Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Lavoro privato: monitoraggio degli accessi Internet del dipendente - 2 aprile 2009 [1606053]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1606053
Data:
02/04/09
Argomenti:
Lavoro , Monitoraggio accessi , Lavoro dipendente

[doc. web n. 1606053]

[vedi Newsletter]

Lavoro privato: monitoraggio degli accessi Internet del dipendente - 2 aprile 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTE le "Linee guida per posta elettronica e internet" adottate dal Garante con deliberazione n. 13 del 1° marzo 2007, pubblicate sulla G. U. n. 58 del 10 marzo 2007;

VISTO il reclamo con cui XY ha lamentato un illecito trattamento di dati personali a sé riferiti da parte di Italian Gasket S.p.A. (società presso cui l'interessato ha prestato servizio fino alla data del suo licenziamento, avvenuto nel mese di novembre 2007), la quale avrebbe minuziosamente monitorato gli accessi a Internet effettuati dal reclamante per un ampio arco temporale in violazione della disciplina prevista dallo Statuto dei lavoratori per il controllo a distanza dell'attività lavorativa (art. 4, l. 20 maggio 1970, n. 300) e dei principi di protezione dei dati personali richiamati nelle menzionate Linee guida;

VISTO quanto precisato dal reclamante, secondo cui la menzionata attività di monitoraggio effettuata dalla società avrebbe determinato l'irrogazione di alcune contestazioni disciplinari nei confronti dell'interessato, tra l'altro, per l'indebito utilizzo dello strumento elettronico assegnatogli in dotazione per lo svolgimento dell'attività lavorativa (cfr. reclamo del 4 agosto 2007, in atti, pp. 1-2);

VISTA la documentazione prodotta dal reclamante, che reca stampa delle pagine web visitate dall'interessato in un arco temporale pari a circa quattro mesi (dal 10 aprile 2007 al 25 luglio 2007), pagine che sarebbero state analiticamente registrate mediante utilizzo di un apposito software (denominato Squid) in grado di effettuare la memorizzazione ("caching") delle pagine web visualizzate;

VISTE le richieste formulate nel reclamo, con particolare riferimento all'adozione dei provvedimenti ritenuti più opportuni, anche a tutela degli altri lavoratori operanti presso la società;

ESAMINATE le risultanze istruttorie;

PRESO ATTO di quanto dichiarato dalla società ai sensi e per gli effetti di cui all'art. 168 del Codice, secondo cui l'attività di monitoraggio sarebbe stata avviata solo a seguito di disservizi provocati dal reclamante nell'utilizzo della rete Internet, riconducibili ad un'"eccessiva attività di scarico dati effettuata dalla postazione" riferita al medesimo reclamante (cfr. verbale di operazioni compiute del 25 febbraio 2009, p. 3);

RILEVATO che tale attività di monitoraggio è stata effettuata mediante utilizzo "del sistema di web proxy server Squid, appositamente installato e configurato dal responsabile del Ced pro-tempore al fine di monitorare le attività svolte dal sig. XY" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 3);

RILEVATO che la predetta attività, che "ha coperto l'arco temporale di circa nove mesi, dal febbraio all'ottobre 2007", è avvenuta mediante configurazione delle funzionalità del software installato con modalità tali da registrare gli "accessi a tutti i siti web visitati dal […] [reclamante]", con evidenziazione anche dei relativi domìni. Rilevato altresì che i log di accesso ai siti sono risultati essere "elaborati quotidianamente da un software denominato SARG […] che generava la relativa reportistica in un formato di più semplice lettura e analisi" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 4), tale da consentire al titolare del trattamento di venire a conoscenza e memorizzare "in chiaro":

  • il sito visitato ("accessed site");
  • il numero di connessioni ("connect");
  • la dimensione complessiva delle pagine visualizzate in rapporto al numero di connessioni effettuate in un periodo predefinito, espressa sia in termini analitici ("bytes") che percentuali ("%bytes");
  • il rapporto (in percentuale) tra i dati richiesti dal client provenienti dalla cache e quelli provenienti direttamente dal server ("in-cache-out");
  • il tempo trascorso sulle pagine visitate, espresso sia in termini analitici ("elapsed time" e "milisec") che percentuali ("%time");

RILEVATO che al reclamante, al pari di tutti gli altri dipendenti dell'azienda abilitati all'uso della rete Internet, erano "state fornite specifiche istruzioni circa l'utilizzo della postazione informativa individuale" (cfr. all. n. 1 al verbale, recante il "Regolamento aziendale per la sicurezza e l'utilizzo delle postazioni di informatica individuale" del 15 gennaio 2007, ove al punto 6.3. si legge che "è assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all'attività lavorativa"), peraltro "sottoscritte per presa visione" dai medesimi dipendenti, compreso lo stesso reclamante (cfr. verbale di operazioni compiute del 25 febbraio 2009, p. 2; cfr. altresì all. n. 1 al verbale);

