Controlli a distanza e strumenti di lavoro
Provvedimento del garante della Privacy 13 luglio 2016 n. 303
Merita menzione un estratto del Provvedimento del Garante della Privacy – del 13 luglio 2016 n. 303 – che interpreta il nuovo art. 4, comma 2, L. 300/1970 in materia di controlli a distanza (come sostituito dall’art. 23, comma 1, d.gs 151/2015).
“Quanto a quest’ultimo profilo, in particolare, il trattamento è effettuato, attualmente, per il tramite di apparati (differenti dalle ordinarie postazioni di lavoro) e di sistemi software che consentono, con modalità non percepibili dall’utente (c.d. in background ) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica.
Tali software non possono essere considerati «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa» (ai sensi e per gli effetti dell’art. 4, comma 2, l. n. 300/1970, come modificato dall’art. 23 del d.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di “attrezzatura” e “post[azione] di lavoro” di cui all’art. 173 d.lg. n. 81/2008).
In tale nozione, infatti – e con riferimento agli strumenti oggetto del presente provvedimento, vale a dire servizio di posta elettronica e navigazione web – è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza. Da questo punto di vista e a titolo esemplificativo, possono essere considerati “strumenti di lavoro” alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).
Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale, invece, non possono normalmente consentire controlli sull’attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla disciplina di cui all’art. 4 Stat. lav. (ad es. sistemi di protezione perimetrale – firewall – in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni – IPS/IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne).
Ciò considerato, i sistemi ed applicativi in uso presso l’Università esulano senza dubbio dal perimetro degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e comportano, quindi, un trattamento in contrasto con quanto previsto dal predetto art. 4.”