L’accordo sindacale non legittima il trattamento dati indiscriminato: sanzionato il Comune di Bolzano che monitorava gli accessi ad Internet dei dipendenti
L’accordo con i sindacati non giustifica il trattamento indiscriminato dei dati dei dipendenti. È quanto emerso dall’ordinanza di ingiunzione n.190 del 13 maggio scorso del Garante per la privacy. L’Autorità ha sanzionato il Comune di Bolzano per 84 mila euro per trattamento illecito dei dati personali dei lavoratori. Stando alle indagini, da oltre vent’anni l’ente comunale monitorava l’accesso a Internet dei propri dipendenti, i cui log erano conservati per trenta giorni prima di essere sovrascritti. Inoltre, su richiesta, il dirigente dell’unità poteva effettuare un controllo dei log e, a seconda dei casi, inviare un provvedimento disciplinare al dipendente sorpreso a navigare sul web durante le ore di lavoro. Il trattamento dei dati da parte del Comune era stato stabilito in seguito ad un accordo sindacale che legittimava l’amministrazione ad effettuare un’attività di monitoraggio degli accessi Internet per esigenze di sicurezza IT.
Dal 2010 ad oggi, i controlli dei log hanno coinvolto 27 lavoratori. Ultimo in ordine di tempo, il dipendente che ha denunciato l’attività illecita da parte dell’ente comunale. Come un suo predecessore, il lavoratore aveva ricevuto un provvedimento disciplinare dal dirigente competente per essere stato pizzicato “a passare ore sui social network e a consultare altre pagine web non inerenti al suo impiego”. Il provvedimento è stato successivamente archiviato per inattendibilità dei dati raccolti. Tuttavia, l’indagine del Garante è proseguita, concentrandosi sull’attività di controllo dei dipendenti perpetrata dal Comune.
L’Autorità ha definito il tracciamento degli accessi Internet dei lavoratori sproporzionato rispetto alle finalità di protezione e sicurezza del sistema IT dell’ente comunale. Allo stesso modo, l’accordo siglato con le parti sindacali non legittima il controllo effettuato dal Comune sui dipendenti. Infatti, esso ha indebitamente esteso la sua attività ad altri ambiti, con il rischio di raccogliere informazioni relative alla vita privata dei lavoratori. Il Garante ha concluso ribadendo che “non è possibile giustificare un trattamento così invasivo solo per l’esigenza di ridurre il rischio di usi impropri della navigazione web dei dipendenti, poiché questa esigenza non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro”.