RILEVATO altresì che il reclamante era stato previamente informato circa i controlli che sarebbero stati effettuati sulla propria postazione individuale in ordine agli accessi effettuati alla rete (cfr. allegato n. 2 al verbale del 25 febbraio 2009; cfr. altresì all. n. 1 al verbale del 26 febbraio 2009);

PRESO ATTO di quanto dichiarato dalla società in ordine all'impossibilità di adottare misure di carattere inibitorio per l'accesso a siti non pertinenti l'attività lavorativa, soluzione che, ancorché valutata e sperimentata in passato dalla società, non è stata ritenuta praticabile (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 2);

RILEVATO che, alla luce delle dichiarazioni rese dalla società (secondo cui "nessuna attività di monitoraggio è stata effettuata in passato nei confronti di dipendenti diversi dal [reclamante]": cfr. verbale di operazioni compiute del 26 febbraio 2009, cit., p. 2) e della documentazione prodotta (la quale ha evidenziato che l'attività di tracciamento e di registrazione degli accessi alla rete Internet nei confronti del reclamante è avvenuta "in deroga alla normale prassi aziendale": cfr. all. n. 1 al verbale del 25 febbraio), non risulta allo stato provato che detta attività di monitoraggio abbia in passato interessato anche altri dipendenti;

RILEVATO che il menzionato software Squid risulta essere ancora installato e attivo con funzionalità diverse, tali da consentire "la gestione del proiettore, nonché l'aggiornamento automatico del sistema antivirus presente nelle singole postazioni client" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 3). Rilevato altresì che lo stesso software, alla luce delle dichiarazioni rese dalla società e a seguito dei tentativi di accesso effettuati in loco su un computer di un dipendente (che non hanno evidenziato la presenza di un proxy impostato nel browser Internet explorer: cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 4), non risulta allo stato "configurato in modalità di registrazione dei log di navigazione web", ma che potrebbe comunque "essere utilizzato in futuro per le medesime attività di monitoraggio" sopra richiamate (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 5), ancorché non sia intenzione della società utilizzarlo in tal senso (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 2);

RITENUTO che l'installazione di un software con funzionalità appositamente configurate per il tracciamento (sistematico e continuativo)  degli accessi ad Internet da parte dell'interessato –con la conseguente memorizzazione di tutte le pagine web visualizzate dal reclamante– risulta essere avvenuta in violazione dell'art. 4, comma 1 della legge 20 maggio 1970, n. 300, che vieta l'impiego di apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori; rilevato, inoltre, che la società non ha neanche provveduto a svolgere gli adempimenti previsti dal secondo comma della medesima disposizione, in relazione alle funzionalità che mediante il software installato legittimamente possono essere perseguite per "esigenze organizzative e produttive" (cfr. verbale di operazioni compiute del 26 febbraio 2009, cit., p. 2);

RITENUTO, pertanto, che il trattamento di dati personali riferiti al reclamante, limitatamente agli accessi effettuati alla rete Internet, non risulta essere stato effettuato lecitamente dalla società (artt. 11, comma 1, lett. a) e 114 del Codice; cfr., altresì, il punto 4 delle menzionate Linee guida);

RITENUTO inoltre che detto trattamento non risulta essere stato lecitamente svolto neanche sotto il profilo della pertinenza e non eccedenza delle informazioni raccolte (art. 11, comma 1, lett. d), del Codice), tenuto conto che il monitoraggio effettuato dalla società (peraltro diretto ed esclusivo nei confronti del reclamante) risulta essere stato prolungato e costante (cfr. le citate Linee guida, punto 6);

CONSIDERATO che il Garante può disporre il divieto del trattamento ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice in caso di trattamento di dati illecito o non corretto;

RITENUTO pertanto di dover disporre, nei confronti di Italian Gasket S.p.A., il divieto dell'ulteriore trattamento dei dati personali riferiti al reclamante, limitatamente al monitoraggio degli accessi a Internet;

RITENUTO di dover disporre la trasmissione degli atti e di copia del presente provvedimento all'autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Italian Gasket S.p.A. l'ulteriore trattamento dei dati personali riferiti al reclamante, limitatamente al monitoraggio degli accessi a Internet (artt. 11, comma 1, lett. a) e d) e 114 del Codice e art. 4, primo comma, l. 20 maggio 1970, n. 300);

2. dispone la trasmissione degli atti e di copia del presente provvedimento all'autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

Roma, 2 aprile 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Patroni Griffi