Controllo dei lavoratori: l’accordo sindacale non legittima il trattamento indiscriminato dei dati - Cyber Security 360

DATI PERSONALI

Controllo dei lavoratori: l’accordo sindacale non legittima il trattamento indiscriminato dei dati

Il Garante Privacy ha sanzionato il Comune di Bolzano per 84mila euro per un trattamento dati illecito nei confronti dei dipendenti comunali: un provvedimento che censura l’idea per cui l’accordo sindacale sarebbe in grado di legittimare qualsiasi trattamento dati. Ecco quale lezione per le aziende

29 Giu 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Nella Newsletter del 22 giugno scorso il Garante Privacy ha dato atto di aver sanzionato (con ordinanza ingiunzione n. 190 del 13.05.2021) il Comune di Bolzano per ben 84.000 € per un trattamento dati illecito nei confronti dei dipendenti comunali.

Controllo dei lavoratori: l’equivoco sull’accordo sindacale

Il provvedimento censura, in realtà, quello che è un malinteso diffuso nel trattamento dati dei lavoratori, ovvero l’idea per cui l’accordo con i sindacati sarebbe in grado di legittimare qualsiasi trattamento dati assentito dalle rappresentanze dei lavoratori, anche al di là di quanto prescritto dalla legge.

In realtà, la disciplina contenuta negli accordi sindacali deve rispettare il dettato normativo e può, al più, costituirne una esplicazione di dettaglio, ma non può certo spingersi a derogare la disciplina legale.

Ancora, non è possibile pensare che l’accordo sindacale vada a sostituirsi in qualche modo al consenso del singolo lavoratore al trattamento, consenso che in ambito lavorativo ha comunque un valore di gran lunga diminuito (se non nullo) in ragione dello stato di soggezione in cui viene a trovarsi il lavoratore nei confronti del datore di lavoro.

Controllo a distanza dei lavoratori e privacy: cosa prevede la legge

Il caso all’esame del Garante Privacy

Nel caso esaminato dall’Autorità Privacy italiana un dipendente del Comune di Bolzano lamentava una violazione dei propri diritti in tema di protezione dei dati personali con riguardo al trattamento dati posto in essere dal Comune mediante monitoraggio del traffico di rete e dei singoli accessi ad Internet dei dipendenti.

Il Comune, in particolare, da oltre vent’anni impiegava un sistema di monitoraggio del traffico web da parte dei dipendenti comunali, i cui log venivano conservati per trenta giorni e poi venivano sovrascritti.

In caso di richiesta da parte di un dirigente poteva essere effettuato un controllo dei log e conseguentemente poteva essere irrogata una sanzione disciplinare.

Negli ultimi 10 anni in cui questo servizio è rimasto attivo è stato dato corso a 15 richieste di controllo, che hanno coinvolto 27 dipendenti. In un caso l’attività di controllo ha portato all’irrogazione di una sanzione disciplinare mentre l’unico altro provvedimento avviato (ma poi archiviato) è quello relativo al dipendente che ha denunciato il trattamento dati al Garante.

Il trattamento era stato implementato dopo il raggiungimento di un accordo con le organizzazioni sindacali del 25 ottobre 2000, successivamente integrato, limitatamente ad alcuni aspetti, in data 25 marzo 2010, proprio al fine di “aggiornare” il precedente accordo con riguardo alle crescenti necessità di utilizzo della rete da parte dei dipendenti comunali.

Il fine ultimo di questa attività di monitoraggio era quello di avviare procedimenti disciplinari e infatti il dipendente che ha lamentato il trattamento illecito dei propri dati era stato “pizzicato” a passare ore sui social network (Facebook e YouTube) consultando inoltre pagine web non inerenti il suo impiego.

Il dipendente aveva quindi ricevuto una comunicazione di avvio del provvedimento disciplinare, provvedimento poi archiviato in ragione della inattendibilità dei dati raccolti.

Si legge nel provvedimento del Garante che tale inattendibilità discende dal fatto che il logo riportava “anche una serie di siti (es. collegati a banner) che non erano stati necessariamente visitati dal lavoratore, senza possibilità di distinzione tra il sito effettivamente visitato e quelli a navigazione indiretta/involontaria. Per lo stesso motivo, anche il tempo di navigazione su tali siti non era un’informazione attendibile ai fini disciplinari”.

Nonostante l’archiviazione del procedimento disciplinare, il trattamento dati illecito rimane e l’istruttoria del Garante Privacy è quindi proseguita.

Controlli a distanza del lavoratore e diritto alla riservatezza: storia di un equilibrio difficile

L’Amministrazione, nel difendersi, ha affermato la legittimità del trattamento sulla base dell’accordo sindacale raggiunto, che la legittimava ad effettuare un’attività di monitoraggio del traffico di rete dei dipendenti per esigenze di sicurezza della rete IT comunale, prevedendo altresì che “i dirigenti possono chiedere all’amministratore di rete controlli mirati degli accessi ad internet da parte di personale del rispettivo ufficio/ripartizione”.

