MAC address è dato personale: Garante sanziona un ateneo

Il Garante per la protezione dei dati personali ha ribadito che le verifiche indiscriminate sulla posta elettronica e sulla navigazione web dei dipendenti sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Il caso portato all’attenzione del Garante Privacy è quello che riguarda il personale tecnico-amministrativo e docente di un ateneo italiano: i dipendenti universitari hanno infatti formalmente lamentato una presunta attività di monitoraggio che sarebbe stata svolta in modo illecito da parte dell’università.

Con la sua decisione, consultabile pubblicamente a questo indirizzo, l’ufficio del Garante ha verificato le denunce dei dipendenti e ha ritenuto di dare loro ragione intimando all’università di cessare il trattamento dei dati personali svolto nelle modalità non accettabili rilevate durante la fase di istruttoria.

Durante le indagini, si legge in una nota del Garante, è emerso che “i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi IP e dei Mac Address dei PC assegnati ai dipendenti“.

Inoltre viene rilevato che “l’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente“.

Una recente sentenza dei giudici della Corte Europea dei Diritti dell’Uomo aveva stabilito che il datore di lavoro ha titolo per ispezionare le attività dei dipendenti, a patto che le verifiche riguardino esclusivamente account aziendali, utilizzati per scopi professionali: a tal proposito, suggeriamo la lettura dell’articolo Vietato usare l’email aziendale per messaggi personali.

La decisione del Garante prende le mosse dalla mancanza di un’informativa: i dipendenti, insomma, non erano stati informati dei trattamenti posti in essere. Inoltre, diversamente da quanto sostenuto dai responsabili dell’ateneo, il Garante ha rimarcato più volte che il MAC address è considerato un dato personale a tutti gli effetti ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati.

Il MAC address è un indirizzo associato a ciascuna scheda di rete che è integrata in un qualsiasi PC o dispositivo mobile. Si tratta di un identificativo univoco che viene imposto dal produttore hardware della singola scheda.
È evidente che conoscendo i MAC address dei sistemi assegnati ai dipendenti è possibile definire una relazione biunivoca fra il dispositivo hardware e l’identità dell’utente.
È proprio questo il punto che ha fatto scoppiare il casus belli: massima attenzione, quindi, ai dati che vengono trattati, alle modalità con cui essi sono gestiti e, soprattutto, all’informativa resa agli utenti.