Il Garante Privacy, con il provvedimento del 26 marzo 2020 n. 65, interviene in materia di trattamento di dati personali effettuato attraverso l’accesso alla cronologia del pc aziendale e ad altri dati raccolti nel corso del rapporto di lavoro della reclamante. Si tratta di un argomento che trova le sue fonti di disciplina nell’ordinamento europeo e in quello nazionale e che tiene banco sempre più spesso nelle sedi giudiziarie del lavoro.

Il provvedimento del Garante

Il provvedimento in oggetto riguarda il reclamo di una lavoratrice licenziata per giusta causa a seguito di accessi a internet avvenuti durante l’orario di lavoro con utilizzo del pc in dotazione.

La reclamante ha sottoposto al giudizio del Garante plurime condotte poste in essere dalla società:
• accesso alla cronologia internet in assenza di divieto di utilizzo dei beni aziendali per fini personali;
• copia su chiavetta USB di parte dei files personali contenuti nel pc in dotazione;
• diniego di accesso alla casella di posta aziendale per estrapolare la corrispondenza personale;
• mancata consegna di tutti i documenti personali presenti negli spazi utilizzati in azienda oltre che della versione integrale dell’agenda cartacea in uso.

All’esito dell’istruttoria il Garante ha ritenuto illecita la condotta del datore di lavoro sotto tutti i profili evidenziati dalla lavoratrice e quanto ai dati estratti dal pc in dotazione (cronologia internet, files personali salvati su disco fisso, email personali) ha considerato determinante la mancata adeguata informazione circa le modalità di effettuazione dei controlli datoriali («l’accesso al PC assegnato alla reclamante, in assenza della medesima, è avvenuto senza che all’interessata fosse stata fornita un’idonea informativa. Infatti l’informativa individuale, sottoscritta dalla reclamante … non contiene alcuna indicazione sull’uso della posta elettronica, dell’accesso ad internet e degli altri strumenti di lavoro, né sulla tipologia di controlli che il datore di lavoro si riserva di attivare»).
Precisamente, il Garante ha ritenuto esistere la violazione dell’obbligo di fornire l’informativa all’interessato previsto dall’art. 13 Regolamento, del principio generale di correttezza dei trattamenti di cui all’art. 5, par.1, lett. a) e c), Regolamento e dei criteri di legittimazione dell’art. 6 Regolamento, oltre la violazione dell’art. 4, legge n. 300/1970 come modificato dal D.Lgs. n. 151/2015.
In questa sede viene in rilievo innanzitutto l’art. 4 S.L. secondo il quale il datore di lavoro potrà utilizzare le informazioni raccolte con gli strumenti di controllo a distanza (comma 1) e con gli apparecchi di cui ha dotato i propri dipendenti (comma 2) solo per i fini connessi al rapporto di lavoro, e purché i lavoratori siano informati adeguatamente sulle modalità d’uso di tali strumenti e sui modi con cui verrà esercitato il controllo stesso.
Il controllo in questione dovrà quindi rispettare la disciplina prevista dal Regolamento (UE) 2016/679 sulla privacy (General Data Protection Regulation) e dal D.Lgs. n. 196/2003 (il Codice Privacy) così come modificato dal D.Lgs. n. 101/2018.
Ebbene, premesso che l’informativa, in quanto tale, non richiede alcuna accettazione dei lavoratori che ne sono destinatari, le questioni che si pongono, affinché l’informativa possa considerarsi adeguata, attengono al contenuto e alle modalità con le quali essa deve essere portata a conoscenza del personale dipendente.
Per quanto riguarda l’adeguatezza del suo contenuto, esso deve riguardare le modalità d’uso degli strumenti e l’effettuazione dei controlli.
È dunque onere del datore di lavoro identificare le modalità di utilizzo dello strumento che comportano l’acquisizione dei dati relativi all’attività del lavoratore.
L’informazione deve essere mirata e non generalizzata. Tale informazione dovrà riguardare gli strumenti utilizzati dal lavoratore consentendo la puntuale conoscenza dei controlli al quale quest’ultimo è assoggettato.