Garante per la protezione
    dei dati personali


Le informazioni sul comportamento di un lavoratore, fornite con messaggi di posta elettronica inviati a superiori da dipendenti o da altri collaboratori aziendali, rientrano nell'ampia nozione di dato personale contenuta nella legge n. 675/1996, con conseguente diritto del lavoratore interessato ad accedervi.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

esaminato il ricorso presentato dal Sig. Mario Iannello, rappresentato e difeso dagli avv.ti Fabrizio Daverio e Carlo Ferzi;

nei confronti di

AXA Assicurazioni S.p.A., rappresentata e difesa dall'avv. Giancarlo Faletti;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Stefano Rodotà;

PREMESSO:

Il ricorrente, dipendente di AXA Assicurazioni S.p.A., lamenta di non avere ricevuto positivo riscontro ad una richiesta, formulata ai sensi dell'art. 13 della legge n. 675, con la quale aveva chiesto di accedere ad alcuni dati personali relativi a contestazioni mosse in sede aziendale e sulla base delle quali è stato avviato un procedimento disciplinare. Ciò anche in riferimento ad una serie di messaggi e-mail, indirizzati al responsabile della Direzione risorse umane della citata società, di cui vi è cenno in una lettera in data 17 aprile 2001 di contestazione degli addebiti.

Con il ricorso proposto ai sensi dell'art. 29 della legge n. 675 l'interessato chiede di ricevere "copia integrale dei messaggi e-mail", di cui alla citata lettera del 17 aprile 2001, e di ricevere altresì "tutti gli altri dati posseduti dalla Direzione risorse… ispezioni, lettere, relazioni…".

A seguito dell'assenso manifestato dalle parti, il termine per la decisione del ricorso è stato prorogato di 20 giorni ai sensi dell'art. 20, comma 8, del d.P.R. n. 501/1998.

All'invito ad aderire spontaneamente alle richieste del ricorrente, formulato da questa Autorità con nota n. 10895 del 19 settembre 2001, il titolare del trattamento ha risposto con ulteriore nota del 5 ottobre 2001 con la quale ha manifestato la disponibilità "a mettere a disposizione immediata del ricorrente copia dei messaggi e-mail… privi comunque della identificazione del mittente". Con fax pervenuto il 29 ottobre 2001 il titolare del trattamento ha fatto pervenire la copia (oscurata nei riferimenti ai mittenti e ad altre persone citate) di tre messaggi relativi all'interessato.

Con note in data 16 e 17 ottobre il ricorrente ha dapprima replicato precisando di non aver ricevuto "nè la copia dei messaggi e-mail completi, nè la copia degli stessi privi dell'indicazione del destinatario" e di non aver avuto "nessun altro riscontro in ordine alle conclusioni tutte di cui al ricorso". Dopo aver ricevuto i predetti messaggi, ha infine manifestato, con fax del 30 ottobre 2001, perplessità in ordine alla completezza ed esattezza degli stessi.

CIO' PREMESSO IL GARANTE OSSERVA:

Il ricorso verte sull'accesso ad una serie di dati personali detenuti dal datore di lavoro ed acquisiti da una pluralità non meglio definita di fonti, presumibilmente aziendali. Tali informazioni conterrebbero anche giudizi sulla correttezza e professionalità dell'interessato.

Il ricorso deve essere accolto.

I dati personali oggetto di richiesta riguardano specifici comportamenti del ricorrente e assumono la natura di dati personali in base all'ampia definizione di "dato personale" adottata dalla direttiva comunitaria n. 95/46/CE e dall'art. 1, comma 2, lettera c), della legge n. 675/1996. La nozione di dato personale comprende non solo dati personali di tipo oggettivo, ma anche informazioni personali contenute nell'ambito di valutazioni soggettive, riportate in supporti di vario tipo (sia cartaceo, sia automatizzato), conservate o meno in archivi strutturati.

I dati oggetto della richiesta di accesso in questione rientrano in tali categorie ed è pertanto legittima la richiesta dell'interessato di venirne a conoscenza, ai sensi dell'art. 13 della legge n. 675. Ciò in riferimento anche ai dati personali dell'interessato contenuti nei messaggi e-mail oggetto di specifica richiesta.

La normativa sulla protezione dei dati personali non si applica ai trattamenti effettuati da persone fisiche per fini esclusivamente personali (art. 3, legge n. 675). Nel caso di specie, però, i dati richiesti sono pacificamente riferiti a comunicazioni inoltrate al dirigente della Direzione risorse umane di AXA Assicurazioni S.p.A. da altri dipendenti o da ulteriori soggetti comunque in rapporto di collaborazione con la struttura organizzativa della società, per finalità di tipo professionale legate all'attività aziendale.

Va inoltre ricordato che il citato art. 13 e l'art. 17 del d.P.R. n 501/1998 non prevedono il necessario rilascio di copie di atti ed obbligano, più precisamente, il titolare o il responsabile del trattamento ad estrapolare dai propri archivi e documenti i dati personali detenuti su supporto cartaceo o informatico, che riguardano il richiedente, e a riferirli a quest'ultimo con modalità idonee a renderli agevolmente comprensibili. L'accesso, quindi, non obbliga ad esibire o copiare interamente ogni singolo atto o documento (nel caso di specie, la trasposizione su stampa di un messaggio e-mail che, quantomeno nell'intestazione, può recare altri dati relativi al mittente) dal quale possono essere estrapolati i dati personali, ma rende comunque necessario estrarre dagli atti e dai documenti tutte le informazioni di carattere personale relative al solo interessato (cfr. provvedimento del Garante del 23 giugno 1998, in Bollettino n. 5, pag. 20).

Solo quando l'estrazione di tali dati risulti particolarmente difficoltosa, l'adempimento alla richiesta di accesso può avvenire anche tramite l'esibizione e/o la consegna in copia della documentazione (vedi il provvedimento dell'11 gennaio 2001, in Bollettino n. 16, pag. 23).

PER QUESTI MOTIVI IL GARANTE:

- accoglie il ricorso in riferimento alla richiesta dell'interessato di conoscere i propri dati personali, nei termini di cui in motivazione, ed ordina ad AXA Assicurazioni S.p.A. di corrispondere alla richiesta dell'interessato entro il 30 novembre 2001, dando conferma di tale adempimento entro la stessa data all'Ufficio del Garante.

Roma, 30 ottobre 2001

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli