Controllo della posta elettronica del dipendente: le reprimende del Garante – Il Commento di L. Boiero
di L. Boiero
Alcuni dipendenti di una Università del centro Italia avevano lamentato la violazione della disciplina in materia di protezione dei dati personali con riguardo, tra l’altro, al dichiarato controllo posto in essere dal datore di lavoro in ordine all’utilizzo di sistemi di comunicazione elettronica e di videosorveglianza.
Dalla documentazione prodotta dal titolare del trattamento dei dati nel corso dell’istruttoria, emergeva che l’Ateneo effettuava operazioni che consistono nella raccolta e conservazione, per un periodo di 5 anni dei file di log relativi al traffico internet contenenti, tra gli altri, il MAC Address(1), l’indirizzo IP nonché informazioni relative all’accesso ai servizi internet, all’utilizzo della posta elettronica e alle connessioni di rete. Tale raccolta e conservazione prolungata di informazioni sarebbe stata effettuata, asseritamente in forma anonima, per esclusive finalità “di monitoraggio del servizio nonché di sicurezza e integrità dei sistemi” nonché in caso di richieste investigative dell’Autorità giudiziaria “[…] fornire alle forze dell’ordine che su mandato della magistratura debbano compiere indagini su attività illecite che hanno avuto come sorgente o come destinatario i sistemi informatici dell’Ateneo” (così risulta dal regolamento interno dell’Università in questione).
Stando a quanto dichiarato dal suddetto titolare del trattamento dati, l’associazione tra il MAC Address della postazione e il dipendente che lo utilizza non sarebbe stata attuata (in fase di raccolta e nelle successive elaborazioni) se non in relazione alle richieste dell’Autorità giudiziaria.
Inoltre, tramite il personale tecnico del “Settore competente”, sarebbe stata compiuta attività di “controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni”.
Per il Garante per la Protezione dei dati personali, in base alla valutazione degli elementi raccolti durante l’istruttoria, risulta che le suddette operazioni, eseguite per il tramite del personale incaricato e degli amministratori di sistema, davano luogo ad un trattamento di dati personali, peraltro riferiti ad un novero assai ampio di soggetti definiti “utenti” della rete di Ateneo (in particolare, i docenti, i ricercatori, il personale tecnico amministrativo e bibliotecario, gli studenti, i dottorandi, gli specializzandi e gli assegnisti di ricerca). Ciò in quanto il MAC Address della “interfaccia” di rete di una postazione è da considerarsi “dato personale” ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati (art. 4, comma 1, lett. b) del Codice).
Leggi anche la Notizia Garante Privacy: no al controllo indiscriminato di e-mail e navigazione Internet
Ti consigliamo, il volume:
di Nadia Arnaboldi
I nuovi adempimenti in materia di protezione dei dati personali per imprese, professionisti e P.A.
– Guida pratica
– Legislazione
– Documentazione
© RIPRODUZIONE RISERVATA
