Il MAC Address (Media Access Control Address) è un dato personale? Sì, lo affermano le norme nazionali e comunitarie e lo ricorda il Garante per la Protezione dei dati personali in un provvedimento datato 13 luglio 2016, pubblicato di recente. Protagonista è un Ateneo italiano accusato dai suoi dipendenti di effettuare verifiche di massa ed indiscriminate – in aperto contrasto con il Codice della Privacy e lo Statuto dei Lavoratori – sulle attività di navigazione in rete ed utilizzo della posta elettronica. Si torna quindi a parlare di controllo a distanza e di Jobs Act.
Il personale tecnico, amministrativo e docente dell’Ateneo in questione ha infatti denunciato la violazione della propria privacy nonché l’essere sottoposti a controllo a distanza da parte dell’amministrazione dell’ente universitario che, di contro, ha respinto ogni accusa affermando come ” l’attività di monitoraggio delle comunicazioni elettroniche ” fosse ” attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura “.
In fase di istruttoria, con specifico riguardo all’utilizzo dei sistemi di comunicazione elettronica, l’Ateneo ha dichiarato che: ” i log delle attività di rete sono anonimi: vengono raccolti e conservati i dati relativi ai MAC Address ed agli indirizzi IP dei personal computer (…) ” e ” non vengono raccolti dati personali contenuti nella comunicazione di rete, eccezion fatta per il MAC Address (legato alla postazione utilizzata per l’attività lavorativa) e l’indirizzo IP dinamico ottenuto nella sessione di lavoro “. E, aspetto determinante, ” non è stata fornita nessuna informativa ai sensi dell’articolo 13 del Codice (…) in quanto non è possibile (trattare) dati personali (…) per cui l’informativa è superflua “.
Quest’ultima affermazione denota una certa contraddittorietà – sottolineata dal Garante per la protezione dei dati personali – dal momento che, appurato come un MAC Address sia a tutti gli effetti un dato personale in quanto codice univoco associato dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo, e come tale adatto a risalire all’identità del suo utilizzatore, il non aver reso appropriata informativa – di fatto – va a configurare un trattamento illecito nonché un controllo a distanza sull’attività dei lavoratori.
Inoltre, contrariamente a quanto sostenuto dal titolare del trattamento, la presenza di postazioni condivise fra più persone è emersa quale circostanza residuale, non sufficiente a evitare il configurarsi di un monitoraggio costante ed immotivato delle attività svolte dal personale di Ateneo, in contrasto con il Codice Privacy e con la normativa sul controllo dei lavoratori, anche nella aggiornata versione nota come Jobs Act.
Assolutamente inconsistente, dal punto di vista normativo e come best practice, la giustificazione addotta dall’Ateneo: ” L’associazione tra il MAC Address della postazione e del dipendente che lo utilizza non viene in alcun modo effettuata ” e ” il MAC Address non (è) un dato identificativo tale da rendere necessaria l’informativa “; ” nella normale attività nessuno è in grado di associare l’utilizzatore con il MAC Address. Solo l’amministratore di rete (può farlo) previa legittima richiesta ” (cfr. nota del 14 ottobre 2015, in atti).
Allo stesso modo il fatto che il Senato accademico ed il Consiglio di amministrazione dell’Ateneo abbiano approvato un “Regolamento di utilizzo della rete internet e della posta elettronica”, pubblicato sul sito web di cui è ” stata data comunicazione a tutto il personale docente e non docente “, non è misura idonea a sostituire l’adempimento all’art. 13 del Codice. Non sono infatti stati rinvenuti gli elementi essenziali di legge per l’informativa da rendere agli interessati, ” né (il Regolamento, ndr) è idoneo a renderli edotti in modo esaustivo in merito alle operazioni di trattamento effettuate, con particolare riferimento alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati relativi ai MAC Address e agli indirizzi IP dei personal computer a loro messi a disposizione o assegnati in uso “.
Ciò che il Garante sottolinea è la distanza tra quanto affermato nel documento prodotto e quanto previsto dal Codice in termini di liceità e correttezza dei trattamenti effettuati. Se all’art. 14 del suddetto Regolamento si legge che ” le attività di accesso ai servizi internet ed in particolare l’utilizzo della posta elettronica sono registrati in forma elettronica ” per il tramite del personale del ” settore competente “, il riferimento in esso contenuto alla gestione ” in maniera anonima ” e all’utilizzo di queste informazioni ” esclusivamente in relazione alle attività di monitoraggio del servizio, alla sicurezza e all’integrità dei sistemi “, la fase istruttoria ha invece evidenziato altro.
