L’autorité sanctionne la Commune de Bolzano de 84.000 EUR de sanction

Il n’est pas possible de contrôler la navigation en ligne des travailleurs sans discrimination. Indépendamment des accords syndicaux spécifiques, les éventuelles activités de contrôle doivent être réalisées dans le respect de l’État des travailleurs et de la législation sur la vie privée.

C’est ce que l’Autorité de Protection des Données a affirmé dans une provision punitive vis-à-vis de la Commune de Bolzano, commencée sur la base d’une plainte déposée par un employé qui, au cours d’une provision disciplinaire, il avait découvert qu’il avait été constamment contrôlé. L’administration, qui avait initialement répondu à la consultation de Facebook et de Youtube pendant les heures de travail, avait ensuite archivé la fourniture en raison du manque de fiabilité des données de navigation collectées.

Depuis les enquêtes de l’Autorité, il est apparu que la Commune impliquait, depuis près de 10 ans, un système de contrôle et de filtrage de la navigation en ligne des employés, avec la conservation des données pendant un mois et la création d’un rapport, à des fins de sécurité du réseau. Bien que l’employeur de travail ait écrit un accord avec les organisations syndicales, comme demandé par la discipline du secteur, l’Autorité a souligné que ce traitement de données doit également respecter les principes de protection prévus par le GDPR. Le système mis en place par la municipalité, sans que les employés aient été correctement informés, permettait des opérations de traitement non nécessaires et disproportionnées au regard de la finalité de protection de la sécurité du réseau interne, en effectuant une collecte préventive et généralisée de données sur les connexions aux sites Web visités par chaque employé. Le système recueillait également des informations étrangères à l’activité professionnelle et susceptibles d’être transposées dans la vie privée de l’intéressé.

Dans la fourniture, l’Autorité a souligné que l’exigence de réduire le risque d’utilisations inappropriées de la navigation en ligne ne peut conduire à l’annulation complète de chaque attente de confidentialité de l’intéressé sur le lieu de travail, également dans les cas où l’employé utilise des services de réseau mis à la disposition de l’employeur.

Dans le cadre de l’enquête, des violations ont également été relevées concernant le traitement des données relatives aux demandes de renseignements médicaux extraordinaires par des employés, effectuées au moyen d’un formulaire. Ce formulaire, mis à disposition depuis l’administration, après la connaissance obligatoire par le dirigeant de l’unité organisationnelle, circonstance conduisant à un traitement sur les données de santé illicites.

L’autorité, tenant compte de la pleine coopération de l’administration, a imposé une sanction de 84.000 EUR pour le traitement illicite des données du personnel. la municipalité devra également prendre des mesures techniques et organisationnelles pour anonymiser les données sur le poste de travail des employés, annuler les données personnelles présentes dans les logs de navigation web enregistrement, ainsi que mettre à jour les procédures internes indexées et insérées dans l’accord syndical.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP