Garante per la protezione
    dei dati personali

Limiti al controllo sulla posta elettronica del dipendente

PROVVEDIMENTO DEL 2 APRILE 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. n. 196/2003);

VISTO il reclamo del 19 settembre 2006 proposto ai sensi dell'art. 142 del Codice da XY nei confronti di Marsh S.p.A., concernente il trattamento dei dati personali dell'interessato contenuti nella corrispondenza elettronica intercorsa utilizzando il computer aziendale in dotazione;

ESAMINATE le ulteriori osservazioni svolte dalle parti e la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Profili oggetto del reclamo

1.1. XY ha lamentato la violazione di numerose disposizioni in materia di protezione dei dati personali da parte di Marsh S.p.A. (di seguito, la societą) che non sarebbero state rispettate nell'ambito di una procedura interna volta a verificare il corretto operato del reclamante, all'epoca dei fatti amministratore delegato della societą.

L'attivitą di verifica, attivata nei suoi confronti nel ZW a seguito di una denuncia anonima pervenuta al Chief Executive Officer della capogruppo statunitense Marsh & McLennan Companies Inc. –denuncia che avanzava sospetti di comportamenti illeciti (taluni dei quali penalmente rilevanti) nei confronti del management italiano dell'azienda–, sarebbe stata condotta dalla societą e da un apposito team investigativo esterno (nel quale figura, in particolare, Kroll Ontrack GmbH, societą di investigazione tedesca) quantomeno fino al ZK, data in cui il reclamante ha rassegnato le proprie dimissioni.

1.2. Tra le operazioni effettuate nel corso dell'indagine e contestate dall'interessato con il reclamo del 19 settembre 2006 e con la successiva nota di osservazioni del 24 settembre 2007 (in atti) figura, in particolare, l'acquisizione, previa consegna del computer aziendale, della corrispondenza estratta dall'account di posta elettronica, corrispondenza contenente anche, a detta del reclamante, informazioni comuni e sensibili a sé riferite.

Il reclamante, a sostegno delle proprie ragioni, espone che:

      l'indirizzo di posta elettronica aziendale "poteva essere liberamente utilizzato anche per fini personali", non avendo la societą "mai adottato un regolamento interno che limitasse né tantomeno vietasse tale uso" o "emanato alcuna specifica direttiva e/o ordine di servizio in tal senso" (cfr. reclamo, cit., p. 7);

      in assenza di una specifica policy aziendale in materia, lo scambio di corrispondenza tra l'interessato e i propri familiari, amici e conoscenti sarebbe stato, pertanto, del tutto legittimo (cfr. reclamo cit., p. 7);

      l'acquisizione della corrispondenza da parte della societą sarebbe avvenuta con modalitą preordinatamente occulte (cfr. reclamo cit., pp. 7 e 12); l'acquisizione dei dati (sensibili e non) sarebbe avvenuta in assenza della prescritta informativa all'interessato (cfr. reclamo cit., pp. 7 e 9, nonché p. 11);

      conseguentemente, i dati personali dell'interessato non sarebbero stati raccolti né "in modo lecito e secondo correttezza", né per il perseguimento di "scopi determinati, espliciti e legittimi", come previsto dall'art. 11 del Codice in materia di protezione dei dati personali (cfr. reclamo cit., p. 11);

      gli stessi dati sarebbero stati trattati in misura eccedente e non pertinente rispetto alle finalitą della raccolta, posto che l'attivitą investigativa espletata dalla societą avrebbe interessato la corrispondenza elettronica del reclamante a far data dal 1999, "ben oltre ogni e qualsiasi finalitą ipotizzabile" (cfr. reclamo cit., p. 13);

      parimenti, le informazioni (sensibili e non) raccolte dalla societą sarebbero state trattate in difetto del relativo consenso (scritto, nel caso di dati sensibili) dell'istante (cfr. reclamo cit., pp. 10 e 11); né tale consenso sarebbe desumibile dalla sottoscrizione, da parte del reclamante, del modulo di consegna del computer (trattandosi di mera ricevuta di consegna dello stesso) o dalla sottoscrizione del modulo, rilasciato alla societą, per il trattamento dei dati per finalitą di gestione del rapporto di lavoro (v. nota di osservazioni, cit., pp. 3-4 e 25-27);

