Per i controlli a distanza oltre all’accordo servono valutazione, policy, informativa

Il Garante per la protezione dei dati personali con il provvedimento 190/2021 torna sul tema del controllo a distanza dei lavoratori, indicando la necessità del rispetto delle norme sulla privacy .

La vicenda trae origine dal reclamo di una dipendente del Comune di Bolzano, che contestava di essere stata oggetto di monitoraggio sistematico, da parte del datore di lavoro, del traffico in rete e dei singoli accessi a internet su siti non di carattere istituzionali quali facebook e youtube per una durata rispettivamente di 40 minuti e 3 ore. In particolare, la dipendente lamentava la mancanza di un'informativa specifica sui possibili controlli, la violazione dei principi di liceità correttezza e trasparenza e minimizzazione nel trattamento dei dati personali, soprattutto in considerazione della possibilità di tenere traccia di tutti i siti visitati in modo massivo e indiscriminato.

Il Comune si difendeva in modo articolato, rappresentando che:
a) la materia del controllo a distanza era regolata da un esplicito accordo sindacale, così come richiesto dall'articolo 4 della legge 300/1970;
b) il codice di comportamento, pubblicato sulla intranet aziendale, vietava ai dipendenti l'uso di internet per finalità non istituzionali e quindi non lavorative nel quale era espressamente indicato che veniva tenuta traccia dei siti visitati;
c) i log dei siti visitati venivano conservati per trenta giorni come previsto dall'accordo sindacale e infine che ai dipendenti erano state consegnate numerosi documenti contenenti le informative richieste.

Il Garante ha in primo luogo sanzionato il Comune per la mancanza di un'informativa specifica sulla speciale tipologia del trattamento, informativa che ricordiamo essere obbligatoria prima di iniziare qualsiasi trattamento e che deve contenere gli elementi essenziali delle operazioni di trattamento. Nel caso specifico, la presenza di molteplici documenti di date, natura e contenuto diversi ha determinato una frammentarietà delle informazioni, censurata dal Garante in quanto ha violato il principio di correttezza e trasparenza.

Il Garante prosegue dichiarando che il tracciamento dei log di accesso a internet, che consenta la riconducibilità a uno specifico dipendente, viola comunque la normativa privacy, poiché permetterebbe di acquisire anche incidentalmente dati relativi alla sfera extra lavorative del dipendente.

Oltre a un problema esclusivamente di privacy circa la proporzionalità del trattamento, l'Autorità rileva anche il rischio di una violazione dell'articolo 8 della legge 300/1970, che fa divieto di trattare dati non attinenti alla valutazione dell'attitudine professionale del lavoratore. Una posizione piuttosto radicale, che non tiene in alcun conto l'esigenza del datore di lavoro di verificare l'adempimento dei lavoratori alle direttive impartite ed eventualmente sanzionare i comportamenti scorretti, anche qualora possano mettere a rischio la tenuta del sistema informatico attraverso comportamenti pericolosi.

Infine, l'ultima violazione rilevata è la mancata effettuazione della valutazione di impatto. Al Comune si imputa di non aver svolto alcuna indagine per valutare se i trattamenti che si intendevano realizzare potessero presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Valutazione che il Garante ritiene invece indispensabile, in considerazione della particolare vulnerabilità degli interessati nel contesto lavorativo, richiamando al riguardo un proprio precedente provvedimento che espressamente menziona i trattamenti effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell'attività dei dipendenti.

Alla luce di questa presa di posizione del Garante, quindi, i datori di lavoro devono essere ancora più attenti nell'implementare un sistema dal quale derivi la possibilità di controllo a distanza dell'attività lavorativa dei dipendenti, soprattutto dal punto di vista del rispetto della normativa privacy. L'accordo sindacale o l'autorizzazione dell'Ispettorato del lavoro (ove richiesti in relazione allo strumento) infatti non bastano. Per poter trattare i dati è necessaria un'informativa/policy adeguata, specifica e trasparente su modalità d'uso degli strumenti informatici, finalità e modalità di effettuazione dei controlli. In particolare nell'informativa è necessario indicare gli strumenti che consentono il controllo, specificando le loro caratteristiche, funzionamento, modalità e regole di utilizzo nonché le modalità, in termini di oggetto e frequenza dei controlli.

Prima ancora, però, sarà necessario, secondo il Garante, eseguire una valutazione di impatto per analizzare se i trattamenti che verranno posti in essere possano rappresentare un rischio elevato per i diritti le libertà degli individui. In caso affermativo, il datore di lavoro dovrà individuare le necessarie misure tecniche e organizzative per attenuare tale rischio.