Il datore di lavoro non può monitorare la navigazione internet dei lavoratori in modo indiscriminato, pur in presenza di specifici accordi sindacali.
È quanto affermato dall’Autorità Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano: dall’istruttoria, nata dalla segnalazione di un dipendente, è emerso come il Comune abbia impiegato, per circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete.
Il Garante ha evidenziato che tale trattamento non può basarsi unicamente sull’esistenza di un accordo sindacale, ma è comunque necessario rispettare anche i principi di protezione dei dati previsti dal Gdpr.
Il sistema implementato dal Comune – senza aver adeguatamente informato i dipendenti – consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e riconducibili alla vita privata dell’interessato.
Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per illecito trattamento dei dati. Il Comune dovrà inoltre adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati e aggiornare le procedure interne individuate e inserite nell’accordo sindacale.
Il provvedimento integrale può essere letto a questo link