      limitatamente ai dati sensibili, la loro raccolta sarebbe avvenuta in mancanza della preventiva autorizzazione del Garante, non potendo trovare applicazione, nel caso di specie, l'autorizzazione generale sul trattamento dei dati sensibili nei rapporti di lavoro per difetto del requisito dell'"indispensabilitą" del trattamento (cfr. reclamo cit., p. 11);

      i predetti dati, per ammissione della stessa controparte (v. nota di osservazioni, cit., p. 5), sarebbero stati messi illegittimamente a disposizione di terzi estranei alla societą e coinvolti a vario titolo nell'attivitą investigativa (cfr. reclamo cit., pp. 8 e 12);

      le modalitą occulte della raccolta avrebbero, infine, consentito "un controllo a distanza dell'attivitą lavorativa dell'esponente" in violazione dell'art. 4 della legge n. 300/1970, non essendo stato mai sottoscritto dalla societą "alcun accordo sindacale né [aver] ottenut[o]a la necessaria autorizzazione amministrativa" (cfr. reclamo cit., pp. 7 e 10).

1.3. In relazione a tali circostanze, l'interessato ha chiesto a questa Autoritą di:

      ordinare alla societą la cancellazione e/o distruzione dei messaggi di posta elettronica scambiati dal reclamante attraverso l'indirizzo e-mail aziendale, nonché dei dati personali in essi contenuti, compresi quelli comunicati illegittimamente ai componenti del team investigativo;

      vietare alla societą resistente di trattare ulteriormente tali dati, dichiarandone l'inutilizzabilitą;

      in ogni caso, ordinare alla societą di adottare misure necessarie e/o idonee per rendere il trattamento dei dati personali del reclamante conforme alle disposizioni di legge vigenti.

A supporto delle proprie richieste l'interessato ha prodotto documentazione inerente, in particolare, all'acquisizione da parte della societą della corrispondenza elettronica a sé riferita a partire dal 1999 (cfr. all. nn. 8, p. 2, 12, p. 2 e 13 al reclamo cit.), nonché all'assenza di riscontri in corso di indagine ai presunti illeciti contestati con la denuncia anonima di cui al punto 1.1. (all. nn. 13 e 14 al reclamo cit.).

2. Le deduzioni di Marsh S.p.A. 

2.1. A seguito della richiesta di informazioni e documenti rivolta da questa Autoritą (cfr. comunicazione del 26 aprile 2007), la societą ha fatto pervenire la propria nota di risposta del 15 giugno 2007 (in atti) contestando in fatto e in diritto quanto articolato dal reclamante e presentando un "reclamo in via riconvenzionale" nei confronti del XY, nonché un'ulteriore nota di controdeduzioni del 18 gennaio 2008 (in atti).

2.2. La societą, replicando alle affermazioni di controparte, ha asserito in particolare che:

      l'utilizzo per fini personali della posta elettronica aziendale era stato escluso espressamente dal "Manuale sulla privacy" –adeguatamente pubblicizzato nella Intranet e, comunque, distribuito a mezzo posta elettronica a tutti i dipendenti– gią adottato all'epoca dei fatti (cfr. nota di risposta, cit., p. 3), il quale prescriveva, tanto nella versione del 2005 che in quelle del 2006, un "utilizzo dell'e mail [Ź] strettamente riservato agli scopi di business" (cfr. all. nn. 2, 3 e 4 alla nota di risposta, cit.);

      comunque, a prescindere dall'adozione di una policy aziendale in materia, la posta elettronica Ź uno strumento lavorativo, come tale nella piena disponibilitą del datore di lavoro (cfr. nota di risposta, cit., pp. 6 ss.);

