Controllo di Internet e della posta elettronica aziendale: linee guida e provvedimenti

Insieme agli Avvocati di Trifirò & Partners, lo studio legale specializzato in Diritto del Lavoro, scopriamo cosa prevede il Garante della Privacy e i provvedimenti in merito al controllo di Internet e della posta elettronica aziendale.

Linee guida

Con la deliberazione n. 13 del 1 marzo 2007 il Garante della Privacy ha stabilito le linee guida da seguire in merito al controllo di Internet/Intranet e della posta elettronica aziendale; scopriamole insieme.

  1. Il datore di lavoro ha l'onere di informare, chiaramente e in modo particolareggiato, i dipendenti su quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità, vengono effettuati controlli anche in accordo con le organizzazioni sindacali, utilizzando per esempio un disciplinare interno, chiaro e aggiornato affiancato da un'idonea informativa.
  2. I controlli da parte del datore di lavoro per motivi organizzativi o di sicurezza sono leciti solo se sono rispettati i princìpi di pertinenza e non eccedenza.
  3. I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi a Internet e al traffico telematico, la cui conservazione non sia necessaria.
  4. I datori di lavoro privati e gli enti pubblici economici possono trattare i dati personali del lavoratore, diversi da quelli sensibili, per il legittimo esercizio di un diritto in sede giudiziaria, a fronte della manifestazione di un libero consenso o per un legittimo interesse.

I provvedimenti

Premessa – Il datore di lavoro aveva installato un sistema di proxy al fine di monitorare per 24 ore tutto il traffico entrante e uscente dalla rete Web aziendale, con esclusivo riferimento all’attività delle singole macchine.

Con il provvedimento del 5 febbraio 2015, il Garante evidenzia che “la specifica e accertata funzione del sistema, configurata in modo da consentire la registrazione, con una significativa profondità temporale, dei dati relativi alla navigazione web effettuata dalla singola macchina (IP) e quindi del lavoratore cui la stessa è stata attribuita in via esclusiva” permetteva all’azienda “di estrapolare i dati di dettaglio relativi a URL visitata, IP sorgente e orario di connessione”.

Il trattamento dei dati personali dei dipendenti effettuato dalla società in questione è stato ritenuto illecito in base alla violazione delle norme:

  • Art. 11 comma 1, lett. A del Codice Privacy;
  • Art. 114 del Codice Privacy;
  • Art. 4 dello Statuto dei lavoratori – Linee guida del Garante Privacy, 1 luglio 2007, in materia di posta elettronica e Internet.

Premessa – Un’università raccoglieva e conservava, per un periodo di 5 anni, i file di log relativi al traffico Internet contenenti, tra gli altri, il MAC (Access Control Address), l’indirizzo IP, nonché informazioni relative all’accesso ai servizi Internet, all’utilizzo della posta elettronica e alle connessioni di rete di una serie di utenti tra cui docenti, ricercatori, personale tecnico amministrativo e bibliotecario, studenti, dottorandi, specializzandi e assegnisti di ricerca, professori a contratto e visiting professor.

Con il provvedimento n. 303 del 13 luglio 2016, il Garante ha sostenuto che tale trattamento era stato “effettuato per il tramite di apparati differenti (dalle ordinarie postazioni di lavoro) e di sistemi software che consentono, con modalità non percettibili dall’utente e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore, operazioni di monitoraggio, filtraggio, controllo e tracciatura costanti e indiscriminati degli accessi a Internet o al servizio di posta elettronica”. Pertanto, “tali software non possono essere considerati come strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Il trattamento dei dati personali dei dipendenti effettuato dalla società è conseguentemente ritenuto illecito in base alla violazione delle seguenti norme:

  • Art. 3, 11, comma 1, lett. A e D, 13 del Codice Privacy;
  • Art. 114 del Codice Privacy;
  • Art. 4 dello Statuto dei Lavoratori.
Le differenze del nuovo Art. 23 D.Lgs. 151/2015 rispetto all'Art. 4 S.L.

Le differenze del nuovo Art. 23 D.Lgs. 151/2015 rispetto all'Art. 4 S.L.

Scarica la guida

Partner