Il Garante per la protezione dei dati personali ha sanzionato una Pubblica Amministrazione a seguito del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato durante l’orario di lavoroin quanto l’amministrazione gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro.
In particolare, è emerso che la P.A. impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, conservando i dati raccolti per oltre un mese e creando appositi report sulla navigazione degli utenti.
Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr.
Peraltro la P.A. non aveva in alcun modo informato i dipendenti circa la presenza di tale sistema, effettuando dunque un trattamento dei dati non consentito in quanto privo di apposita informativa, oltre ad essere ad ogni modo non conforme alla normativa Privacy in quanto determinante operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti (raccogliendo inoltre informazioni private del dipendente quali le pagine ed i siti visualizzati dallo stesso, riconducibili alla vita privata).
Nel provvedimento il Garante ha dunque ribadito il principio secondo cui non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato, indipendentemente da specifici accordi sindacali, in quanto le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.
A fronte di tale principio, l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet e di garantire la sicurezza della rete della P.A. non può portare al completo annullamento di ogni aspettativa di riservatezza del dipendente, anche nei casi in cui egli utilizzi per fini privati i servizi di rete messi a disposizione del datore di lavoro.
Il Garante per la protezione dei dati personali ha dunque disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale, prescrivendo altresì l’adozione di misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati ed aggiornare le procedure interne individuate e inserite nell’accordo sindacale.