Il Comune affermava, inoltre, di aver fornito ai dipendenti compiuta informativa con riguardo al monitoraggio del traffico ed alle sue modalità in vari documenti messi loro a disposizione nonché nei regolamenti sull’uso dei dispositivi informatici (in cui era ribadita la necessità di utilizzarli solo per finalità lavorative).

Il Garante però evidenzia, nel proprio provvedimento, come questa informativa “parcellizzata” non può tenere luogo di quella prevista dall’art. 13 del GDPR, come l’Amministrazione abbia del tutto omesso una (necessaria e preventiva) valutazione di impatto sulla protezione dei dati in relazione al monitoraggio del traffico web e come soprattutto il Comune abbia violato i principi cardine del GDPR di minimizzazione del dato e di limitazione delle finalità del trattamento.

Il Comune ha infatti dato corso ad una generalizzata attività di tracciamento del traffico di rete dei dipendenti, peraltro estesa nel tempo (trenta giorni) senza che ve ne fosse motivo. Inoltre, l’Amministrazione ha esteso illegittimamente le finalità di questo trattamento, riservandosi “fin dal 2000, la possibilità di consultare i dati relativi alla navigazione web dei propri dipendenti, su richiesta del dirigente competente e per il tramite dell’amministratore di sistema, per eventuali esigenze legate a procedimenti disciplinari”.

Questo sistema comporta quindi operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete informativa dell’amministrazione, risolvendosi in una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti, con il rischio di raccogliere informazioni relative alla vita privata del dipendente.

Come ricorda il Garante nel proprio provvedimento, la questione non è nuova e infatti la medesima Autorità se ne era occupata nel 2011 con provvedimento (n. 308 del 21 luglio 2011) confermato nel 2016 dalla Suprema Corte (Cass. n. 18302 del 19.06.2016) che afferma come “l’acquisizione e conservazione dei dati relativi alla navigazione Internet dei dipendenti mediante […] registrazione dei file log importa la violazione anche del disposto di cui alla legge n. 300 del 1970, art. 8” e che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata […] anche se i dati non sono successivamente utilizzati. Non è necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione della prescrizione legislativa”.

Alla luce di tutte queste considerazioni, il Garante conclude che non è possibile “giustificare” un trattamento così esteso ed invasivo solo per l’esigenza di ridurre il rischio di usi impropri della navigazione web dei dipendenti, in quanto questa esigenza “non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro”.

La collaborazione dell’Ente

Il Comune ha in ogni caso collaborato con il Garante dopo l’avvio del procedimento, sospendendo il tracciamento dei log di navigazione, predisponendo una (pur tardiva) valutazione di impatto, pseudonimizzando i dati raccolti nei log di navigazione e predisponendo una adeguata informativa rivolta ai dipendenti.

Inoltre, l’Amministrazione comunale ha stipulato un nuovo accordo con le organizzazioni sindacali, accordo nel quale le ipotesi di attivazione della procedura di controllo sono di molto limitate ed è predisposta una “graduazione” delle attività di monitoraggio sulla base di una serie di condizioni.

Il problema degli accertamenti medici

Nel corso dell’indagine del Garante sono inoltre emerse delle problematiche anche con riguardo alle richieste di accertamento medico straordinario da parte dei dipendenti.

Queste richieste erano effettuate tramite un apposito modulo che prevedeva, in violazione della disciplina privacy, la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sanitari immotivato e illecito.

Già nel corso dell’istruttoria del Garante, il Comune ha rivisto le proprie procedure interne ed eliminato la necessità del visto, risolvendo quindi questa ulteriore problematica, peraltro concernente dati appartenenti a categorie particolari e quindi oggetto di più elevata tutela da parte della normativa in tema di protezione dei dati personali.

Controllo dei lavoratori: la sanzione

Tenuto conto della “particolare collaborazione” dell’amministrazione, il Garante ha contenuto la sanzione irrogata in “soli” 84mila euro, evidenziando però come il Comune debba ancora lavorare per ottenere un trattamento dati in linea con la normativa, in particolare non limitandosi alla pseudonimizzazione dei dati raccolti nei log, ma procedendo alla loro completa anonimizzazione.

Il Garante ha inoltre disposto la cancellazione di tutti i dati precedentemente acquisiti dall’Ente comunale (dati, comunque, non utilizzabili in quanto raccolti in mancanza di idonea informativa agli interessati ai sensi dell’art. 4 co. 3 dello Statuto dei Lavoratori).

A detta del Garante rimane però uno spiraglio per proseguire nell’attività di controllo del traffico web dei dipendenti dell’Ente comunale, ovvero, nel caso in cui sussistano “riscontrate anomalie di traffico web la cui entità sia tale da compromettere la sicurezza e l’integrità dei sistemi informativi”.

