Dipendenti e Internet, il controllo è possibile

Roma – E’ illecito spiare il contenuto della navigazione in internet del dipendente . Questo il titolo di un comunicato stampa reso noto il 14 febbraio scorso dal Garante per la protezione dei dati personali. Che così prosegue: L’uso indebito del computer può essere contestato senza indagare sui siti visitati .

Affermazioni del genere – riportate in questi termini dai molti media che hanno dato voce alla notizia – sono a mio avviso fuorvianti, perché assolutizzano principi che, viceversa, devono essere letti ed interpretati in uno con la vicenda cui accedono.

Deve essere perciò chiaro – anzitutto – che il provvedimento del Garante del 2 febbraio (al quale il comunicato stampa si riferisce, riprendendone contenuti e conclusioni) è emesso a decisione di un ricorso, e dunque esso deve necessariamente essere “ancorato” al caso preso in esame. E così una semplice disamina del provvedimento schiude scenari differenti da quelli che ci saremmo potuti attendere dalla mera lettura del titolo. Si evince, infatti, che la decisione del Garante non vieta in termini assoluti al datore di lavoro di controllare la navigazione web del proprio dipendente .

Nel caso sottoposto alla sua attenzione, l’Authority deduce l’illegittimità del controllo dal fatto che la società resistente l’abbia operato in assenza di una previa informativa all’interessato nonché – circostanza, quest’ultima, ancor più importante – dal fatto che il controllo nel caso specifico abbia comportato un trattamento di dati personali eccedente rispetto alle finalità perseguite; in spregio, cioè, del principio di proporzionalità, enunciato dall’art.11 D.Lgs.196/03.

“Non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni”, si legge nella decisione, che – nella sua parte più significativa – così prosegue: “La resistente avrebbe potuto quindi dimostrare l’illiceità del comportamento del dipendente, in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro, limitandosi a provare in altro modo l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento anche degli specifici “contenuti” dei singoli siti web visitati, operando (per questa via, n.d.a.) un trattamento di dati eccedente rispetto alle finalità perseguite”.

Il Garante – lo si ripete – prende in esame un’ipotesi specifica sulla quale è chiamato a pronunciarsi, ragion per cui sarebbe un errore estrapolare dalla decisione principi generali, valevoli per ogni ipotesi di controllo.

Di che tenore sarebbe stato il provvedimento del Garante se, ad esempio, il dipendente fosse stato autorizzato a consultare siti web, con espresso divieto, tuttavia, di accedere a siti non attinenti a tematiche correlate all’attività lavorativa? Potrebbe in tal caso il datore di lavoro controllare la navigazione, al fine di verificare il rispetto delle prescrizioni impartite? Io credo di sì, e ciò con buona pace anche dell’art.11 D.Lgs.196/03, specie se – come da indicazioni dell’Authority svizzera per la protezione dei dati – l’analisi nominativa delle registrazioni a giornale sia preceduta da un’analisi anonima o attraverso uno pseudonimo (e cioè per campionatura casuale).
Si deve peraltro rilevare che i dati eventualmente raccolti – molti dei quali di natura sensibile – non potrebbero essere tuttavia utilizzati per comminare sanzioni per fatti diversi né, a maggior ragione, per una “profilazione” del dipendente, vietata ai sensi dell’art. 8 St. Lav.

Avv. Luca Giacopuzzi (*)
www.lucagiacopuzzi.it

(*) coautore del libro Sicurezza e privacy: dalla carta ai bit , a cura di Gerardo Costabile