L'impiegato che naviga nel web...

ricpast

Master of Puppets
Registrato
4/8/03
Messaggi
35.428
Punti reazioni
1.918
Controlli sulla navigazione in internet del dipendente: interessante pronuncia del Garante per la privacy.



L’Autorità garante per la protezione dei dati personali, con provvedimento del 2 febbraio 2006, ha accolto il ricorso presentato da un ex dipendente di una società che chiedeva all’Autorità di vietare a quest’ultima l’uso, anche a fini processuali, dei dati relativi alla navigazione in internet compiuta dal dipendente stesso nel periodo in cui prestava la propria attività lavorativa presso tale società.
La pronuncia del Garante riveste particolare interesse in quanto fornisce utili indicazioni dei casi nei quali i dati in questione possono venir trattati nell’ambito dei cd. “controlli difensivi” compiuti dal datore di lavoro e volti ad accertare eventuali comportamenti illeciti dei dipendenti.



- Il caso deciso
Nel ricorso deciso dal Garante, un ex dipendente di una società contestava l’uso da parte della società stessa di dati sugli accessi internet da lui compiuti nel corso del periodo lavorativo; sulla base di tali dati, la società aveva peraltro promosso nei confronti del dipendente un provvedimento disciplinare, scaturito nel suo licenziamento. Il dipendente non aveva abilitazione ad accedere ad internet, in quanto tale attività non era prevista nel suo mansionario. L’azienda aveva acquisito i dati specifici dei siti visitati (tra i quali siti a contenuto religioso, politico e pornografico) raccogliendo le informazioni dai file temporanei e cookies originati direttamente dal personal computer dello stesso dipendente.

- I motivi della decisione del Garante
Il Garante ha accolto il ricorso del dipendente, accertando alcune precise violazioni:
a) violazione dei principi di pertinenza e non eccedenza (art. 11 del codice);
b) violazione dell’obbligo di idonea informativa all’interessato (art. 13);
c) violazione del bilanciamento degli interessi e della necessità del trattamento dei dati sensibili e attinenti la vita sessuale (art. 26, 4°comma, lett. c).

a) Il Garante ha ritenuto eccedente il trattamento effettuato (mediante verifica degli specifici siti visitati) rispetto alla finalità dell’azienda: dato che il dipendente non doveva, in base alle sue mansioni, navigare in internet, sarebbe stato sufficiente accertare l’avvenuta navigazione, non essendovi infatti alcuna necessità di verificare anche i siti visitati ed il loro contenuto.

b) Il Garante ha ritenuto non idonea l’informativa agli interessati fornita dall’azienda mediante un “manuale qualità”, in quanto tale manuale non informava preventivamente ed in modo compiuto dei possibili controlli. Il manuale prevedeva genericamente back up periodici, senza precisare i possibili controlli e le modalità con cui venivano effettuati (ad esempio, mediante verifica sui back up di navigazione). Nel caso specifico, invece, l’azienda aveva effettuato un controllo direttamente sui file temporanei ed i cookies residenti nel computer del dipendente.

c) Il Garante, infine, rileva che dalla rilevazione sui siti visitati sono emersi dati sensibili (siti a contenuto politico e religioso) che possono essere trattati senza consenso dell’interessato per far valere in giudizio un diritto, a condizione però che lo stesso trattamento sia “necessario” ed “indispensabile”: nel caso specifico non lo era, dato che risultava sufficiente accertare genericamente l’avvenuta navigazione. Inoltre, il Garante ricorda che il trattamento dei dati attinenti alla vita sessuale, senza consenso, è lecito solo per far valere un diritto di rango pari a quello dell’interessato od un diritto della personalità od altro diritto o libertà fondamentale: i diritti dell’azienda legati allo svolgimento del rapporto di lavoro non sono considerati tali.

- Valutazioni
Dalla decisione del Garante emergono quindi alcune importanti indicazioni:
- qualora non sia sufficiente adottare sistemi tecnici preventivi di filtraggio e blocco di determinati tipologie di siti e si ritiene invece di utilizzare sistemi di controllo successivo, è necessario informare preventivamente in modo idoneo tutti gli interessati sull’esistenza di tale sistema di controllo, precisandone altresì modalità e caratteristiche tecniche. A tal fine può risultare utile adottare un regolamento sull’uso degli strumenti telematici ed informatici aziendali;
- viene peraltro opportunamente ricordata dallo stesso Garante la legittimità dei cd. “controlli difensivi” attuati dal datore di lavoro, nel senso che gli articoli 2, 3 e 4 dello Statuto dei lavoratori non fanno "venire meno il potere dell'imprenditore, ai sensi degli articoli 2086 e 2104 del codice civile, di controllare direttamente o mediante propria organizzazione gerarchica l'adempimento delle prestazioni cui sono tenuti i lavoratori, e così di accertare eventuali mancanze specifiche dei dipendenti medesimi già commesse o in corso di esecuzione"; inoltre, per poter applicare il divieto di controllo a distanza dei lavoratori di cui all'art. 4 della l. n. 300/1970, "è necessario che il controllo riguardi (direttamente o indirettamente) l'attività lavorativa, mentre devono ritenersi certamente fuori dall'ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cd. controlli difensivi)" (cfr. Cass. n. 4746/2002), quali quelli messi in atto nel caso di specie;
- qualora però, nel corso dei controlli previsti, si incorra nel trattamento di dati sensibili o attinenti alla vita sessuale, è necessario tenere presente i ristretti limiti entro cui è possibile trattare tali dati senza consenso del dipendente.
 
Indietro