      conseguentemente, il reclamante, come tutti gli altri dipendenti della societą, "non aveva alcun diritto alla riservatezza dei dati personali" (cfr. nota di risposta, cit., p. 8), non essendo stato autorizzato a utilizzare la casella di posta elettronica aziendale per scopi personali (cfr. nota di risposta, cit., p. 11); al contrario, trattandosi di messaggi ricevuti sull'indirizzo di posta aziendale, questi sarebbero "di esclusiva proprietą della Societą e in quanto tali possono e debbono essere letti, conservati e trattati dalla Societą in ogni momento" (cfr. nota di risposta, cit., p. 8);

      pertanto, non essendo legittimo il comportamento posto in essere dal reclamante, nessun diritto questi potrebbe vantare nei confronti della societą (cfr. nota di risposta, cit., p. 7);

      in ogni caso, il controllo sull'account di posta elettronica del reclamante sarebbe avvenuto nel pieno rispetto della normativa vigente (cfr. nota di risposta, cit., pp. 3 e 11); la societą non sarebbe stata tenuta ad acquisire alcun consenso dell'interessato per la raccolta dei dati, stanti i presupposti equipollenti, applicabili al caso di specie, previsti dal Codice con riferimento sia ai dati comuni (art. 24, comma 1, lett. b) ed f), sia a quelli sensibili (art. 26, comma 4, lett. c) e d) (cfr. nota cit., p. 13);

      nel caso di specie, ricorrerebbe appunto il presupposto equipollente al consenso e attinente all'esercizio di un diritto in sede giudiziaria, posto che il controllo delle e-mail aveva, quale scopo proprio, quello di accertare eventuali illeciti commessi (cfr. nota di risposta, cit., p. 15); ne consegue che il consenso del dipendente "non puė e non deve essere necessario nel momento in cui il datore di lavoro, come nel caso di specie, raccolga e tratti i suoi dati personali, anche sensibili, nell'ambito di una piĚ ampia attivitą volta ad accertare e prevenire la commissione di reati" (cfr. nota di risposta, cit., p. 16);

      il consenso non era necessario anche alla luce della necessitą, quale datore di lavoro, di "adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro" (art. 26, comma 4, lett. d), del Codice). Tale disposizione, che secondo la societą andrebbe considerata unitamente all'art. 3 dell'autorizzazione generale sul trattamento dei dati sensibili nei rapporti di lavoro –che ammette l'utilizzo di tali dati senza il consenso dell'interessato anche per "esigere" l'adempimento dei predetti obblighi o compiti (p. 3, lett. a)–, consentirebbe al datore di lavoro di "trattare lecitamente i dati (anche sensibili) sempre senza il consenso del dipendente quando ciė si renda necessario al fine di accertare eventuali inadempimenti agli obblighi previsti dagli artt. 2104 e 2105 c.c. ed alle specifiche obbligazioni inerenti il rapporto di lavoro" (cfr. nota di risposta, cit., p. 13);

      anche ammettendo che fosse stato necessario un consenso dell'interessato per la raccolta dei dati personali, detto consenso sarebbe stato espressamente manifestato, nel caso di specie, in sede di sottoscrizione del modulo di consegna del computer aziendale (cfr. nota cit., p. 17; cfr. altresď nota di controdeduzioni, cit., p. 10) e, comunque, al momento dell'assunzione presso la societą, momento in cui sarebbe stata resa all'istante anche la dovuta informativa (cfr. nota di risposta, cit., p. 18, e nota di controdeduzioni, cit., p. 8);

      in ogni caso, il reclamante sarebbe stato "perfettamente a conoscenza dello scopo, delle modalitą, dell'identitą del titolare del trattamento dei dati che sarebbero stati raccolti nel corso dell'investigazione", avendo fattivamente collaborato nell'attivitą di investigazione (cfr. nota di risposta, cit., p. 18);

