Garante per la protezione
    dei dati personali


PROVVEDIMENTODEL 17 LUGLIO 2014

Registro dei provvedimenti
 n. 370 del 17 luglio 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

 

VISTO ilricorso presentato al Garante in data  9 aprile 2014 nei confronti diVeneto Sviluppo S.p.A., con il quale XY, rappresentato e difeso dall'avv.Antonio Forza, dirigente della predetta società, essendo stato sospeso in viacautelare dal servizio (26 febbraio 2014) "con effetto immediato per ungrave illecito" per cui si rendeva necessario "procedere ad alcuniaccertamenti e verifiche", nonché contestualmente  privato delladisponibilità di alcuni strumenti aziendali (pc, I-phone e I-pad) con relativadisattivazione delle schede sim e dell'account di posta elettronica attivatosul dominio della società, ha ribadito le istanze previamente avanzate ai sensidegli artt. 7 e 8 d.lgs. 30 giugno 2003, n. 196, Codice in materia diprotezione dei dati personali (di seguito "Codice") volte ad avereaccesso a tutti i dati personali che lo riguardano, anche di caratteresensibile, contenuti nei documenti conservati nei dispositivi informatici a suadisposizione e nella corrispondenza elettronica intrattenuta con il proprioaccount aziendale, nonché ai dati relativi alla navigazione internet effettuatacon il proprio profilo utente; rilevato che il ricorrente, sostenendo che ipredetti dati sarebbero stati illecitamente acquisiti dal datore di lavoro, si èaltresì opposto al loro ulteriore trattamento, sollecitandone la cancellazione;a suo avviso infatti, la società resistente, sostenendo di dover"accertare l'esistenza di eventuali anomalie circa l'utilizzo della postaelettronica da parte dell'interessato", ha posto in essere un'attività diverifica "sorretta da un intento vagamente ispettivo ed esplorativo, allaricerca di non precisate eventuali anomalie ()", che si è sostanziata inun accesso "generico e indiscriminato" a tutti i contenuti del pcaziendale; ciò in violazione non solo dei principi di liceità e correttezza,tenuto  conto che la policy aziendale contempla eventuali verifiche deldatore di lavoro sul corretto utilizzo della posta elettronica solo "almanifestarsi di situazioni anomale", ma anche di pertinenza e di noneccedenza, giacché le operazioni di acquisizione ed estrazione dei dati hannocoinvolto "la totalità dei dati contenuti nei supporti", nei quali"sono conservati in maniera indistinguibile, accanto ad informazionistrettamente attinenti all'attività di lavoro del ricorrente, contenuti dinatura personale e riservata, alcuni anche di carattere sensibile";rilevato che il ricorrente ha chiesto la liquidazione in proprio favore dellespese del procedimento;

 

VISTIgli ulteriori atti d'ufficio e, in particolare, la nota del 10 aprile 2014 conla quale questa Autorità, ai sensi dell'art. 149 comma 1 del Codice, hainvitato la società resistente a fornire riscontro alle richiestedell'interessato, nonché la nota del 5 giugno 2014 con cui è stata disposta, aisensi dell'art. 149 comma 7 del Codice, la proroga del termine per la decisionesul ricorso;

 

