Il datore di lavoro può trattare i log di navigazione e i metadati delle e-mail dei lavoratori solo a determinate condizioni. Lo ha ricordato il Garante Privacy riferendo di aver sanzionato la Regione Lombardia con una multa di 50 mila euro.
In base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore.
In tale quadro – ricorda il Garante - ai trattamenti di dati personali effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato in modalità agile (regolato da una disciplina volta a favorire l’adozione di nuove modalità di organizzazione del lavoro basate sulla flessibilità spazio-temporale, sulla valutazione per obiettivi e sulla conciliazione della vita lavorativa con quella privata) trovano applicazione le medesime basi giuridiche che ricorrono tipicamente in ambito lavorativo.
Il datore di lavoro deve poi rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro”.
Il titolare del trattamento è altresì tenuto a rispettare i principi in materia di protezione dei dati ed è responsabile dell’attuazione di misure tecniche e organizzative adeguate in ragione degli specifici rischi derivanti dal trattamento, dovendo essere in grado di dimostrare che lo stesso è effettuato in conformità al Regolamento.
Da una serie di verifiche ispettive era emerso che la Regione raccoglieva i log di navigazione in Internet, consistenti in informazioni relative ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list, senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva, tra l’altro, al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.
Nessun accordo, inoltre, era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori.
Oltre alla sanzione amministrativa, il Garante ha ingiunto una serie di misure correttive, tra le quali l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black list, la cifratura del dato concernente i nomi dei lavoratori assegnatari dei pc portatili, la riduzione del termine di conservazione di tali dati.
In argomento si veda anche Posta elettronica del dipendente: no del Garante Privacy al backup della casella di posta, nonché Garante Privacy: un altro no al controllo dei lavoratori a distanza e Il datore di lavoro può geolocalizzare il lavoratore in smart working?