Con il provvedimento n. 190/2021, il Garante per la protezione dei dati personali ha emesso sanzione al Comune di Bolzano di 84.000 euro per illecito trattamento dei dati del proprio personale, tramite il monitoraggio indiscriminato della navigazione Internet.
Tutto questo senza rispettare gli accordi sindacali riguardanti eventuali attività di controllo da parte dell’amministrazione che comunque dovevano essere effettuate nel rispetto dello Statuto dei lavoratori (art.4 Legge 300/1970) e della normativa Privacy GDPR.
Il controllo da parte del Garante è avvenuto dopo la denuncia del dipendente, che, a seguito di un procedimento disciplinare nei suoi confronti, ha scoperto di essere stato controllato costantemente nella sua attività sul web, nonostante gli accordi sindacali in essere e la normativa sopra detta.
L’amministrazione del Comune dopo aver contestato al dipendente la consultazione di Facebook e YouTube durante l’orario di lavoro, aveva successivamente archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti. Va detto che il Comune si è messo a disposizione collaborando con il Garante durante gli accertamenti.
Dal provvedimento 190/2021 si legge: “Con il reclamo è stata lamentata la violazione dei principi di liceità, correttezza e minimizzazione nel trattamento dei dati personali dei dipendenti del Comune, atteso che il sistema di registrazione degli accessi ad Internet impiegato dall’Ente consentirebbe di “controllare, tracciare, filtrare in maniera massiva, costante e indiscriminata […] la cronologia dei siti internet visitati e il tempo di navigazione di per ciascun sito” (cfr. reclamo, p. 6), nonché la memorizzazione e la conservazione di tali dati associati a ciascun dipendente per un lungo periodo di tempo. Ciò avrebbe, dunque, reso possibile, inoltrando specifica richiesta all’Ufficio servizi informatici dell’Ente, la verifica sui singoli siti visitati dall’interessato, mediante estrazione di reportistica (cfr. report relativi al reclamante all. n. 4 al reclamo), tradottasi in un “controllo a distanza ingiustamente lesivo della libertà e della dignità […] nonché vietato dall’art. 4 della l. 300 del 1970” (cfr. p. 7 reclamo)”.
In seguito, dagli accertamenti eseguiti dal Garante è stato scoperto un vero e proprio sistema di controllo e filtraggio della navigazione internet dei dipendenti, attuato dal comune di Bolzano, da oltre dieci anni, con la conservazione dei dati per un mese, tempo ritenuto sproporzionato dalla normativa, come anche la creazione di apposita reportistica, per finalità di sicurezza della rete.
Nonostante il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il sistema “consentiva operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato”.
Oltre a ciò, si legge sempre nel Provvedimento, “l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro”.
Infine, dal controllo effettuato, sono state riscontrate gravi violazioni anche in merito al trattamento dei dati sulla salute, relativamente a richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo messo a disposizione dall’amministrazione che prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito. Il Garante, pertanto, pur tenendo conto della collaborazione fornita dal Comune di Bolzano, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale, nonché l’obbligo di adottare le misure tecniche e organizzative per “anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale”.
di Francesca Caracò