VISTE lenote pervenute per e-mail il 22, 28 e 30 aprile 2014, con le quali la societàresistente, nel rappresentare che il procedimento disciplinare avviato con lanota di contestazione di addebito del 28 marzo 2014 si è concluso in data 29aprile 2014 con il licenziamento del ricorrente per giusta causa ex art. 2119c.c., ha precisato che: a) in data 25 febbraio, venuta a conoscenza di unae-mail dal contenuto "denigratorio e diffamante nei confronti dei verticiaziendali" inviata dall'interessato nel febbraio 2013 ad un organoistituzionale, ne ha disposto la sospensione cautelare dal servizio "alfine di evitare la commissione di ulteriori attività denigratorie e dannose perla società e la sua immagine e per scongiurare la cancellazione di eventualidati aziendali nel tempo necessario ad effettuare le verifiche indispensabilidi quanto emerso"; le predette verifiche sarebbero state effettuate nelrispetto di quanto stabilito nel regolamento contenente la policy aziendale sultrattamento dei dati personali, adottato dal Consiglio di amministrazione indata 20 aprile 2011 e revisionato nel marzo 2012; in particolare, "nelconsegnare la comunicazione di sospensione cautelare (), la societàsottoponeva al ricorrente la mail anzidetta spiegandogli che sarebbero statesvolte indagini allo scopo di verificare se la stessa fosse davvero partita dalcomputer aziendale in dotazione allo stesso e di verificare l'eventualeesistenza di altre mail sullo stesso tema ()"; contestualmente la società,nella persona dell'amministratore di sistema, provvedeva al "ritiro delledotazioni aziendali e a disabilitare l'utenza "active directory"utilizzata per l'accesso ai sistemi informativi aziendali", invitando ilricorrente a "rientrare in azienda in un giorno concordato per assisterealle operazioni dirette ad accertare, tramite accesso al computer in suadotazione, l'esistenza di eventuali anomalie circa l'utilizzo da parte suadella posta elettronica"; successivamente, a seguito della nota con cui ilricorrente manifestava l'esigenza di farsi assistere da un tecnico informatico,la società resistente, respingendo la sua richiesta, lo invitava a"nominare un suo fiduciario scelto tra i dipendenti dell'azienda",avvertendolo al tempo stesso che, in mancanza di tale designazione, si sarebbeprovveduto alle attività di verifica alla presenza di un "fiduciarioaziendale";  la resistente ha quindi affermato di avere procedutoalle attività di verifica in data 5 marzo 2014 e ancora il 20 marzo 2014 -sempre previa comunicazione all'interessato - tramite "l'inserimento dialcune parole chiave individuate dal direttore generale, riferite sia aldestinatario diretto che al destinatario per conoscenza che all'oggetto delmessaggio"; all'esito della ricerca sarebbero state "individuate 7e-mail che venivano aperte, riprodotte in file salvati in un supportoinformatico (...)"; quindi, Veneto Sviluppo S.p.A. inviava all'interessatola nota di contestazione di addebiti; b) le attività di verifica, svolte nelrispetto di tutti i requisiti di liceità del trattamento, hanno riguardato"solo ed esclusivamente l'indirizzo di posta elettronica aziendale dato indotazione, per scopi di servizio, all'interessato; indirizzo che per la policyaziendale poteva essere utilizzato solo per scopi istituzionali"; lestesse sono state effettuate "con modalità trasparenti, informandone ilricorrente e invitandolo a partecipare personalmente o a nominare un propriofiduciario (), per uno scopo determinato esplicito e legittimo, ovvero al finedi verificare la riferibilità allo stesso di una mail dai contenuti diffamatorie allarmanti (), tramite la ricerca di e- mail contenenti parole chiaveprecise e determinate, volte a ricercare mail di contenuto prettamenteistituzionale, con una ricerca del tutto circostanziata che ha portato alrinvenimento di pochissime mail, le sole ad essere state lette edestratte"; la società resistente ha quindi sostenuto la piena liceità deltrattamento effettuato, aggiungendo che i dati contenuti nelle mail rinvenutesono "dati aziendali, gestiti dal ricorrente nell'esercizio delle funzionidirigenziali che attualmente () non svolge più" e che, in ogni caso,quegli stessi dati devono ritenersi sottratti all'esercizio dei diritti di cuiall'art. 7 del Codice per il periodo durante il quale potrebbe derivarne unpregiudizio effettivo e concreto per lo svolgimento delle investigazionidifensive o per l'esercizio di diritti in sede giudiziaria (art. 8 comma 2lett. e) del Codice); nelle medesime note la resistente ha d'altra partemanifestato la propria disponibilità a fornire all'interessato o a cancellare,"in contraddittorio con il direttore, l'amministratore di sistema e ilfiduciario aziendale, i file e le cartelle con intestazione non inerentel'attività sociale, nonché le comunicazioni e-mail aventi destinatario estraneoall'attività aziendale";

 