Emerge che l’Ateneo compie operazioni di raccolta e conservazione dei file di log, per un periodo di 5 anni . Dati che contengono, tra gli altri, il MAC Address, l’indirizzo IP, informazioni relative all’accesso ai servizi internet, dati sull’utilizzo della posta elettronica e delle connessioni di rete. Un tempo di conservazione così elevato, e definito erroneamente ” in forma anonima “, è stato giustificato per finalità ” di monitoraggio del servizio nonché di sicurezza e (…) integrità dei sistemi ” (art. 14, comma 3, Reg., cit.) nonché in caso di richieste investigative dell’Autorità giudiziaria (cfr. nota 22 maggio 2015, cit.: ” (…) fornire alle forze dell’ordine che su mandato della magistratura debbano compiere indagini su attività illecite che hanno avuto come sorgente o come destinatario i sistemi informatici dell’Ateneo “.
Il Regolamento interno appare dunque al Garante ” non idoneo ad informare in modo chiaro e dettagliato circa la raccolta e le caratteristiche dell’effettivo trattamento dei dati personali degli utenti, nonché in ordine all’eventuale utilizzo degli stessi per controlli anche su base individuale “.
In aggiunta a quanto fin qui rilevato, mentre il titolare del trattamento afferma che le operazioni di monitoraggio e controllo vengono effettuate su segnalazione del Network Operating Center (NOC) del Gruppo Armonizzazione Reti della Ricerca (GARR) in caso di violazione del diritto d’autore, diffusione di malware o software maligno, il regolamento interno sottoposto al Garante evidenzia invece che tali attività vengono effettuate in modo costante e che, in presenza di ” violazione delle regole ” vengono informate le Autorità competenti e successivamente consentite le operazioni di identificazione dell'” utente utilizzatore “.
Considerando che il trattamento posto in essere avviene nei confronti di dipendenti e che il collegamento tra i dati relativi alla connessione e la persona utilizzatrice consente di ricostruirne l’attività (anche indirettamente), risulta evidente il contrasto con il principio di liceità, nonché con la disciplina di settore in materia di lavoro, anche rispetto alle modifiche intervenute per effetto dell’art. 23 del decreto legislativo 14 settembre 2015, n. 151 (Jobs Act).
È importante, in tal senso, che il Garante abbia rilevato come il trattamento venisse effettuato utilizzando apparati (differenti dalle ordinarie postazioni di lavoro) e sistemi software non percepibili dall’utente che, in background e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore, operavano ” azioni di “monitoraggio “, ” filtraggio “, ” controllo ” e ” tracciatura ” costanti ed indiscriminati degli accessi a Internet o al servizio di posta elettronica. Software – questi ultimi – che non possono essere considerati ” strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa “.
Lo sono invece e-mail aziendale e collegamento alla rete di Ateneo, così come sistemi e misure di sicurezza della rete aziendale stessa qualora ci si riferisca a firewall, logging con conservazione dei soli dati esteriori delle mail per un periodo non superiore ai sette giorni; filtraggio antivirus per rilevare anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso.
Considerando quindi le scelte effettuate dall’Ateneo a livello di infrastruttura, gli strumenti di monitoraggio utilizzati, i tempi di conservazione dei dati, la tipologia e profondità dei dati registrati con costanza, i trattamenti effettuati non solo non appaiono leciti, ma si pongono anche in violazione dei principi di necessità, pertinenza e non eccedenza .
Si richiamano qui i principi cardine che hanno guidato la redazione del nuovo Regolamento Europeo sulla Data Protection (GDPR): minimizzazione del trattamento, proporzionalità rispetto alle finalità perseguite e accountability.
In particolare, conservare i dati relativi al MAC Address e quelli relativi alla connessione ai servizi di rete in modo massivo, consentendo allo stesso tempo di associarli in via univoca all’utente, non appare al Garante in linea con la generica finalità di protezione e sicurezza informativa espressa nel Regolamento di Ateneo. Anche la possibilità di indagini giudiziarie (pur in assenza di episodi anomali scatenanti o ricorrenti nel tempo), non basta ad escludere un trattamento di dati eccedente rispetto agli scopi dichiarati (artt. 3 e 11, comma 1, lett. d) del Codice).
Per tali motivi appare assolutamente condivisibile la decisione dell’Autorità Garante che ha vietato all’Ateneo – con effetto immediato – l’ulteriore utilizzo dei dati raccolti con trattamento illecito, imponendone tuttavia la conservazione per tutela dei diritti in sede giudiziaria e per eventuali azioni della magistratura. Lasciando a quest’ultima la valutazione di eventuali illeciti penali, il Garante si è riservato di valutare, con procedimento autonomo, la sussistenza di violazioni amministrative in capo al titolare del trattamento.
Un provvedimento che conferma con decisione come la normativa privacy e quella riguardante il controllo dei lavoratori siano tutt’altro che in contrasto. La paura di un’apertura indiscriminata a sistemi di controllo dei dipendenti, anche a distanza – a seguito del Jobs Act – appare oggi ancor meno motivata. Necessaria, dunque, una maggiore cultura aziendale per prevenire inutili conseguenze giudiziarie, amministrative e in termini di reputazione.
Avv. Valentina Frediani
Founder e CEO Colin & Partners