No del Garante all’eccesivo controllo delle mail interne
Il Garante per la privacy ha ritenuto irregolare il controllo delle mail interne effettuato in modo indiscriminato.
Effettuare un’azione di controllo delle mail interne troppo invasiva e indiscriminata va contro il Codice della privacy e lo Statuto dei lavoratori: questa è la decisione presa e comunicata dal Garante per la privacy in merito al caso di un’università il cui personale lamentava una violazione della privacy a causa di verifiche troppo rigide. Il Garante ha stabilito che i dati raccolti durante questo monitoraggio erano strettamente legati ai singoli individui connessi alla rete dell’Ateneo, i quali venivano tracciati attraverso indirizzi IP e identificativi dell’hardware. Anche il controllo delle e-mail avveniva in modo del tutto arbitrale, grazie anche all’uso di strumenti che, secondo le norme, non possono essere ritenuti utilizzabili dal lavoratore ai fini della prestazione lavorativa: essi, infatti, non avevano funzionalità utili alle attività dei dipendenti e, anzi, operavano senza che essi ne fossero al corrente.
Nell’emettere la decisione, il Garante ha fatto riferimento allo Statuto dei lavoratori, per il quale l’università non ha rispettato le garanzie da fornire al lavoratore in caso di controllo a distanza, e il Codice della privacy, che prevede un’informativa ben diversa da quella utilizzata in questo frangente: l’Ateneo non ha fornito ai dipendenti una comunicazione completa sul trattamento dei dati, ma semplici indicazioni su come utilizzare correttamente gli strumenti a disposizione. La decisione finale è stata quella di ritenere non lecito il trattamento dei dati raccolti con questo sistema: l’utilizzo di tali dati è stato vietato ed essi potranno essere consultati esclusivamente dalla magistratura per ulteriori accertamenti e controlli.
Come deve avvenire il controllo aziendale
Alla luce di questo episodio, il Garante ha delineato alcuni punti che l’università (così come qualunque azienda che intenda monitorare le attività della propria rete) avrebbe dovuto seguire. Tali punti riguardano:
- L’impiego di misure pensate per evitare verifiche troppo invasive.
Quest’ultime dovrebbero essere necessarie solo in casi limite, come la presenza di virus o altre anomalie critiche. Le soluzioni adottate, invece, dovrebbero essere il meno limitative possibile per i dipendenti. - La presenza di un’informativa corrette e inerente all’attività svolta.
Il trattamento dei dati personali, anche quelli del personale interno alle aziende, è reso lecito da un’informativa chiara ed esaustiva sulle modalità e le finalità della raccolta, della conservazione e di ogni operazione relativa alla gestione di tali dati. Qualsiasi documento che intenda svolgere il ruolo d’informativa deve rispettare tali criteri, altrimenti non è da considerarsi valido.