VISTA lanota datata 15 maggio 2014 con la quale il ricorrente, nel contestare laricostruzione della vicenda come rappresentata dalla controparte, haevidenziato che: a) è inveritiera l'affermazione secondo cui la mail che è poistata oggetto della contestazione di addebito formalizzata dalla società indata 27.3.2014 fosse stata mostrata al ricorrente il 26 febbraio 2014 inoccasione della comunicazione con cui veniva disposta la sospensione cautelaredal servizio; la predetta affermazione sembra piuttosto, ad avviso delricorrente, un "maldestro tentativo di far apparire già dall'iniziocircoscritta l'area di indagine sulle mail, mentre la ricerca sullacorrispondenza è avvenuta con modalità non comunicate preventivamente, da"pesca a strascico"; b) non corrisponde altresì al vero che laresistente abbia inviato formale comunicazione all'interessato primadell'accesso eseguito il 20 marzo 2014 (e, in ogni caso, un avviso inviatotramite a/r "in data 19 marzo sarebbe stato totalmente inidoneo aconsentire al destinatario di esercitare qualsivoglia iniziativa ()"); c)non sono state rese note preventivamente le modalità di ricerca delle mail nésono stati comunicati i verbali delle attività di verifica, neppure con lacontestazione di addebito (mentre gli stessi "li conosciamo soltantooggi"); d) nei predetti verbali non viene specificato, in particolare,"quali software – se certificati o meno - siano stati utilizzati percompiere l'accesso e per l'analisi dei contenuti del pc e se sia statoutilizzato un blocco hardware ()"; le stesse "modalità di ricercaattraverso l'uso di parole chiave non sono previste nel documento di policy invia astratta, né sono nominate nella contestazione di addebito in cui invece cisi sarebbe dovuti aspettare una piena discovery da parte dell'azienda"; e)suscita perplessità la stessa designazione del fiduciario aziendale, dalmomento che la persona che la resistente ha affermato essere stata indicata datutti i lavoratori è "l'amministratore di sistema "storico"della società, il quale ricopriva ancora tale ruolo al momento dei fatti";

 

VISTE lenote pervenute per e-mail il 28 maggio, il 16 e il 20 giugno 2014 con le qualila società resistente ha replicato alle osservazioni formulate dal ricorrenteosservando che: a) ai fini dell'accertamento di un eventuale trattamentoillecito di dati, "è del tutto indifferente che il ricorrente conoscesse omeno, prima della verifica, il contenuto della segnalazione che aveva dato ilvia alla procedura (di verifica), rilevando esclusivamente che egli sia statoinformato delle intenzioni di procedere con la suddetta verifica e messo nellecondizioni di parteciparvi e che questa sia stata pertinente e non eccedente";b) la comunicazione della verifica del 20 marzo 2014 è stata preventivamentetrasmessa all'interessato tramite raccomandata spedita "il 19 marzo 2014 erecapitata presso la residenza del ricorrente nella mattinata del 20 marzo2014, quindi in termine perché lo stesso potesse partecipare alle operazioni diaccesso" (la stessa è poi stata restituita al mittente per compiutagiacenza); c) in ordine alle osservazioni dell'interessato circa la nonrispondenza delle modalità di accesso utilizzate (tramite parole chiave) aiprincipi stabiliti nella policy aziendale, appare evidente come nel rispettodei principi generali stabiliti nella policy anzidetta, "i datori dilavoro potranno decidere di volta in volta  lo strumento di indagine piùadeguato alla finalità dichiarata (). Nel caso in esame, alla società èapparso che () nulla di più garantista per il lavoratore vi fosse se nonquello di limitare l'indagine all'ambito nel quale era stata riscontratal'esistenza di un comportamento illecito"; d) quanto, infine, alla nominadel fiduciario aziendale nella persona del dott. (), quest'ultimo "non èamministratore di sistema ma semplicemente sostituto eventuale in caso diimpedimento del titolare dell'incarico";

 

