Controllo dipendenti, stop del Garante ai software

21/09/2016


L’utilizzo di software che monitorano l’attività online dei dipendenti (tramite posta elettronica, navigazione web e via dicendo) sono una violazione dei diritti dei lavoratori: il Garante Privacy pone precisi limiti alle novità del Jobs Act in base alle quali pc, email e smartphone sono strumenti informatici che l’impresa può utilizzare senza procedure sindacali. Il provvedimento dell’Autorità n.303 del 13 luglio 2016 rappresenta di fatto la prima interpretazione autorevole delle modifiche all’articolo 4 dello Statuto dei Lavoratoripreviste dall’articolo 23 del dlgs 151/2015, attuativo del Jobs Act.

Il provvedimento del Garante fornisce dettagli sulle tipologie di software che non rientrano tra le misure di controllo lecite. Al bando, dunque, i sistemi che consentono
«operazioni di controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, peraltro registrati in modo sistematico e conservati per un ampio arco temporale», perchè «idoneo a consentire un controllo dell’attività e dell’utilizzo dei servizi della rete individualmente effettuato da soggetti identificabili».

Controlli illeciti

Il Garante ha stabilito che MAC Address e indirizzi IP sono da considerarsi dati personali. Si tratta infatti di elementi che consentono l’identificazione univoca del pc e delle attività di chi lo usa. L’indirizzo IP consente di identificare una connessione, il MAC Address è costituito da una sequenza numerica (48 cifre binarie)
«associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l’indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando».
Sotto la lente del Garante anche la raccolta e conservazione dei file di log relativi al traffico internet contenenti, tra gli altri, il MAC Address, l’indirizzo IP, le informazioni sull’accesso ai servizi web, sul’utilizzo della posta elettronica e sulle connessioni di rete. Viene pertanto stabilito che i software utilizzati per tali scopi non sono necessari per lo svolgimento dell’attività lavorativa, anche perchè operano in background con modalità non percepibili dall’utente.

Controlli leciti

Possono invece essere considerati “strumenti di lavoro” (leciti), a titolo esemplificativo:
  • il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale);
  • altri servizi della rete aziendale, fra cui anche il collegamento a siti internet;
  • sistemi e misure che consentono il fisiologico e sicuro funzionamento della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso);
  • altri strumenti utili al conseguimento di una elevata sicurezza della rete aziendale: sistemi di protezione perimetrale, firewall, in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni, IPS/IDS, agenti su base statistica o con il ricorso a sorgenti informative esterne.
In ultima analisi, non possono essere considerati strumenti di lavoro ma di controllo a distanza del dipendente, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete. Pertanto, è illecito il trattamento dei dati così raccolti.
Fonte: Garante Privacy