Il datore di lavoro non può spiare le conversazioni Skype dei dipendenti. Il principio è stato riaffermato dal Garante della privacy, mentre è boom di sanzioni sul money transfer: nei primi sei mesi del 2015, l’Autorità per la protezione dei dati personali ha condotto 153 ispezioni, 1.730 mila euro di sanzioni già riscossi dall’erario, 20 segnalazioni all’autorità giudiziaria, avviati procedimenti sanzionatori relativamente a circa 1.500 violazioni.
Il contenuto di comunicazioni di tipo elettronico o telematico scambiate dai dipendenti nell’ambito del rapporto di lavoro godono di garanzie di segretezza tutelate anche a livello costituzionale. Il principio è stato riaffermato dal Garante privacy nell’accogliere il ricorso proposto da una dipendente che lamentava l’illecita acquisizione di conversazioni, avute con alcuni clienti/fornitori, poste poi alla base del suo licenziamento. A seguito del provvedimento del Garante il datore di lavoro non potrà effettuare alcun trattamento dei dati personali contenuti nelle conversazioni ottenute in modo illecito, limitandosi alla conservazione di quelli finora raccolti ai fini di una eventuale acquisizione da parte dell’autorità giudiziaria.
Nel caso esaminato, rileva il Garante, il datore di lavoro è incorso in una grave interferenza nelle comunicazioni, attuata, per sua stessa ammissione, attraverso l’installazione di un software sul computer assegnato alla dipendente in grado di visualizzare sia le conversazioni effettuate dalla ricorrente dalla propria postazione di lavoro prima di uscire dall’azienda, sia quelle avvenute successivamente da un computer collocato presso la propria abitazione. Una procedura, secondo il Garante, in evidente contrasto con le “Linee guida del Garante per posta elettronica e Internet” e con le disposizioni poste dall’ordinamento a tutela della segretezza delle comunicazioni, nonché con la stessa policy aziendale approvata anche dalla competente Direzione territoriale del lavoro. Pur spettando, infatti, al datore di lavoro definire le modalità di utilizzo degli strumenti aziendali, occorre comunque che queste rispettino la libertà e la dignità dei lavoratori, nonché i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti di dati devono essere rese note ai lavoratori), di pertinenza e non eccedenza stabiliti dal Codice privacy. Principi questi da tenere ben presenti, in considerazione del fatto che l’esercizio del controllo da parte del datore di lavoro può determinare la raccolta di informazioni personali, anche non pertinenti, di natura sensibile oppure riferite a terzi.
Il bilancio dell’attività ispettiva del primo semestre 2015 per il settore del money trasnsfer presenta 153 ispezioni, 1.730 mila euro di sanzioni già riscossi dall’erario, 20 segnalazioni all’autorità giudiziaria, avviati procedimenti sanzionatori relativamente a circa 1.500 violazioni. Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato il marketing telefonico svolto dai call center operanti all’estero; il mobile payment; la geolocalizzazione dei dipendenti; gli istituti bancari; le reti tlc e Internet; il trasferimento di dati verso Paesi extra Ue; le strutture alberghiere; le aziende sanitarie (in particolare per quanto riguarda la sanità elettronica); le centrali rischi. Il quadro che ne emerge mostra diffuse illiceità nel trattamento dei dati delle persone; una ancora insufficiente informazione agli utenti sull’uso dei dati personali da parte di Pa e aziende (110 violazioni riscontrate); violazioni relative a banche dati, pubbliche e private; mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Numerosi anche i procedimenti sanzionatori per omessa notificazione al Garante con riferimento a trattamenti di particolare delicatezza e le sanzioni per non aver risposto alle richieste di informazione e documentazione del Garante. In questo semestre un particolare rilievo hanno avuto le 1.172 sanzioni contestate dalla Guardia di finanza nell’ambito di una complessa indagine antiriciclaggio che ha visto coinvolte alcune società operanti nel settore del trasferimento di denaro (money transfer). Dagli accertamenti è emerso che tali società avevano utilizzato illecitamente i dati di centinaia di persone o clienti ignari per frazionare fittiziamente il trasferimento all’estero di ingenti somme di denaro ed eludere così i limiti che impongono agli operatori la segnalazione di transazioni al di sopra di certe soglie.
Per quanto riguarda, invece, le violazioni penali, le segnalazioni inviate alla magistratura hanno riguardato soprattutto casi di mancata adozione delle misure minime di sicurezza e violazioni dello Statuto dei lavoratori.
Nel mese di luglio il Garante ha varato il piano ispettivo per il secondo semestre 2015 che prevede non solo la prosecuzione dei controlli già avviati, ma anche l’individuazione di nuovi ambiti di intervento. Le verifiche del Garante si accentreranno sui trattamenti di dati svolti in relazione alla fidelizzazione della clientela (carte fedeltà, pay back); sull’attività dei Caf legata alla trasmissione on line del 730 precompilato; sul marketing telefonico; sulla implementazione delle misure per la tracciabilità delle operazioni bancarie. Particolare attenzione, dopo il caso Hacking Team, verrà posta ai trattamenti di dati effettuati da software house che forniscono servizi di supporto all’attività della polizia giudiziaria e alla magistratura.
L’attività ispettiva riguarderà, inoltre, come di passi, le istruttorie riguardanti le segnalazioni, i reclami e i ricorsi dei cittadini; la verifica dell’obbligo di notificazione; il rispetto delle norme sull’informativa e il consenso; l’adozione delle misure di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati e verrà svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza.