Il Garante della Privacy si è trovato a dover dare un parere relativo al controllo, da parte di un’università, di email e dati di navigazione dei propri dipendenti.
Pur ricordando che il Jobs Act ha esteso i diritti del Titolare dei Dati al controllo degli strumenti elettronici affidati ai dipendenti, non posso tralasciare il fatto che questo controllo non può essere costante e continuo.
Il Jobs Act non ha fatto altro che ristabilire un equilibrio necessario per far incontrare il diritto e il dovere del Titolare a controllare l’efficacia delle Misure Minime messe in atto per la protezione dei dati personali.
Come capita ogni volta che vi sono nuove indicazioni, queste si prestano ad interpretazioni differenti.
Nel caso dell’università è stata riscontrata la presenza di software non necessario alla produttività ma utile al controllo costante dei dipendenti, l’individuazione puntuale della persona avveniva attraverso indirizzo IP e mac address.
All’università il Garante ha contestato un’eccessiva limitazione della privacy e una non idonea informativa riguardante gli strumenti che aveva scelto di utilizzare.
Verifiche che possono essere invasive devono essere attuate nel caso in cui dovesse essere riscontrato un problema di sicurezza o, a mio avviso, periodicamente (almeno annualmente).
Dobbiamo ricordare che tra le misure minime necessarie alla protezione dei dati personali è prevista la formazione e l’aggiornamento degli incaricati seguita da un’informativa precisa che li responsabilizzi e li informi.
Roberto Bertoli – Consulenza Privacy