      il controllo in questione sarebbe stato quindi lecito ed effettuato secondo correttezza; ciė, a maggior ragione, se si considera che lo stesso sarebbe stato espletato in adempimento di specifici obblighi previsti sia dalla legislazione americana –che impone alle aziende accertamenti di tal specie in relazione a presunti illeciti penali commessi dal top management (Sarbanes Oxley Act–Sox) (cfr. nota di risposta, cit., pp. 16 e 17)–, sia dalla legislazione italiana, che prevede sanzioni per le imprese che non vigilino sull'osservanza di modelli organizzativi volti a prevenire la commissione di specifici reati da parte degli stessi vertici aziendali (d.lg. n. 231/2001);

      il trattamento dei dati in questione, comunque, non sarebbe sproporzionato rispetto alle finalitą perseguite, considerato che la societą non avrebbe "fatto alcun uso, né [ha] diffuso, né [ha] utilizzato tali dati per recedere dai rapporti in essere con il reclamante" (cfr. nota di risposta, cit., p. 17; v. altresď la nota di controdeduzioni, cit., p. 2);

      ad ogni modo, nessun dato del reclamante sarebbe stato mai trattato da terzi, ad eccezione del Project Manager della societą esterna cui era stata affidata l'attivitą investigativa (cfr. nota di risposta, cit., p. 5);

      peraltro, nella sua veste di amministratore delegato e, quindi, di "titolare" del trattamento dei dati personali svolto presso la societą, sarebbe stato comunque onere dello stesso reclamante "verificare che le operazioni di trattamento di dati, effettuate nel corso dell'investigazione successiva alla denuncia anonima del 6 novembre 2005, si svolgessero nel pieno rispetto della normativa a tutela della privacy" (cfr. nota di controdeduzioni, cit., p. 4);

      o il controllo delle e-mail, infine, non sarebbe avvenuto in violazione dei princďpi dell'art. 4 dello Statuto dei lavoratori posto che il datore di lavoro, alla luce di un recente orientamento giurisprudenziale, sarebbe "titolare di un diritto soggettivo di esercitare un controllo sui dipendenti che non trova limite alcuno nel caso in cui tale controllo sia diretto ad accertare/prevenire condotte illecite del dipendente" (cfr. nota di risposta, cit., pp. 22 e 23).

2.3. In via "riconvenzionale", essendo pendente un ricorso presso il Tribunale di Milano (r.g. n. 8865/2006) per l'accertamento e la declaratoria della giusta causa di dimissioni dal rapporto di lavoro dirigenziale da parte del reclamante, Marsh S.p.A. ha contestato, in particolare, la produzione in tale giudizio di documenti contenenti dati personali di terzi (nonché della medesima societą), come pure di un documento aziendale, ritenuto riservato, relativo a una riunione del Comitato di direzione dell'azienda del 22 marzo 2006. Analoghe contestazioni sono state rivolte in relazione al presente procedimento, visti gli elementi documentali prodotti da controparte e menzionati al punto 1.3. (cfr. nota di risposta, cit., pp. 23 e 24).

2.4. In conclusione Marsh S.p.A. ha chiesto a questa Autoritą, in particolare:

      la sospensione del procedimento innanzi all'Autoritą, previa valutazione del rapporto di connessione e pregiudizialitą con il giudizio pendente innanzi al Tribunale di Milano;

      il rigetto nel merito del reclamo;

      in via riconvenzionale, il blocco del trattamento in relazione ai dati contenuti nei documenti di cui al punto 2.3.

3. Profili procedurali e titolaritą del trattamento
3.1. Il reclamo verte sul trattamento di dati personali contenuti nella corrispondenza elettronica estratta dal computer aziendale del gią amministratore delegato di Marsh S.p.A., trattamento che sarebbe avvenuto nell'ambito di un'attivitą investigativa condotta da una societą stabilita nella Repubblica federale tedesca, volta a verificare il corretto operato del reclamante a seguito di una denuncia anonima pervenuta al Ceo della capogruppo statunitense.

Senza entrare nel merito di questioni non attinenti ai profili di protezione dei dati, va rilevato preliminarmente quanto segue.