VISTA lanota pervenuta per e-mail il 16 giugno 2014 con la quale il ricorrente, nelribadire  che il "limitatissimo preavviso circa la verifica del 20marzo e il mezzo di comunicazione prescelto dall'azienda non gli hannoconsentito di esercitare alcuni diritti come, ad esempio, essere assistitodalle organizzazioni sindacali dei dirigenti e/o decidere di sostituire ilfiduciario aziendale con uno di propria nomina", ha evidenziato"alcune anomalie che sorgono dalla lettura dei verbali di verifica –e annessi allegati – relativi agli accessi al pc del 5 e 20 marzo";in particolare il ricorrente ha rilevato come nel corso del primo accesso sianostate utilizzate un cospicuo numero di parole chiave che avrebbero portatoall'individuazione ed estrazione di n. 7 file, mentre nel corso del secondoaccesso, "nonostante il ridotto numero di parole chiave (di cui le primedue già utilizzate nella ricerca precedente), i file estratti sono ben15"; tra questi file si rinvengono ben 4 e-mail che si sarebbero giàpotute/dovute individuare con il primo controllo";

 

RILEVATOche il datore di lavoro può effettuare dei controlli mirati (direttamente oattraverso la propria struttura) al fine di verificare l'effettivo e correttoadempimento della prestazione lavorativa e, se necessario, il corretto utilizzodegli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto,tuttavia che, nell'esercizio di tale prerogativa, occorre rispettare la libertàe la dignità dei lavoratori, nonché, con specifico riferimento alla disciplinain materia di protezione dei dati personali, i principi di correttezza,(secondo cui le caratteristiche essenziali dei trattamenti devono essere resenote ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11 comma 1del Codice; ciò, tenuto conto che tali controlli possono determinare iltrattamento di informazioni personali, anche non pertinenti o di dati dicarattere sensibile;

 

RILEVATOche, nel caso di specie, sulla base della documentazione acquisita alprocedimento, il ricorrente risulta essere stato previamente informato in riferimentoal trattamento di dati personali che avrebbe potuto essere effettuato inattuazione di eventuali verifiche e controlli sull'utilizzo del personalcomputer concessogli in uso per esclusive finalità professionali,  conparticolare riferimento alle modalità e alle procedure da seguire per glistessi; considerato infatti che nel documento di "Policy in attuazione deld.lgs. n. 196/2003" adottato dal titolare del trattamento il 20 aprile2011 ( revisionato  il 21-26 marzo 2012) e messo a disposizione deidipendenti, la società, nel dichiarare espressamente che tutti "idispositivi informatici devono essere utilizzati per fini professionalievitando utilizzi impropri che possano essere di danno o in contrasto conl'interesse aziendale", ha fornito un'idonea informativa in ordine altrattamento di dati personali connesso ad eventuali attività di verifica econtrollo effettuate dalla società stessa sui personal computer concessi in usoai dipendenti e sull'utilizzo della posta elettronica e internet;

 

RITENUTOquindi che, alla luce delle predette considerazioni, il trattamento dei datidel ricorrente acquisiti dalla società resistente nel corso delle due verificheeffettuate sull'account di posta elettronica del ricorrente medesimo al fine diaccertare l'eventuale suo comportamento illecito, anche alla luce di quantoemerge dai verbali delle verifiche stesse, non risulta essere stato effettuatoin violazione dei principi di liceità, pertinenza e non eccedenza di cuiall'art. 11 del Codice, avendo peraltro la società circoscritto l'ambitodell'attività di accertamento tramite l'utilizzo di parole chiave e avendo lastessa dichiarato, nel corso del procedimento (con dichiarazione della cuiveridicità l'autore risponde ai sensi dell'art. 168 del Codice "Falsità nelledichiarazioni e notificazioni al Garante") che le attività di controllohanno riguardato "solo ed esclusivamente l'indirizzo di posta elettronicaaziendale dato in dotazione, per scopi di servizio, all'interessato";ritenuto quindi che le richieste formulate con il ricorso, ai sensi dell'art. 7commi 3 e 4 del Codice, devono essere dichiarate infondate dal momento che,allo stato degli atti, non risulta che la società resistente abbia posto inessere un trattamento di dati personali in violazione di legge;

 

