(de Federica De Stefani, avocat și responsabil pentru Aidr Regione Lombardia) Garantul pentru protecția datelor cu caracter personal sancționează municipalitatea Bolzano pentru monitorizarea fără discriminare a navigării pe internet a lucrătorilor.
Povestea începe cu proceduri disciplinare împotriva unui angajat care a fost contestat pentru consultarea Facebook și YouTube în timpul programului de lucru.
Autoritatea, prin dispozițiile sale, subliniază câteva elemente importante care privesc nu numai prelucrarea datelor, ci și modul de operare al municipalității, înainte și în timpul procedurii de inspecție.
Cazul
Din anchetele efectuate de Garant în urma plângerii prezentate de un angajat care a fost contestat pentru conexiunea „cu computerul Municipalității, timp de peste 40 de minute pe facebook și timp de peste 3 ore pe youtube, pentru a urma activități neinstituționale și că [...] a consultat pagini de internet care nu au legătură cu munca sa ”, a apărut o activitate de monitorizare și filtrare a navigării pe internet a angajaților desfășurată de municipalitate.
Datele astfel colectate au fost apoi stocate timp de o lună și au fost create rapoarte specifice în scopul securității rețelei.
Analiza afacerii și a modalităților concrete în care municipalitatea a efectuat această monitorizare, printre altele pentru o perioadă de timp destul de extinsă (aproximativ zece ani), a scos la iveală câteva aspecte importante.
1- Lipsa informațiilor adecvate
Prelucrarea efectuată de municipalitate a avut loc în absența informațiilor adecvate și specifice pentru angajați cu privire la posibilele controale ale accesului la internet de către angajator.
sistemul adoptat de municipalitate în scopuri de securitate a rețelei, în configurația inițială, a permis filtrarea și urmărirea conexiunilor și linkurilor către site-uri externe de internet, stocarea acestor date și conservarea acestora, timp de treizeci de zile, precum și extragerea rapoartelor, chiar pe bază individuală.
Acest sistem a permis identificarea directă a lucrătorului și a postului său de lucru și a dat naștere la o colectare sistematică de date referitoare la activitatea și utilizarea serviciilor de rețea de către angajații identificabili direct.
Municipalitatea nu a oferit angajaților informații specifice referitoare la prelucrarea datelor cu caracter personal și, în cele puse la dispoziție, nu a existat nicio referire la prelucrarea datelor cu caracter personal referitoare la navigarea pe Internet de către aceștia.
În alte documente, puse la dispoziția Autorității și analizate în timpul anchetei, a existat o trimitere la operațiunile de urmărire a conexiunii la internet, însă întrucât documentele au fost întocmite pentru a îndeplini diferite obligații, acestea nu conțineau toate informațiile esențiale solicitate de la art. 13 din regulament și, prin urmare, nu a putut înlocui informațiile pe care proprietarul trebuie să le facă părților interesate înainte de a începe tratamentul.
2 - Principiul minimizării
Conform regulamentului, prelucrarea trebuie să fie „necesară” în raport cu scopul legal urmărit (articolul 6, alin. 1 din regulament) și să aibă ca obiect doar datele „adecvate, relevante și limitate la ceea ce este necesar cu respect în scopurile pentru care sunt prelucrate "(art. 5, alin. 1, lit. c), din regulament).
În acest sens, garantul subliniază că domeniul de aplicare al controalelor (indirecte sau neintenționate), deși efectuate în conformitate cu reglementările sectoriale, nu poate fi efectuat în masă și trebuie, în orice caz, să fie efectuat după experimentarea unor măsuri mai puțin limitative decât drepturile lucrătorilor.
Autoritatea, subliniind granița estompată dintre sfera muncii și cea profesională și cea strict privată, reiterează, de asemenea, necesitatea de a proteja și garanta așteptările de confidențialitate ale lucrătorului la locul de muncă chiar și în ipoteza în care angajatul este conectat la servicii de rețea pusă la dispoziția angajatorului sau să utilizeze o resursă a companiei și prin intermediul dispozitivelor personale.
În cazul analizat, dimpotrivă, a reieșit că metodele concrete cu care au fost efectuate verificările nu respectă principiile necesității și proporționalității, în ceea ce privește scopul protecției și siguranței rețelei interne invocate de entitate.
De fapt, sistemul utilizat de municipalitate „efectuarea unei colectări sistematice de date de navigație a angajaților a implicat în mod inevitabil prelucrarea informațiilor care nu au legătură cu activitatea profesională, deductibilă din adresele URL vizitate și, prin urmare, era în contrast cu interdicția pentru angajator a lucrează pentru prelucrarea datelor „care nu au legătură cu evaluarea atitudinii profesionale a lucrătorului” și deci cu art. 113 din Cod, cu referire la art. 8 din l. 20 mai 1970, n. 300 și art. 10 din Decretul legislativ 10 septembrie 2003, nr. 276 "(deci textual ordonanța din 13 mai 2021).
Necesitatea de a reduce riscul utilizării necorespunzătoare a navigării pe internet de către angajați, constând în activități care nu țin de performanța la locul de muncă (de exemplu, vizualizarea site-urilor web irelevante, încărcarea sau descărcarea fișierelor, „utilizarea serviciilor de rețea în scopuri recreative sau fără legătură cu munca) nu poate, de fapt, să justifice nicio formă de interferență în viața privată, dar poate fi satisfăcută prin furnizarea de măsuri tehnice și organizatorice adecvate pentru prevenirea colectării oricărei informații referitoare la sfera non-lucrătoare, dând naștere prelucrării informațiilor personale " irelevante "care se încadrează în domeniul de aplicare al art. 113 din Cod
3- Limitarea scopului
Regulamentul prevede, la art. 5, că „datele trebuie„ colectate în scopuri legitime specifice, explicite și prelucrate ulterior într-un mod care nu este incompatibil cu astfel de scopuri ”.
În cazul analizat de Garant, acest principiu nu a fost respectat, având în vedere că datele referitoare la navigarea pe internet a angajaților, inițial colectate și prelucrate într-un mod care nu este proporțional și nu respectă reglementările privind protecția personalului date și fără informații adecvate în conformitate cu art. 13 din Regulamente, au fost ulterior folosite pentru a contesta acuzațiile disciplinare.
Pentru Autoritate, indicațiile furnizate de municipalitate cu privire la depunerea procedurii disciplinare s-au dovedit, de asemenea, fără valoare.
Acestea din urmă, de fapt, nu au condus la impunerea de sancțiuni, deoarece datele colectate nu erau fiabile, raportând, de asemenea, o serie de site-uri (de exemplu, legate de bannere) care nu au fost neapărat vizitate de către lucrător, fără posibilitatea de a face distincția între site-ul vizitat efectiv și cei cu navigare indirectă / involuntară.
Circumstanța legată de calitatea slabă a datelor colectate nu este relevantă în scopul evaluării conformității cu regulamentul, întrucât datele colectate au fost în orice caz prelucrate, deoarece au fost utilizate pentru inițierea procedurii disciplinare menționate anterior.
În cele din urmă, autoritatea de garanție constată lipsa unei evaluări a impactului efectuată de municipalitate și inadecvarea noului acord sindical stipulat pentru prelucrarea datelor personale ale angajaților.
Pentru încălcările constatate și având în vedere atitudinea colaborativă și proactivă a municipalității, sancțiunea administrativă impusă a fost cuantificată la 83.000 EUR.