Le aziende non possono monitorare in maniera “massiva” le attività su Internet dei propri dipendenti né la loro corrispondenza elettronica. A stabilirlo è il Garante per la protezione dei dati personali, secondo cui una condotta del genere è in contrasto con il Codice della privacy e con lo Statuto dei lavoratori, in una decisione adottata nei confronti di un’università.
Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, si legge in una nota del Garante, che lamentava la violazione della propria privacy e il controllo a distanza messo in pratica dall’Ateneo. Nel corso dell’istruttoria l’amministrazione aveva respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali dei dipendenti che si connettevano alla rete.
Ma l’istruttoria dell’authority ha evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti. L’infrastruttura adottata dall’Ateneo, inoltre, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e alla posta elettronica, utilizzando sistemi e software non necessari per lo svolgimento dell’attività dei dipendenti e che operavano in background, con modalità non percepibili dall’utente.
Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.
L’Autorità ha infine riscontrato che l’università “non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali”.