En una reciente provisión (13 mayo 2021 – doc. Web N. 9669974) la Autoridad Italiana de Protección de Datos ha sancionado un Municipio para haber implementado un sistema de control de la navegación en internet sin haber rendido a los trabajadores una política con arreglo al artículo 13 del Reglamento Europeo 679/2016. El caso afrontado desde la Autoridad se ha inspirado a una sanción disciplinar irrogada a un trabajador público que, utilizada el ordenador del Municipio, para finalidades no laborales. En particular, para haber consultado Facebook, YouTube y otras páginas.
Desde los acertamientos de la Autoridad surgió que el Municipio implicaba, desde diez años, un sistema de control y filtraje de la navegación internet de empleados, con la conservación de datos por un mes y la creación de dossier, para finalidades de seguridad de la red.
El tratamiento se ha ocurrido en ausencia de una política a los empleados sobre los posibles controles sobre los accesos a internet por parte de un empresario. De hecho, en el curso de las verificaciones ha surgido que, sobre el sitio web del Ente, no era presente ninguna especifica informativa sobre el tratamiento de datos personales de empleados, ni, en las disponibles, hay alguna referencia al tratamiento de datos personales sobre la navegación en internet por parte desde los mismos.
Una referencia a las operaciones de tratamiento de las conexiones a internet era presente en otros documentos puesto a disposiciones de los empleados, algunos de los cuales publicados en la intranet, cuales, el acuerdo sindical, el código de comportamiento, algunas circulares internar de la Oficina de personal, así como el formulario que cada empleado tenía que firmar al acto de la solicitud para el acceso a internet y otros servicios de red.
Estos actos, no que incluían todavía todos los elementos informativos esenciales solicitados desde el artículo 13 del Reglamento, siendo sido realizados para cumplir diferentes obligaciones respeto a los que derivan desde la disciplina en materia de protección de datos, no pueden sustituir la política que el responsable tiene que rendir, antes de empezar el tratamiento, a los interesados sobre las características esenciales del mismo; para permitir al interesado de ser plenamente consciente de la tipología de operaciones de tratamiento que podrán ser realizadas también recurriendo, en un marco de licitud, a los datos recogidos en el curso de la actividad laboral (véase Sentencias del Tribunal Europeo de Derechos del Hombre del 5 septiembre 2017 – recurso n. 61496/08 – Causa Barbulescu c. Romania, spec. par. n.133 e 140 y sentencia del 9 de enero 2018- recurso n. 1874/13 e 8567/13- Causa López Ribalda y otros v. España, spec. par. n. 115).
Sobre el punto se subraya que el cumplimento de las obligaciones informativas en frente a los empleados (que consisten en la “adecuada informaciones de las modalidades de utilizo de los instrumentos y de efectuación de controles”) constituye una especifica condición por licito uso de todos los datos recogidos en el curso de la relación de trabajo, mediante instrumentos tecnológicos y/o instrumentos de trabajo, para todos los fines conexos al relativo informe, incluidos las observaciones disciplinares, junto con el respeto de la disciplina en materia de protección de datos personales (v. art. 4, apartado 3, l. 20 de mayo 1970, n. 300).
FUENTE: FEDERPRIVACY