dlgs n. 196/2003, in quanto non contenente gli elementi essenziali richiesti dalla legge per l’informativa da rendere agli interessati, né idoneo a renderli edotti in modo esaustivo in merito alle operazioni di trattamento effettuate, con particolare riferimento alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati relativi ai MAC Address ed agli indirizzi IP dei personal computer messi a loro a disposizione o assegnati in uso.
Nel provvedimento è stato, inoltre, confermato ciò che ormai dovrebbe essere dato per scontato, stante i molteplici provvedimenti in materia adottati dal Garante nel tempo, ovvero che l’utilizzo di software che consentano, con modalità non percepibili dall’utente (c.d. in background) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati degli accessi ad internet o al servizio di posta elettronica, permettono il controllo dell’attività e dell’utilizzo dei servizi della rete da parte dei dipendenti, peraltro identificabili, per cui il loro impiego rientra nell’ambito di applicazione dell’articolo 4 della Legge n. 300/1970.
Ma la novità più interessante del provvedimento in questione è nell’affermazione del Garante per la Privacy per cui tali software non possono essere considerati «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa» ai sensi e per gli effetti del nuovo comma 2 dell’articolo 4 dello Statuto dei Lavoratori, come modificato dall’articolo 23 del Dlgs n. 151/2015, per cui per utilizzarli occorre rispettare la procedura di cui al comma 1 del medesimo articolo, ovvero cercare un accordo con le Rsu/Rsa o, in mancanza, richiedere l’autorizzazione alla Dtl competente.
L’articolo 173 del Dlgs n. 81/2008, invece, definisce posto di lavoro «l’insieme che comprende le attrezzature munite di videoterminale, eventualmente con tastiera ovvero altro sistema di immissione dati, incluso il mouse, il software per l’interfaccia uomo-macchina, gli accessori opzionali, le apparecchiature connesse, comprendenti l’unità a dischi, il telefono, il modem, la stampante, il supporto per i documenti, la sedia, il piano di lavoro, nonché l’ambiente di lavoro immediatamente circostante».
Dal provvedimento si evince, in effetti, che possono essere considerati strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza, ovvero a titolo esemplificativo, il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet.
Per il Garante, costituiscono parte integrante di tali strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore come:
– sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni;
– sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete;
– sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso.
Altri strumenti, come i sistemi di protezione perimetrale – firewall – in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni – IPS/IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne, utili al conseguimento di un’elevata sicurezza della rete aziendale, invece, non possono normalmente consentire controlli sull’attività lavorativa in quanto non comportano un trattamento di dati personali dei dipendenti, e di conseguenza non rientrano nell’ambito di applicazione della disciplina di cui all’articolo 4 della Legge n. 300/1970.