Privacy » News 11_2011

ISPEZIONE DEL GARANTE AL POLIGRAFICO E ZECCA DELLO STATO S.P.A....

articolo del 26/10/2011
Il Garante per la protezione dei dati personali ha svolto nel mese di maggio 2011, un’ispezione presso l’Istituto Poligrafico e Zecca dello stato S.p.A. La verifica ha avuto oggetto con particolare riguardo al trattamento dei dati dei dipendenti e al rispetto delle prescrizioni del provvedimento del 27 novembre 2008 “Misure e accorgimenti prescritti ai Titolari dei trattamenti effettuati con strumenti elettronici riguardo alle attribuzioni delle funzioni di amministratore di sistema” La verifica del Garante nei confronti del Poligrafico e Zecca dello Stato s.p.a., ha visto svolgersi degli accertamenti sul trattamento dei dati dei dipendenti e sugli adempimenti previsti dal provvedimento del 27 novembre 2008 concernente “ Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. In particolare la verifica ha avuto come oggetto :  Utilizzo e conservazione dei dati sulla navigazione in internet dei dipendenti;  Utilizzo della posta elettronica aziendale;  Sistemi di telefonia aziendali;  Amministratori di sistema Internet: i dati della navigazione degli utenti della rete aziendale sono raccolti e archiviati per un periodo di un anno. La raccolta è effettuata consentendo, di fatto, di analizzare per singolo utente, non solo i siti visitati, ma anche il tentativo di accedere ai siti bloccati dai Proxy aziendali. Il Garante ha evidenziato che tale modalità di raccolta dei dati configura, di fatto, una profilazione dell’utente (consentendo di verificare le eventuali opinioni e le preferenze anche di carattere sessuale sulla base dei siti visitati o dei tentativi di accesso a diversi siti web). Tale trattamento, oltre ad essere espressamente vietato dal Codice per la protezione dei dati personali e dalla l. 300/1970 (Statuto dei lavoratori) per quanto attiene le opinioni politiche e filosofiche dei dipendenti, viola quanto disposto dall’art. 4 della L.300/1970, consentendo in ogni caso un controllo a distanza dell’attività del lavoratore in assenza di un accordo con le rappresentanti sindacali. Il Garante ha inoltre ritenuto che di tale attività non siano stati adeguatamente informati i dipendenti, prescrivendo di riformulare agli stessi l’informativa prevista dall’art. 13 del D.Lgs.196/2003. Posta elettronica aziendale: nonostante che nelle istruzioni agli incaricati l’Azienda abbia indicato che le caselle di posta elettronica aziendali non possano essere utilizzate per fini personali o privati, l’omessa adozione del Regolamento per l’uso dei sistemi informativi aziendali, non ha consentito ai dipendenti di ricevere le necessarie informazioni sul trattamento dei dati che si riferiscono alle caselle email assegnate. Centralino VoIP: l’azienda intende utilizzare un sistema telefonico aziendale, (centralino VoIP) che consente di conoscere l’uso del telefono da parte di ciascun dipendente; è’ inoltre disponibile una funzione (seppur non utilizzata dall’azienda) definita “alert”che consente di “configurare l’invio automatico di un messaggio di posta elettronica a un indirizzo email a scelta ogni qualvolta un numero interno effettua una chiamata verso determinati numeri”. Anche in questo caso è necessario che i dipendenti siano adeguatamente informati sull’uso dei sistemi telefonici aziendali e che siano attuate le procedure previste dall’art. 4 della L. 300/1970 per i profili che si riferiscono al controllo a distanza dell’attività dei lavoratori. Amministratori di sistema: il Garante ha rilevato che le modalità di archiviazione dei “log access” degli amministratori non rispondono completamente a quanto prescritto dal provvedimento del 28 novembre 2011, non essendo registrati gli accessi degli amministratori che avvengono dal pannello generale di gestione del prodotto che registra i log della navigazione web dei dipendenti. Il Garante ha dichiarato illeciti i trattamenti di alcuni dati personali ed ha trasmesso all’autorità giudiziaria gli atti per le valutazioni in ordine agli illeciti penali. Ha inoltre disposto l’immediata disattivazione della funzione “alert” del centralino aziendale, imponendo la riformulazione delle informative ai dipendenti. Con il provvedimento in esame il Garante ha dichiaro illeciti i trattamenti effettuati dall’Istituto Poligrafico per violazione degli artt. 11 comma 1 lett. a), c) e d), 113 e 114 del Codice Privacy, nonché degli artt. 4 e 8 L. 300/1970, con conseguente inutilizzabilità dei dati stessi, che potranno essere conservati solamente in vista di una eventuale acquisizione da parte dell’autorità giudiziaria. Andando ad esaminare i profili di illegittimità del trattamento di dati personali effettuato dal Poligrafico con l’utilizzo dei sistemi di natura elettronica, occorre innanzitutto richiamare i principi generali contenuti nel Codice e specificati dal Garante nelle linee guida per l’utilizzo della posta elettronica e di internet nel rapporto di lavoro, emanate nel 2007, e nello specifico: - Il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite. - Il principio di pertinenza e non eccedenza, che impone che i trattamenti siano effettuati per finalità determinate, esplicite e legittime, cioè nella misura meno invasiva possibile. - Il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori. A tal fine, a seconda delle dimensioni aziendali, potrebbe essere opportuno adottare un disciplinare interno, redatto in modo chiaro, che indichi quali sono le modalità di utilizzo degli strumenti messi a disposizione dei lavoratori e in che misura e con quali modalità vengono effettuati i controlli. Ovviamente, all’onere del datore di lavoro di predisporre una policy interna sul corretto uso dei mezzi e sui sistemi di controllo, si affianca il dovere di fornire comunque adeguata informativa agli interessati (i dipendenti) ai sensi dell’art 13 del Codice. Il trattamento di dati esaminato dal Garante con il provvedimento in esame, presenta poi un ulteriore profilo di illiceità, relativamente alla violazione delle norme dello Statuto dei Lavoratori sul controllo dei lavoratori. Va in particolare richiamato l’art. 4 della L. 300/1970, il quale prevede il divieto di istallare apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, tra cui sono certamente ricompresi gli hardware o software mirati al controllo dell’utilizzo dei sistemi elettronici (internet, posta elettronica, voip) da parte dei lavoratori. La norma dello Statuto dei Lavoratori citata, prevede tuttavia che il datore possa utilizzare sistemi di controllo per esigenze produttive o organizzative, o se necessari per la sicurezza sul lavoro; in tal caso, se da tali impianti e apparecchiature di controllo possa derivare anche la possibilità di un controllo indiretto dell’attività dei lavoratori, possono ugualmente essere istallati ma solo previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, richiedendo una specifica autorizzazione alla Direzione Provinciale del Lavoro competente, con la quale vengono definite le corrette modalità per l’uso dell’impianto. Riproduzione riservata...

News.