Garante per la Protezione dei dati personali, Provvedimento n. 303 del 13 luglio 2016
E’ stata lamentata da parte del personale dell’Università degli studi “G. D’Annunzio” di Chieti e Pescara la violazione della disciplina in materia di protezione dei dati personali con riguardo, tra l’altro, all’asserito controllo posto in essere dal datore di lavoro in ordine all’utilizzo di sistemi di comunicazione elettronica e di videosorveglianza.
L’Ateneo (sulla scorta dell’erroneo presupposto che il MAC Address non costituisca “dato personale”) non ha reso la dovuta informativa in favore degli utilizzatori della rete, anche con riguardo alle effettive caratteristiche delle operazioni di trattamento effettuate (artt. 11, comma 1, lett. a) e 13 del Codice; Linee guida, cit., punto 3).
Il menzionato Regolamento di Ateneo che pur detta regole in merito al corretto utilizzo degli strumenti elettronici in dotazione agli utenti, non è comunque idoneo a sostituire l’adempimento all’art. 13 del Codice in quanto non reca gli elementi essenziali richiesti dalla legge per l’informativa da rendere agli interessati, né è idoneo a renderli edotti in modo esaustivo in merito alle operazioni di trattamento effettuate, con particolare riferimento alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati relativi ai MAC Address e agli indirizzi IP dei personal computer a loro messi a disposizione o assegnati in uso.
Ciò considerato, i sistemi ed applicativi in uso presso l’Università esulano senza dubbio dal perimetro degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e comportano, quindi, un trattamento in contrasto con quanto previsto dal predetto art. 4.
5. Il trattamento effettuato si pone altresì in violazione dei principi di necessità, pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d) del Codice) che non consentono controlli massivi, prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete (sul punto, Consiglio di Europa, Raccomandazione del 1 aprile 2015, CM/Rec(2015)5, ma già, Linee guida cit., spec. par. 4, 5.2. lett. b) e 6.1; sulla minimizzazione nel trattamento dei dati, Provv. 2 febbraio 2006, doc. web n. 1229854, confermato da Cass., sez. I civ., 1° agosto 2013, n. 18443).
Anche su tale aspetto si è soffermato il Garante nelle menzionate audizioni chiarendo che i principi di necessità e proporzionalità impongono di privilegiare misure preventive ed, in ogni caso, gradualità nell’ampiezza del monitoraggio “che renda assolutamente residuali i controlli più invasivi, legittimandoli solo a fronte della rilevazione di specifiche anomalie” quali, ad esempio, la riscontrata presenza di virus e “comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori” (cfr. audizione del Garante, cit., spec. punto 2, lett. e)).
Il provvedimento