Il Garante: le aziende non possono “spiare” le sessioni online dei dipendenti

di Emanuele Menietti

scritto il

Le aziende non possono monitorare le attività svolte online dai loro dipendenti, parola del Garante per la Privacy. Il principio è stato ribadito in seguito al reclamo formulato da un impiegato, "spiato" per circa nove mesi dalla propria società

«È illecito monitorare in modo sistematico e continuativo la navigazione in Internet dei lavoratori». A sostenerlo è il Garante per la Privacy, che si è da poco pronunciato sul delicato tema del monitoraggio delle attività dei dipendenti da parte delle aziende. Secondo il responsabile della protezione dei dati personali, tale pratica costituisce un illecito e non può essere dunque adottata dalle società per controllare le azioni compiute dai propri lavoratori online.

Il pronunciamento del Garante è giunto in seguito al reclamo presentato alcuni mesi fa da un dipendente di una società, che aveva scoperto di essere stato “spiato” durante le sessioni online per almeno nove mesi. L’azienda aveva raccolto i dati generati durante la navigazione, registrato il numero di connessioni effettuate e calcolato il tempo trascorso mediamente su ogni sito. Il materiale così raccolto era stato poi incluso nella documentazione utilizzata dalla società per assumere provvedimenti disciplinari nei confronti del proprio dipendente.

Per effettuare tali operazioni l’azienda aveva utilizzato una soluzione software basata sull’applicativo open source Squid. Il programma memorizzava in alcuni file le informazioni relative ai movimenti del dipendente online, che utilizzava normalmente il proprio browser dalla postazione di lavoro. Stando a quanto dichiarato dalla società, tale procedura sarebbe stata messa in campo nei soli confronti di quel dipendente, e di nessun altro impiegato, allo scopo di verificare l’eventuale violazione delle politiche aziendali in merito alla navigazione online. L’autore del reclamo al Garante sarebbe stato inoltre informato dalla società circa i controlli che sarebbero stati effettuati sulla propria postazione individuale.

Analizzati i pro e i contro della vicenda, il Garante è infine giunto alla formulazione di un provvedimento nei confronti della società, affermando che: «L’installazione di un software appositamente configurato per tracciare in modo sistematico la navigazione in Internet del lavoratore viola, infatti, lo Statuto dei lavoratori, che vieta l’impiego di apparecchiature per il controllo a distanza dell’attività dei dipendenti. Peraltro la società non aveva neanche provveduto ad attivare le procedure stabilite dalla normativa qualora tale controllo fosse motivato da “esigenze organizzative e produttive” (accordo con le rappresentanze sindacali o, in assenza di questo, autorizzazione della Direzione provinciale del lavoro)».

Monitorare l’attività online di un proprio dipendente in maniera sistematica e continuativa costituisce dunque un illecito vero e proprio che può essere sanzionato. Prosegue il Garante per la Privacy: «Il Garante ha ritenuto, infine, che la società sia incorsa anche nella violazione dei principi di pertinenza e non eccedenza delle informazioni raccolte, poiché il monitoraggio, diretto peraltro nei confronti di un solo dipendente, è risultato prolungato e costante. In base alle Linee guida fissate dall’Autorità i datori di lavoro possono infatti procedere a eventuali controlli ma in modo graduale, mediante verifiche di reparto, d’ufficio, di gruppo di lavoro prima di passare a controlli individuali».

Sulla base di queste considerazioni, il Garante si è attivato per vietare alla società in questione «l’ulteriore trattamento dei dati personali riferiti al reclamante, limitatamente al monitoraggio degli accessi a Internet». Infine, il provvedimento e gli atti riferiti allo specifico caso sono stati trasmessi all’autorità giudiziaria, che potrà agire laddove neccesario anche in sede penale nei confronti della società.

Il principio ribadito dal Garante per la Privacy non si applica unicamente al caso specifico, ma interessa in termini generali tutte le società, che non possono quindi procedere al sistematico monitoraggio delle pagine e dei siti visitati dai propri dipendenti. Su questo particolare tema, il Garante si era già espresso a inizio anno nell’ambito di un caso analogo.

Il monitoraggio delle attività online dei dipendenti è un argomento molto discusso anche all’estero, specialmente nei paesi con una forte tradizione legata alla tutela dei dati personali. Nel corso degli ultimi anni alcune società hanno sviluppato software appositi per consentire alle società di “spiare” le attività dei propri dipendenti al computer entro i limiti stabiliti dalle singole leggi nazionali. L’adozione di tali sistemi viene spesso osteggiata dagli impiegati, che temono un utilizzo improprio dei dati generati dalle loro sessioni in Rete.