800 561720
La Commissione nazionale francese per la protezione dei dati personali (CNIL) ha sanzionato una società per aver monitorato l'attività del personale e per aver fornito un'informativa orale, il cui contenuto non poteva essere accertato. La decisione della CNIL risulta particolarmente interessante sia per le indicazioni fornite in relazione all’uso di strumenti quali i “keylogger”, sia per quanto riguarda le modalità di comunicazione dell'informativa al personale.
Fra privacy e giuslavoro
Il 4 febbraio 2025 la Commissione nazionale francese per la protezione dei dati personali (CNIL) ha comunicato di aver inflitto una sanzione pari a 40.000€ ad un'azienda – di dimensioni relativamente modeste – che monitorava costantemente l'attività dei suoi dipendenti, sia quando questi erano in sede (mediante l’impianto di videosorveglianza) che durante lo smartworking (mediante un apposito software di valutazione della produttività). Dalla decisione della Commissione è possibile ricavare utili informazioni in ordine all'utilizzo di strumenti comportanti un potenziale controllo dell'attività lavorativa, sulle restrizioni normative volte alla tutela dei diritti e delle libertà delle persone e sulle garanzie di trasparenza da fornire agli interessati.
Prima di analizzare la decisione della CNIL è bene ricordare che il datore di lavoro può, sulla base del proprio legittimo interesse, installare strumenti comportanti anche un potenziale controllo dell’attività lavorativa. Ciò capita qualora, ad esempio, il titolare abbia la necessità di tutelare il patrimonio di beni materiali e/o il patrimonio informativo aziendale; oppure qualora abbia interesse nel migliorare i processi interni e l’efficienza nella gestione del personale. Il datore di lavoro sceglierà, quindi, gli strumenti che meglio si prestano al perseguimento di tali finalità.
I sistemi di log analysis
Ciò premesso, vi sono degli strumenti che si differenziano da altri in termini di trasparenza e di invasività nella sfera privata dei lavoratori. È il caso delle moderne tecnologie dell'informazione, fra cui vi rientrano le piattaforme di monitoraggio e tracciamento dei log. Questi software consentono al titolare del trattamento di perseguire finalità legittime e, talvolta, anche obbligatore in quanto previste dalla legge. Pensiamo, ad esempio, ai requisiti di sicurezza informatica, di monitoraggio dei sistemi e delle vulnerabilità, di rilevamento degli incidenti informatici e di notifica alle Autorità competenti previsti dalla Direttiva “NIS2”, al fine di “prevenire, individuare, monitorare, analizzare e attenuare in maniera attiva le violazioni della sicurezza della rete”. Le misure richieste dalla NIS2 “potrebbero richiedere il trattamento di talune categorie di dati personali, quali indirizzi IP, localizzatori uniformi di risorse (URL), nomi di dominio, indirizzi di posta elettronica e, laddove rivelino dati personali, marcature temporali”. In questi casi, come disposto dal considerando 121 alla norma, il trattamento dei dati personali, nella misura necessaria e proporzionata al fine di garantire la sicurezza dei sistemi informatici e di rete, potrebbe essere considerato lecito in virtù del fatto che tale trattamento è conforme a un obbligo legale.
Dai moderni sistemi di rilevamento delle minacce informatiche, che possono lecitamente essere utilizzati per i fini sopra descritti, però, possono derivare ulteriori trattamenti occulti comportanti anche un monitoraggio dell’attività lavorativa ingiustificabile e intrusivo.
Il software “Time doctor”
Nel caso oggetto del provvedimento sanzionatorio della CNIL, la società aveva implementato un applicativo denominato “Time doctor”, sistema di monitoraggio dei sistemi informatici, analisi dei log e reportistica. Il software era stato installato in due versioni. Una prima versione, denominata “interattiva”, era stata implementata sui personal computer dei dipendenti e richiedeva l'attivazione e la disattivazione manuale durante l'orario di lavoro e le pause. Una seconda versione, denominata “silenziosa”, operava in background sui computer forniti al personale dall'azienda e si attivava automaticamente all'avvio dei computer.
