L’Autorità Garante per la protezione dei dati personali è recentemente intervenuta a fronte di una segnalazione relativa ad una presunta illiceità di trattamenti effettuati da una Università, mediante strumenti elettroni.
Il Provvedimento, adottato dal Garante merita una particolare attenzione in quanto consente di fare il punto della situazione circa la corretta definizione del perimetro di applicazione dell’art. 4, legge n. 300/1970, in materia di controllo a distanza dei lavoratori.
L'articolo continua dopo la pubblicità
Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy
Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy
L’art. 4 sopra citato, recita:
“ È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore della presente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degli impianti suddetti. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale."
Il fatto
Le segnalazioni avevano ad oggetto un presunto controllo posto in essere dal datore di lavoro attraverso l’utilizzo di sistemi di comunicazione elettronica e di videosorveglianza.
Dalle risultanze dell’indagine condotta dal Garante è emerso che il titolare del trattamento (id est, l’Ateneo) ha effettuato operazioni che consistono nella raccolta e conservazione, per un periodo maggiore di cinque anni, dei file di log relativi al traffico internet, contenenti il MAC Adress, dove MAC sta per Medium Access Control), detto anche indirizzo fisico, indirizzo ethernet o indirizzo LAN. Il MAC rappresenta in sostanza un identificativo per un particolare dispositivo di rete a livello di rete locale: ad esempio due schede di rete in due diversi calcolatori avranno due diversi nomi (e quindi diversi indirizzi MAC), così come avranno nomi diversi una scheda Ethernet ed una scheda wireless posizionate nel medesimo computer.
Il trattamento di dati posto in essere dall’Ateneo è consistito anche in operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet; la cui registrazione avveniva in maniera sistematica e, comunque, in una modalità tale da consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili.
Poiché il trattamento dei dati avveniva nei confronti di diverse tipologie di interessati e tra queste i dipendenti dell’università, il collegamento tra i dati relativi alla connessione e la persona utilizzatrice, consentiva di ricostruirne anche indirettamente l’attività e risultava, anche sotto questo profilo, in contrasto con il principio di liceità.
L’art. 4, dello Statuto dei lavoratori, nella sua prima stesura stabiliva il divieto di controllo a distanza dei lavoratori da parte del datore di lavoro. Mentre ammetteva il ricorso agli impianti audiovisivi e “di altre apparecchiature”, ricorrendo i soli tre seguenti casi:
a) per esigenze organizzative e produttive;
b) per la sicurezza del lavoro;
c) per la tutela del patrimonio aziendale.
L’installazione necessita, però, del previo accordo con le RSU o con le rappresentanze sindacali aziendali, o nel caso di imprese con unità produttive dislocate in più province o regioni, l’accordo delle associazioni sindacali comparativamente più rappresentative sul piano nazionale. Se mancano suddetti accordi è necessario acquisire l’autorizzazione da parte della Direzione territoriale del Lavoro o del Ministero del Lavoro e delle Politiche Sociali..
Questa prima impostazione è stata recentemente modificata dal Decreto Legislativo 14.9.2015, n. 151, recante “Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di rapporto di lavoro e pari opportunita', in attuazione della legge 10 dicembre 2014, n. 183. (15G00164) (GU Serie Generale n.221 del 23-9-2015 - Suppl. Ordinario n. 53) note: Entrata in vigore del provvedimento: 24/09/2015-
Il recente intervento legislativo si caratterizza per avere rivisitato il precedente impianto normativo, andando , attraverso l’art. 23, a sostituire l’art. 4, l. n. 300/1970, per cui la disposizione di cui al comma 1 (che per l’appunto vieta il ricorso a sistemi di video sorveglianza e di altri sistemi quali strumenti di controllo a distanza dei lavoratori) non si applica:
a) agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa;
b) agli strumenti di registrazione degli accessi e delle presenze.
Un ulteriore passo in avanti è compiuto dall’intervento legislativo allorchè al comma 3 dell’articolo 23 sancisce che “ Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalita' d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.».
Il Garante, in buona sostanza, ha operato una distinzione tra gli “strumenti di lavoro”, rispetto ai quali non sono necessari accordi con le rappresentanze dei lavoratori né, in subordine, le autorizzazioni amministrative; e altri strumenti che non possono essere ascritti alla categoria degli strumenti di lavoro, sic et simpliciter, per cui rientrano nella categoria degli strumenti di controllo a distanza dell’attività dei lavoratori.
Pertanto, appartengono alla prima categoria il servizio di posta elettronica (con attribuzione di un account personale) e internet, così come i vari software finalizzati alla tutela del patrimonio della rete telematica dell’impresa (si pensi ai sistemi di logging, ai programmi antivirus, ecc.).
Rientrano, invece, nella seconda categoria gli strumenti che consentono di svolgere un’attività di controllo, in background, ed in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore, attraverso il ricorso ad operazioni di filtraggio, blocco, controllo e tracciatura costanti. Per tali strumenti si rientra nella fattispecie normata dall’art. 4, legge 300/1970, con la conseguente applicazione delle regole ivi previste.
Rif.
Garante per la protezione dei dati personali – Registro dei provvedimenti n. 303 del 13.7.2016
Gruppo di Lavoro per la Tutela dei Dati ex Art. 29
L’art. 6, comma 2, dell'A.G. n. 311/2016 modificato nuovamente l'ultimo periodo dell'attuale primo comma dell'art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori), cocn le seguenti precisazioni :