In sostanza, l’Ente può rilevare (anonimamente) eventuali anomalie di traffico web e, nel caso in cui queste raggiungano un’entità tale da compromettere i sistemi informatici dell’Amministrazione Comunale (pensiamo a un computer utilizzato, magari all’insaputa del dipendente che l’ha in uso, per attività di mining di criptovalute) potrà procedere ad una rilevazione “in chiaro” andando ad intervenire sul PC che ha causato l’anomalia.

Il Garante con questo provvedimento ribadisce quindi il principio per cui non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato.

Fermo questo limite, il Garante precisa che le eventuali attività di controllo (pur non indiscriminate) poste in essere dai datori di lavoro devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

E questo a prescindere dall’esistenza di appositi accordi sindacali (la cui assenza comporterebbe comunque un’aggravante del trattamento illecito, anzi, potrebbe comportare per il datore di lavoro una sanzione penale).

Controllo dei lavoratori: un’occasione per imparare

Questa sanzione deve rappresentare un campanello d’allarme per molte aziende che trattano con leggerezza i dati dei propri dipendenti, magari non curandosi della base giuridica del loro trattamento o magari fondando la (presunta) legittimità del trattamento sul consenso dei dipendenti stessi o su provvedimenti dell’Ispettorato del Lavoro o ancora su accordi sindacali.

Va ricordato innanzitutto come il consenso nell’ambito del rapporto di lavoro dipendente può costituire una legittima base del trattamento solo in ipotesi del tutto eccezionali.

Come rimarcato infatti dall’Opinion 2/2017 del Working Party 29: “I dipendenti non sono quasi mai nella posizione di poter concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, considerata la dipendenza derivante dal rapporto datore di lavoro/dipendente. In considerazione di tale squilibrio di potere, i dipendenti possono concedere liberamente il consenso soltanto in circostanze eccezionali nelle quali l’accettazione o il rifiuto di un’offerta non ha conseguenze per loro”.

Controllo a distanza dell’attività dei lavoratori: le regole

Per quanto riguarda poi nello specifico gli “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” (tra cui va incluso il sistema di monitoraggio del traffico web in uso al Comune di Bolzano) ai sensi dell’art. 4 dello Statuto dei Lavoratori questi possono essere autorizzati unicamente in forza di accordo con le rappresentanze sindacali ovvero, in caso di mancanza delle rappresentanze o di mancato raggiungimento dell’accordo, con provvedimento dell’Ispettorato Territoriale o Nazionale del Lavoro.

Queste due tipologie di provvedimenti non devono però essere considerati quali “certificati di legittimità” del trattamento autorizzato, questo perché le autorizzazioni rilasciate dagli Ispettorati e gli accordi sindacali sono sempre subordinati:

  1. al fatto che il lavoratore sia adeguatamente informato del trattamento dati effettuato (altrimenti le informazioni raccolte non saranno “utilizzabili a tutti i fini connessi al rapporto di lavoro” ai sensi dell’art. 4 co. 3 dello Statuto dei Lavoratori);
  2. al rispetto della normativa posta a tutela dei lavoratori ed a tutela della privacy. Le autorizzazioni non possono infatti derogare al disposto normativo, fungendo unicamente da “verifica” della sussistenza di esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale che giustificano l’introduzione di un sistema di controllo che però dev’essere in linea con la normativa di settore.

Spesso, invece, i datori di lavoro pensano di potersi limitare al rispetto delle condizioni riportate nel provvedimento o nell’accordo per essere in regola con la normativa privacy, si tratta però di un grave errore di prospettiva in quanto i principi che regolano la normativa in tema di tutela dei dati personali non vengono meno in forza di una semplice autorizzazione, così come i requisiti di verifica, informazione e documentazione predisposti dal GDPR non sono di per sé “acquisiti” con una semplice autorizzazione.

Sarà sempre necessario predisporre un’informativa, accertare che i dati siano trattati nella misura minima indispensabile per la finalità perseguita, che siano adeguatamente protetti, che venga predisposta una adeguata procedura per eventuali controlli, che venga disposta una valutazione di impatto in caso questa sia necessaria, e così via.

Serve maggiore attenzione per le attività di trattamento dati

Il provvedimento del Garante nei confronti del Comune di Bolzano è quindi un’occasione unica per i datori di lavoro del settore pubblico e privato per alzare la soglia dell’attenzione con riguardo alle attività di trattamento dei dati dei dipendenti, specie quelle che riguardano la possibilità di conoscenza dei dati contenuti negli strumenti informatici assegnati ai dipendenti stessi.

Lo stesso provvedimento è inoltre importante per far comprendere ai datori di lavoro che la procedura corretta per acquisire ed utilizzare i dati personali dei dipendenti a fini disciplinari (pur “facilitata” dalla modifica all’art. 4 dello Statuto dei Lavoratori introdotta dal D.Lgs. 14 settembre 2015, n. 151 che consente ora l’utilizzo “a tutti i fini connessi al rapporto di lavoro” dei dati legittimamente raccolti anche ad altri fini) passa per una complessa attività di compliance che non può essere ignorata.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5