Controllo a distanza: trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro

Si segnala il recente provvedimento n. 303 del 13 luglio 2016 del Garante per la protezione dei dati personali, nell’ambito del quale esso si pronuncia in ordine alle modifiche intervenute per effetto dell’art. 23 del D.lgs. n. 151/2015, precisando in obiter dicta che negli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa possono ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza. Quanto precede, chiarendo altresì che “da questo punto di vista e a titolo esemplificativo, possono essere considerati “strumenti di lavoro” alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentano il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso). Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale, invece, non possono normalmente consentire controlli sull’attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla disciplina di cui all’art. 4 Stat. Lav. (ad esempio sistemi di protezione perimetrale – firewall – in funzione antiintrusione e sistemi di prevenzione a rilevamento di intrusioni – IPS / IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne).

Nel provvedimento in esame, ove venga dichiarata la violazione dell’art. 4 Stat. Lav. da parte del datore di lavoro, il Garante per la protezione dei dati personali precisa ancora che i principi di necessità, pertinenza e non eccedenza di cui agli artt. 3 e 11 co. 1 lett. d) del Codice), non consentono controlli massivi, prolungati ed indiscriminati e che i principi di necessità e proporzionalità impongono di privilegiare misure preventive ed in ogni caso gradualità del monitoraggio “che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie” quali, ad esempio, la riscontrata presenza di virus e “comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

Indietro