A detta della società, lo strumento si era reso necessario per finalità organizzative e di gestione delle presenze del personale durante la pandemia, fase in cui l'azienda aveva ricorso allo smart working per il proseguimento delle attività lavorative. L'utilizzo del software, effettuato con urgenza e in un periodo di disorganizzazione aziendale, sarebbe stato “parziale, limitato nel tempo e privo di conseguenze negative per i dipendenti”.
Le informazioni rese al personale
Per quanto riguarda le informazioni rese al personale, rispetto al trattamento dei dati svolto attraverso il software “Time doctor”, la società sosteneva di aver fornito adeguate informazioni in forma orale, richiamando l’articolo 12, par. 1, del GDPR, in base al quale “se richiesto dall'interessato, le informazioni possono essere fornite oralmente”.
Inoltre, secondo la società, il sistema non superava le ragionevoli aspettative dei dipendenti e gli stessi erano sempre liberi di rifiutarsi di utilizzarlo senza conseguenze negative.
Le conclusioni della CNIL: sull’obbligo di informazione
In merito all'obbligo di informazione, la commissione rilevava che, sebbene l'utilizzo del dispositivo in versione “interattiva”, per la mera rilevazione delle presenze, possa essere consentito, alla stregua di un badge digitale, lo stesso deve essere configurato in modo da rispettare il principio di minimizzazione dei dati e deve essere oggetto di informazione nei confronti delle persone interessate, conformemente agli articoli 12 e 13 del GDPR.
In caso di comunicazione delle informazioni in forma orale, in base alle linee guida del WP29 in materia di trasparenza, il Titolare del trattamento deve comunque provvedere a conservare traccia ed essere in grado di dimostrare i seguenti elementi:
- la richiesta da parte dell'interessato di fornire informazioni oralmente,
- il metodo con cui è stata verificata l’identità dell'interessato,
- il fatto che le informazioni siano effettivamente state fornite all’interessato.
La CNIL ha chiarito, pertanto, che la semplice comunicazione delle informazioni in forma orale, anche se completa, non è in grado di garantire, per sua natura, la tracciabilità e l'accessibilità nel tempo. Di conseguenza, La commissione ha stabilito che la società non ha adempiuto al proprio obbligo di fornire informazioni trasparenti e facilmente accessibili alle persone interessate, in violazione degli articoli 12 e 13 del GDPR.
Le conclusioni della CNIL: sul monitoraggio occulto del personale
Dagli accertamenti svolti dalla commissione francese per la protezione dei dati, è emerso che la versione “silenziosa” del software registrava i tempi di inattività del personale tramite un “keylogger” in grado di tracciare i movimenti del mouse e l'attività della tastiera. Al tempo stesso, lo strumento catturava regolarmente le schermate dei PC al fine di valutare lo stato di eventuale inattività (la frequenza di rilevamento era stabilita caso per caso dalla direzione, a intervalli di durata compresa tra tre e quindici minuti) e contava il tempo trascorso su determinati siti web e applicazioni (che l'azienda aveva precedentemente provveduto a distinguere in base al livello di produttività).
Il software raccoglieva, quindi, per ciascun dipendente, i dati relativi alle pagine web visitate e alle applicazioni utilizzate con la relativa durata, il tempo trascorso sui siti web ritenuti produttivi e non produttivi dall'azienda e la percentuale di tempo trascorso su ciascuna di queste categorie di siti, in relazione al tempo lavorato. La mole di informazioni raccolte veniva poi suddivisa e analizzata dai dirigenti tramite un’apposita applicazione web.
In conclusione, le indagini svolte evidenziavano chiaramente che lo strumento era stato implementato dalla società non solo allo scopo di misurare l'orario di lavoro dei dipendenti e per esigenze meramente “organizzative”, ma anche al fine di effettuare un minuzioso controllo dell’attività lavorativa. La CNIL ha ricordato come l’utilizzo di strumenti comportanti un monitoraggio occulto del personale costituisca un trattamento illecito, in quanto lesivo “del diritto del dipendente alla vita privata e personale nonché al suo diritto a condizioni di lavoro rispettose della sua salute e sicurezza”.
La gravità delle violazioni
Il tracciamento e l’analisi delle azioni compiute dal personale tramite il sistema di monitoraggio dei log, la ricorrenza degli screenshot, la completa mancanza di trasparenza dei trattamenti svolti, hanno determinato una forma di sorveglianza particolarmente invasiva. A rafforzare la natura intrusiva del sistema utilizzato, il fatto che mediante lo stesso la società ha raccolto anche elementi privati quali e-mail personali, conversazioni di messaggistica istantanea o password riservate.
La società ha violato i principi fondamentali del GDPR, volti a garantire la liceità del trattamento effettuato, la sua trasparenza nei confronti degli interessati, nonché la sicurezza dei dati personali trattati. Violazioni particolarmente gravi, in quanto lesive dei diritti e delle libertà fondamentali dei lavoratori, che hanno determinato una sanzione importante per una realtà di modeste dimensioni.
Come comportarsi? Le regole del WP29
I dispositivi di sorveglianza automatizzata permanente dei dipendenti, come l’acquisizione di screenshot a intervalli regolari, l’uso di “keylogger” o di analoghi sistemi tracciamento delle azioni eseguite su un computer, sono strumenti sproporzionati rispetto ai legittimi interessi del datore di lavoro di verificare le presenze, organizzare le attività lavorative e ottimizzare la produttività del personale.
Come stabilito dal WP29, nel Parere 2/2017 “sul trattamento dei dati sul posto di lavoro”, i datori di lavoro che utilizzano prodotti e applicazioni informatiche comportanti un potenziale controllo dell'attività lavorativa, devono dapprima:
- valutare la proporzionalità dei trattamenti effettuati attraverso questi strumenti,
- valutare l’adeguatezza delle misure che stanno attuando per tutelare la riservatezza degli interessati,
- valutare se possibile adottare ulteriori azioni per attenuare o ridurre la portata e l'impatto delle attività di trattamento svolte sugli interessati,
- assicurarsi di rispettare le specifiche fonti normative applicabili, in materia di diritto del lavoro,
- assicurarsi di attuare e comunicare politiche di utilizzo accettabili, che descrivano l'utilizzo consentito della rete e delle attrezzature dell'organizzazione (regolamento sul corretto utilizzo degli strumenti aziendali),
- formalizzare per iscritto i trattamenti svolti e le politiche in materia di tutela della vita privata, in modo da illustrare chiaramente al personale le finalità perseguite ed i relativi fondamenti di liceità,
- effettuare una valutazione di impatto sulla protezione dei dati prima di introdurre qualsiasi tecnologia di monitoraggio sul lavoro,
- coinvolgere i portatori di interesse nella valutazione di impatto sulla protezione dei dati.
Soluzioni alternative e coinvolgimento del DPO
Finalità come la rilevazione delle presenze del personale, la valutazione della produttività, il controllo di gestione, possono essere lecitamente effettuate con mezzi alternativi e meno invasivi (ad esempio, implementando un sistema orientato alla valutazione dei risultati o un controllo basato sul confronto e sugli scambi con i supervisori).
Per gestire il lavoro a distanza e tutte le casistiche in cui i confini tra l'uso aziendale e privato sono labili (es. il “BYOD”), la chiave sta nel valutare e nell’affrontare i rischi in maniera proporzionata e non eccessiva, avendo cura di bilanciare gli interessi dell’azienda con i diritti e le libertà fondamentali dei lavoratori, assicurandosi che il DPO – ove nominato – venga prontamente coinvolto.
Fonte:
