Garante privacy: censimento degli strumenti di lavoro e degli apparati per i controlli a distanza dopo la riforma dello Statuto dei Lavoratori ad opera del Jobs Act.

L’Autorità Garante per la protezione dei dati personali è intervenuta elaborando un primo importante censimento degli strumenti di lavoro e degli apparati per i controlli a distanza, dopo la riforma dello Statuto dei Lavoratori ad opera del Jobs Act.

Nel caso esaminato, si trattava del controllo delle email di dipendenti di una Università. Il Garante ha chiarito che tra gli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (ai sensi e per gli effetti dell'art. 4, comma 2, l. n. 300/1970, come modificato dall'art. 23 del d.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di "attrezzatura" e "post[azione] di lavoro" di cui all'art. 173 d.lg. n. 81/2008), con specifico riferimento al servizio di posta elettronica e alla navigazione web, è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza.

Da questo punto di vista e a titolo esemplificativo, possono essere considerati "strumenti di lavoro" alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta "envelope" del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l'erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).

Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale, invece, non possono normalmente consentire controlli sull'attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla disciplina di cui all'art. 4 Stat. lav. (ad es.  sistemi di protezione perimetrale – firewall – in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni – IPS/IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne). Non possono,altresì, essere considerati strumenti di lavoro gli apparati e i sistemi software che consentono in background, dunque con modalità non percepibili dall’utente, di monitorare, filtrare, controllare e tracciare in modo costante e indiscriminato gli accessi a internet o al servizio di posta elettronica. Tali applicativi ricadono nella categoria degli strumenti di controllo a distanza dell’attività dei lavoratori.

Ciò considerato, i sistemi ed applicativi in uso presso l'Università esulano senza dubbio dal perimetro degli "strumenti utilizzati dal lavoratore per