Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

downloadVerifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete.

L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.

In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.

L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

Annunci

Sì alla televigilanza, ma senza violare i diritti dei lavoratori

disrupters-video-network-optixBloccato impianto video di un’ importante catena commerciale. Il servizio di televigilanza, con scopo di anti-taccheggio e anti-rapina, non deve consentire forme di controllo a distanza dei lavoratori. Gli esercenti devono segnalare adeguatamente la presenza di telecamere e affidare la gestione del servizio a guardie giurate.

Queste le indicazioni del Garante che, in seguito all’attività ispettiva condotta dalla Questura di Genova, ha bloccato il trattamento dei dati effettuato tramite il sistema di videosorveglianza installato in un esercizio di un’importante catena commerciale.

Dalle verifiche effettuate è emerso che la società aveva violato in più punti l’accordo che era stato sottoscritto con i sindacati per l’installazione delle telecamere sul luogo di lavoro.

Una videocamera, ad esempio, invece che essere utilizzata per finalità di sicurezza, inquadrava il sistema di rilevazione degli accessi dei dipendenti, consentendo quindi – in contrasto con quanto sottoscritto dall’azienda e con lo stesso Statuto dei lavoratori – il controllo a distanza dei lavoratori.

Le immagini registrate risultavano poi accessibili con modalità diverse da quelle concordate. Non erano in regola neppure i cartelli con l’informativa semplificata utilizzati per segnalare la presenza dell’impianto di videosorveglianza: non solo non contenevano tutte le informazioni necessarie, ma erano in numero esiguo e, a volte, collocati in posizione non chiaramente visibile (ad es. alle spalle di un espositore).

Dai riscontri della Questura è emerso, inoltre, che l’impianto di videosorveglianza era stato affidato in gestione a un consorzio di ditte esterne che utilizzava per il servizio personale non qualificato. Chi effettuava il controllo delle immagini:

  • era privo della licenza prefettizia di “guardia particolare giurata”, necessaria per poter svolgere funzioni anti-rapina e anti-taccheggio, e
  • non era stato designato incaricato del trattamento dei dati personali.

 

Hand_Do_NotL’intervento del Garante

Il Garante della privacy:

  • ha imposto all’esercente di provvedere a sanare tutte le violazioni riscontrate e
  • ha bloccato il trattamento dei dati effettuato attraverso il sistema di videosorveglianza.

Ha anche trasmesso copia degli atti e del provvedimento all’autorità giudiziaria al fine di valutare gli eventuali illeciti penali commessi.

Geolocalizzazione dei dipendenti e centrali rischi: i paletti del Garante

Nell’ultima Newsletter dell’anno, il Garante interviene in settori particolarmente delicati e teatro di numerose violazioni della normativa: il controllo a distanza dell’attività dei lavoratori e la delicatissima questione delle informazioni trattate dalle centrali rischi.

Vediamo nel dettaglio…


No all’uso di sistemi di geolocalizzazione dei lavoratori senza l’accordo dei sindacati o l’autorizzazione della Direzione provinciale del lavoro.

Il Garante per la privacy ha bloccato il trattamento dei dati effettuato da una società altoatesina che raccoglieva dati sui propri dipendenti tramite l’installazione di impianti Gps su alcuni veicoli aziendali. Il provvedimento dell’Autorità è stato adottato in seguito alla segnalazione di alcuni lavoratori che si lamentavano di essere controllati mentre si recavano presso i clienti per attività di assistenza regolarmente programmate. Il sistema di geolocalizzazione installato dalla società era in grado di rivelare informazioni sui percorsi seguiti, sulle soste effettuate o sulla velocità degli spostamenti del personale.

Il Garante ha ricordato che, in base allo Statuto dei lavoratori, l’installazione di apparecchiature che possano comportare il controllo a distanza dei dipendenti è possibile solo previo accordo dei sindacati o con l’autorizzazione della Direzione provinciale del lavoro. Nel corso dell’istruttoria è invece emerso che tali procedure non erano state rispettate.

L’Autorità (relatore del provvedimento Mauro Paissan) ha quindi disposto il blocco di ogni ulteriore trattamento dei dati personali riferiti ai lavoratori effettuato tramite tali strumenti di localizzazione. Nel caso in cui l’ Ufficio provinciale del lavoro dovesse in futuro autorizzare l’utilizzo di sistemi di controllo via Gps, la società dovrà comunque provvedere a notificare al Garante il trattamento dei dati personali così raccolti e dovrà individuare specifici incaricati del trattamento legittimati ad accedere alle informazioni acquisite.

Centrali rischi e garanzie per i consumatori

L’iscrizione nei Sistemi di informazioni creditizie (Sic) di una posizione debitoria è lecita solo se ne è stato dato preavviso al consumatore che ha chiesto il finanziamento. I dati presenti nei Sic, le banche dati contenenti informazioni sull’affidabilità finanziaria delle persone che una volta si chiamavano “centrali rischi” private, devono comunque essere sempre corretti ed aggiornati.

Lo ha ribadito il Garante che ha fatto cancellare da un Sic i dati relativi ad un finanziamento chiesto da un cittadino. L’interessato, al momento di richiedere un mutuo ipotecario, aveva infatti scoperto di essere stato iscritto, a sua insaputa, come cattivo pagatore da una finanziaria dalla quale aveva in passato ricevuto un prestito.

Nel corso dell’istruttoria la finanziaria ha sostenuto che l’iscrizione dell’interessato per una “sofferenza realmente esistita e mai sanata” era stata determinata dal fatto che il cliente aveva corrisposto solo trentacinque rate su trentasei previste dal piano di restituzione. Il beneficiario del finanziamento, invece, ha potuto dimostrare di aver pagato tutte le rate previste, delle quali una, presumibilmente per errore, non era stata registrata dalla finanziaria.

E’ emerso, inoltre, che nonostante il finanziamento si fosse estinto già nel febbraio 2003, l’annotazione nei sistemi di informazioni creditizie risultava avvenuta solo nel luglio 2008 e che, nel periodo intercorso, il cliente non aveva ricevuto alcun sollecito per presunti ritardi nei pagamenti, né alcun preavviso di imminente segnalazione del suo nominativo nei Sic.

Il Garante, nel motivare il provvedimento (relatore Giuseppe Chiaravalloti) con il quale ha imposto alla finanziaria di far cancellare dal Sic i dati relativi al finanziamento del suo vecchio cliente, ha ricordato che il Codice di deontologia e buona condotta per sistemi informativi (www.garanteprivacy.it, doc. web n 1556693) prevede che, in caso di ritardi nei pagamenti, il consumatore debba essere sempre avvisato preventivamente dell’imminente segnalazione in centrali rischi e che tali banche dati debbano contenere solo informazioni personali esatte e aggiornate.