Il Garante della privacy può sanzionare il datore di lavoro per violazione delle disposizioni sul controllo a distanza , anche se i sistemi installati di controllo della navigazione in Internet e dell’uso della posta elettronica sono stati concordati con le organizzazioni sindacali. Questo elemento, così come il sostanziale lasciapassare del Responsabile della protezione dei dati (Dpo), servono, al massimo, a ridurre l’importo della sanzione pecuniaria irrogata dal Garante in applicazione delle disposizioni del Regolamento Ue sulla privacy n. 2016/679 (Gdpr). Sono questi i principi affermati dal Garante nel provvedimento n. 190 del 13 maggio 2021, con il quale ha ingiunto il pagamento di 84 mila euro di sanzione a un datore di lavoro pubblico.

I principi sono generalizzabili anche ai datori di lavoro privati e devono mettere sul chi va là tutte le imprese. I datori di lavoro, inseriti in questo circuito di incertezza, hanno la responsabilità imprenditoriale di minimizzare i danni. Il grado di precauzione richiesto dai provvedimenti del Garante richiede l’attenta osservanza di flussi procedimentali e la produzione di documenti , da esporre e consegnare in caso di ispezioni, nella speranza che possano soddisfare una percentuale di conformità al Gdpr utile a evitare sanzioni. Beninteso la conformità al 100% è impossibile e, quindi, l’alea permane.

Controlli a distanza illeciti

Ad ogni buon conto, dalla pronuncia del Garante emergono una serie di indicazioni che sono riprodotte negli schemi di attività allegati al presente approfondimento.

La pronuncia del Garante, sinteticamente, riguarda un datore di lavoro che ha installato e utilizzato un sistema di registrazione degli accessi ad internet, tale da registrare la cronologia dei siti internet visitati e il tempo di navigazione per ciascun sito, nonché la memorizzazione e la conservazione di tali dati associati a ciascun dipendente per un lungo periodo di tempo.

Il datore di lavoro in questione aveva sottoscritto un accordo sindacale e aveva dato alcune informative, prive però di elementi di dettaglio. Tutto ciò non è stato ritenuto sufficiente.

Vediamo, dunque, di trarre consigli operativi, appuntati sulla necessità di svolgere, per quanto concerne la conformità Gdpr, i seguenti principali adempimenti :

  • valutazione di impatto privacy;
  • redazione di policy interna,
  • informativa specifica e integrazione delle autorizzazioni ai dipendenti

Controlli leciti e adempimenti documentali dei datori di lavoro

L’apparato documentale, preliminare alla stipulazione dell’accordo sindacale, si rende necessario tutte le volte in cui il datore di lavoro pianifichi sistemi di sicurezza relativi all’uso di internet e della posta elettronica aziendale.

La posta elettronica e le applicazioni disponibili in rete sono strumenti di lavoro, ma i software che permettono la memorizzazione delle attività costituiscono sistemi di controllo indiretto, tali da necessitare il rispetto delle disposizioni sulla privacy e sulla protezione dei dati.

Le norme essenziali nelle quali fare rientrare la redazione dei documenti relativo ai controlli leciti sono:

  • in ambito Gdpr, gli articoli 5, 13, 24, 25, 88;
  • in ambito ordinamento italiano, l’art. 4 dello Statuto dei lavoratori .

In molte parti è da considerarsi vigente anche il provvedimento 1° marzo 2007 del Garante della privacy.

Si tratta di un flusso procedimentale che parte dalla ricognizione degli strumenti utilizzati o che si pianifica di utilizzare, al fine di distinguere gli strumenti utilizzati per rendere la prestazione lavorativa e il controllo accessi e presenze e quelli diversi, utilizzati per i controlli indiretti.

Entrambi i sistemi necessitano del rispetto della privacy, mentre quelli appartenenti alla seconda categoria necessitano anche dell’accordo sindacale.

In ogni caso vanno redatti:

  • una valutazione di impatto privacy;
  • una policy aziendale (vedere diagramma);
  • una informativa specifica;
  • atti di autorizzazione dei dipendenti.

Contenuto e caratteristiche dei documenti

A riguardo degli adempimenti documentali sopra elencati si precisa che:

  • la valutazione di impatto privacy è obbligatoria, considerato che il log degli apparecchi utilizzati implica il monitoraggio di persone vulnerabili; inoltre sistemi devono essere configurati in maniera da far attivare verifiche sul traffico dei dipendenti solo in presenza di anomalie rilevabili dagli amministratori di rete, da anonimizzare il dato relativo alla postazione di lavoro dei dipendenti rilevata nei log di navigazione web (non basta limitarsi a registrare nei log un “id macchina”, anziché un “id user”);
  • la policy aziendale trova collocazione nell’apparato documentale privacy, meglio se redatto alla stregua di un “modello organizzativo privacy”: in essa si devono inseriscono modalità e condizioni dell’uso di qualunque dispositivo ed applicativo, anche in considerazione della possibilità di utilizzo anche per finalità extralavorative; questa regolamentazione interna integra il codice disciplinare e deve essere considerati ai fini delle sanzioni al lavoratore;
  • l’informativa specifica deve essere diversa da quella generale e deve avere un triplice contenuto: a) come si usano i dispositivi aziendali, b) l’informativa privacy vera e propria; 3) l’esatta descrizione delle modalità di effettuazione dei controlli e della memorizzazione degli In assenza di questi atti di trasparenza aziendale è compromessa la possibilità di utilizzo dei dati (compresa, per orientamenti filo-lavoratore, la sede processuale);
  • atti di autorizzazione dei dipendenti che riflettano le precauzioni descritte nei documenti aziendali sopra

Sanzioni

Eventuali inadempimenti saranno sanzionati, ai sensi dell’articolo 83, paragrafi 4 e 5 del Gdpr, con una sanzione fino a 20 milioni di euro in caso di violazione dell’articolo 5 Gdpr.

12/08/2021