CONSIDERATOperaltro che, nel caso in esame, l'indirizzo di posta elettronica aziendaleutilizzato dal ricorrente (aXY@venetosviluppo.it), essendo un indirizzoindividualizzato recante nome e cognome dello stesso - e non un indirizzocondiviso tra più lavoratori – non può non essere considerato quale datopersonale del ricorrente medesimo, anche a prescindere dal contenuto dellacorrispondenza; ritenuto tuttavia che, con specifico riferimento ai soli datiacquisiti nel corso delle verifiche esperite sull'account del ricorrente, lasocietà resistente ha legittimamente invocato il temporaneo differimento deldiritto di accesso di cui all'art. 8 comma 2 lett. e)  del Codice,fornendo elementi sufficienti  a supporto della propria richiesta,rappresentando in particolare l'esistenza di una situazione precontenziosa frale parti ed evidenziando che i dati in questione sono strettamente pertinentiall'attività lavorativa del ricorrente e alle ragioni che hanno recentementecondotto al suo licenziamento;

 

RITENUTOquindi che, in ordine alla richiesta di accesso formulata dal ricorrente, ilricorso deve essere solo parzialmente accolto e deve pertanto ordinarsi allaresistente, quale misura a tutela dei diritti dell'interessato ai sensidell'art. 150 comma 2 del Codice, di consentire al ricorrente, entro il terminedi trenta giorni a partire dalla data di ricezione del presente provvedimento,di accedere a tutti i dati personali che lo riguardano contenuti nei documenticonservati nei dispositivi informatici di cui aveva disponibilità e quindianche nella corrispondenza elettronica intrattenuta tramite il proprio accountaziendale e di trasporre eventualmente gli stessi su supporto cartaceo oinformatico, alla presenza - a garanzia della corretta esecuzione dell'accessomedesimo - dell'amministratore di sistema e di un fiduciario appositamentedesignato;

 

VISTOl'art. 150 comma 5 del Codice, secondo cui se sorgono difficoltà ocontestazioni riguardo all'esecuzione del provvedimento del Garante, questo,sentite le parti ove richiesto, dispone le modalità di attuazione dello stesso;

 

RITENUTOche sussistono giusti motivi per compensare fra le parti le spese delprocedimento;

 

VISTA ladocumentazione in atti;

 

VISTIgli artt. 145 e ss. del Codice ;

 

VISTE leosservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

 

RELATOREil dott. Antonello Soro;

 

TUTTO CIO' PREMESSO IL GARANTE:

a) accoglie parzialmente la richiesta di accessoformulata dal ricorrente e ordina alla resistente, quale misura a tutela deidiritti dell'interessato ai sensi dell'art. 150 comma 2 del Codice, diconsentire al ricorrente, anche in eventuale contraddittorio con questa Autoritàai sensi dell'art. 150 comma 5 del Codice, entro il termine di trenta giorni apartire dalla data di ricezione del presente provvedimento, di accedere a tuttii dati personali che lo riguardano contenuti nei documenti conservati neidispositivi informatici di cui aveva disponibilità e quindi anche nellacorrispondenza elettronica intrattenuta tramite il proprio account aziendale edi trasporre eventualmente gli stessi su supporto cartaceo o informatico, allapresenza - a garanzia della corretta esecuzione dell'accesso medesimo -dell'amministratore di sistema e di un fiduciario appositamente designato;

b) rigetta il ricorso limitatamente ai soli datiacquisiti nel corso delle due  verifiche (rispettivamente del 5 e 20 marzo2014) esperite sull' account del ricorrente per i quali la società resistenteha legittimamente invocato il temporaneo differimento del diritto di accesso dicui all'art. 8 comma 2 lett. e) del Codice;

c) dichiara infondate le richieste formulate ai sensidell'art. 7 commi 3 e 4 del Codice ;

d) dichiara compensate le spese del procedimento.

IlGarante, nel prescrivere a Veneto Sviluppo S.p.A., ai sensi dell'art. 157 delCodice, di comunicare quali iniziative siano state intraprese al fine di dareattuazione al presente provvedimento entro quarantacinque giorni dallaricezione dello stesso, ricorda che l'inosservanza di provvedimenti del Garanteadottati in sede di decisione dei ricorsi è punita ai sensi dell'art. 170 delCodice . Si ricorda che il mancato riscontro alla richiesta ex art. 157 èpunito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensidegli artt. 152 del Codice e 10  d.lgs. n. 150 del 2011, avverso ilpresente provvedimento può essere proposta opposizione all'autoritàgiudiziaria,  con ricorso depositato al tribunale ordinario del luogo oveha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 17 luglio 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia