PRIVACY: La Corte dei Conti condanna una dipendente per omessa tutela dei dati dei dipendenti

Spread the love

Il Garante per la protezione dei dati personali, con un proprio provvedimento (link di seguito) condanna un ente a seguito di un reclamo di un dipendente che lamentava presunte violazioni della disciplina di protezione di dati personali con riguardo al trattamento di dati posti in essere dall’Ente mediante il monitoraggio del traffico di rete e dei singoli accessi ad Internet effettuati dall’interessato e, in generale, dai dipendenti comunali.

In particolare, il reclamante ha lamentato che l’Ente avrebbe trattato dati personali relativi alla sua navigazione in Internet, durante l’orario di lavoro, e di aver ricevuto, in data XX, una comunicazione di avvio di procedimento disciplinare (cfr. nota del XX allegata al reclamo), nella quale gli veniva contestato che “nel periodo dal XX al XX, era […] collegat[o] con il computer del Comune, per oltre 40 minuti a facebook e per oltre 3 ore a youtube, per seguire attività non istituzionali e che […] aveva consultato pagine Internet non inerenti il suo lavoro” come risultanti dai tabulati del traffico dati del Comune di Bolzano (cfr. report allegati al reclamo). Tali dati sarebbero stati utilizzati per formulare i rilievi disciplinari, previa richiesta della Direttrice dell’Ufficio gestione del Territorio all’Ufficio servizi informatici dell’Ente (cfr. all.ti nn. 2 e 3 al reclamo). Successivamente il procedimento disciplinare sarebbe stato archiviato per ragioni inerenti all’inattendibilità dei dati raccolti (cfr. all. n. 8 al reclamo).

Il trattamento, peraltro, sarebbe avvenuto in assenza di un’informativa ai dipendenti in merito ai possibili controlli sugli accessi ad Internet da parte del datore di lavoro, precisando che non può “a tal fine ritenersi esaustivo il contenuto dell’accordo sindacale del 25.10.2010 ove non è assolutamente indicato alcun limite con riferimento alla navigazione in internet né in che misura sia consentito utilizzare la rete per ragioni personali e in quali casi possa scattare controllo; non risulta poi alcuna informazione riguardo al trattamento dei dati acquisiti, al soggetto responsabile di siffatto trattamento e alla sua finalità” (cfr. p. 7 reclamo).

Al riguardo l’Autorità garante ha evidenziato che “Il sistema utilizzato dal Comune effettuando una raccolta sistematica dei dati di navigazione dei dipendenti comportava inevitabilmente il trattamento di informazioni anche estranee all’attività professionale, desumibili dagli URL visitati , e risultava, pertanto, in contrasto con il divieto per il datore di lavoro di trattare dati “non attinenti alla valutazione dell’attitudine professionale del lavoratore” e dunque con l’art. 113 del Codice, in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276 (cfr., sul punto Provv. del Garante n. 308 del 21 luglio 2011, doc. web n. 1829641, confermato da Corte di Cassazione, sent. n. 18302 del 19 settembre 2016, ove si legge che “l’acquisizione e conservazione dei dati relativi alla navigazione Internet dei dipendenti mediante […] registrazione dei file log importa la violazione anche del disposto di cui alla legge n. 300 del 1970, art. 8” e che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata […] anche se i dati non sono successivamente utilizzati. Non è necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione della prescrizione legislativa”).

Ha disposto quindi l’ingiunzione di pagamento per complessive 84.000,00 euro a carico dell’Ente.

Successivamente, la Sezione giurisdizionale della Corte dei Conti, dopo avere preso atto dell’avvenuto pagamento della sanzione, seppure in misura ridotta, ha richiesto che tali somme fossero addebitate ai soggetti responsabili della violazione che, in prima istanza vengono individuati nel Sindaco e nel dipendente a cui erano assegnate le funzioni di “privacy manager”.

In particolare la Corte rileva che il comune posto in essere trattamenti di dati personali dei dipendenti relativi alla navigazione in internet, in assenza dei presupposti e di idonea informativa, e adottato una modulistica per la fruizione del servizio di assistenza psicologica non conforme al quadro normativo in quanto prevedeva la conoscenza di dati personali sullo stato di salute dei dipendenti da parte dei soggetti delegati allo svolgimento delle funzioni datoriali. E che  “l’informazione fornita ai dipendenti sulla raccolta dei log, in considerazione della sua genericità, non può considerarsi adeguata, che non rilevano le finalità per le quali la stessa è effettuata, così come l’asserita non attendibilità dei dati raccolti, anche considerato che la conservazione di informazioni, ancorché parziali e imprecise, sui siti internet visitati dai dipendenti appare comunque lesiva del diritto alla loro riservatezza, così come la trasmissione di dati personali sullo stato di salute del lavoratore ai soggetti delegati allo svolgimento delle funzioni datoriali.

In particolare viene evidenziata la “colpa grave” per la mancata attivazione ai fini della verifica della conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo.

provvedimento del Garante

sentenza della Corte

Total Page Visits: 1473 - Today Page Visits: 1