A prescindere dall’esistenza di uno specifico accordo sindacale che disciplini l’impiego di sistemi tecnologici sul posto di lavoro, non è consentito al datore di lavoro sorvegliare e monitorare indiscriminatamente la navigazione in internet dei dipendenti. Qualsiasi attività di monitoraggio deve essere sempre svolta nel rispetto dello Statuto dei lavoratori (legge n. 300/1970) e della disciplina normativa vigente in materia di protezione dei dati.
La conferma di tale assunto è quanto emerge da un’ordinanza – ingiunzione dello scorso 13 maggio 2021 con cui il Garante per la protezione dei dati personali ha irrogato, nei confronti del Comune di Bolzano, una sanzione amministrativa pecuniaria di 84.000 euro.
Tale provvedimento è emanato a conclusione di una attività istruttoria condotta dall’Autorità a seguito di un reclamo presentato da un dipendente comunale. Il reclamante aveva segnalato al Garante che, a seguito di un procedimento disciplinare, aveva scoperto di essere stato controllato costantemente dal proprio datore di lavoro mediante il monitoraggio del traffico di rete e dei singoli accessi ad Internet.
Nell’istruttoria condotta emergeva che il Comune di Bolzano fruiva (da circa un decennio) di un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con conservazione dei dati per un mese. L’utilizzo di tale sistema, alla luce degli accertamenti del Garante, è risultato carente dal punto di vista dell’osservanza della normativa sulla protezione dei dati personali. Il Comune, infatti, aveva effettuato raccolte “generalizzate” di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti, determinando così, trattamenti sproporzionati rispetto alla presunta finalità perseguita (sicurezza della rete).
Inoltre, l’Authority ha rilevato che:
- Il Comune non aveva informato adeguatamente i dipendenti circa le modalità di funzionamento di detto controllo;
- il succitato sistema non era stato preventivamente sottoposto ad una DPIA (valutazione d’impatto ex art. 35 GDPR);
A fronte di ciò, l’ente ha offerto delucidazioni parziali ed ha precisato che, in tema di utilizzo dei servizi di rete, aveva comunque raggiunto un apposito accordo con le rappresentanze sindacali (cfr. art. 4 L. 300/1970, in tema di presupposti di diritto di lavoro).
L’Autorità non ha accolto le posizioni espresse dal Comune e ha ribadito che, in tema di adozione di sistemi di controllo concernenti l’attività dei dipendenti, assume rilievo sia l’osservanza della pertinente normativa giuslavoristica che il rispetto delle disposizioni data protection.