3.2. Non Ź fondata la richiesta di Marsh S.p.A. di sospendere il presente procedimento in ragione dell'asserita sussistenza di una connessione pregiudiziale con il procedimento giudiziario pendente presso il Tribunale di Milano (r.g. n. 8865/2006) tra la societą ed il reclamante per l'accertamento e la declaratoria della giusta causa di dimissioni dal rapporto di lavoro dirigenziale del reclamante medesimo.
Il principio di alternativitą tra azione giudiziaria e tutela amministrativa innanzi al Garante Ź contemplato nella sola ipotesi della presentazione di un ricorso avanti al Garante ai sensi dell'art. 145 del Codice (e non anche in relazione al diverso procedimento attivato a seguito di reclamo, per il quale il Codice non attribuisce al Garante alcun potere di valutazione in ordine all'asserito rapporto di connessione e pregiudizialitą con procedimenti giurisdizionali pendenti).

Inoltre, per quanto concerne il "reclamo in via riconvenzionale" presentato da Marsh S.p.A. –volto a contestare la legittimitą dell'utilizzo nel suddetto procedimento giudiziario di alcuni documenti contenenti informazioni riconducibili a terzi e alla medesima societą–, premesso che tale forma di tutela non Ź prevista dalla vigente disciplina di protezione dei dati, Ź da evidenziare, in proposito, che non compete a questa Autoritą stabilire la validitą, efficacia ed utilizzabilitą degli atti e dei documenti prodotti in un giudizio e basati su un trattamento di dati personali (eventualmente) non conforme a disposizione di legge o di regolamento: tale valutazione, infatti, Ź demandata dalla legge alla stessa autoritą giudiziaria presso la quale pende il giudizio (art. 160, comma 6, del Codice). Deve altresď rilevarsi che, in base all'art. 5, comma 3, del Codice, l'utilizzo di documentazione contestato al reclamante non integra un trattamento di dati personali cui trovi applicazione la disciplina di protezione dei dati personali.

3.3. Marsh S.p.A. sostiene che il reclamante, in qualitą di amministratore delegato della societą, sarebbe stato al contempo anche il titolare del trattamento dei dati personali (cfr. nota di risposta, cit., p. 2). Conseguentemente, sarebbe stato suo preciso compito "verificare che le operazioni di trattamento di dati, effettuate nel corso dell'investigazione successiva alla denuncia anonima del 6 novembre 2005, si svolgessero nel pieno rispetto della normativa a tutela della privacy" (cfr. nota di controdeduzioni, cit., p. 4).
In proposito, si rappresenta che l'art. 28 del Codice prevede espressamente che, in caso di trattamenti effettuati da persone giuridiche, "titolare del trattamento Ź l'entitą nel suo complesso" e non gią la singola persona fisica ancorché rappresentante legale dell'ente (nello stesso senso, le numerose pronunce del Garante in argomento: cfr. Parere 9 dicembre 1997, in Boll. n. 2/1997; v. anche in Boll. n. 5/1998, Parere5.1. In conformitą all'art. 11, comma 1, lett. a) del Codice, i dati personali oggetto di trattamento devono essere trattati secondo liceitą e correttezza.
In particolare, il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualitą che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (in tal senso v., di recente, Corte europea dei diritti dell'uomo, Copland v. U.K., 3 aprile 2007, punti 42 e 44 in particolare; v. gią Corte europea dei diritti dell'uomo, Halford v. U.K., 25 giugno 1997, punto 44). Applicato al caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalitą vengono effettuati controlli in ordine all'utilizzo degli strumenti aziendali in dotazione ai lavoratori (v. anche, a tal proposito, le Linee guida del Garante per posta elettronica ed internet del 1° marzo 2007, punto 3.1).
Dalla documentazione in atti non risulta che il reclamante sia stato reso edotto dalla societą della possibilitą di controlli sulla casella di posta elettronica da lui utilizzata, posto che i "Manuali sulla privacy" prodotti da Marsh S.p.A. (nelle sue molteplici versioni: cfr. all. nn. 2, 3 e 4 alla nota di risposta, cit.), non effettuano richiami a tale eventualitą, limitandosi ad affermare che "l'utilizzo dell'e-mail Ź strettamente riservato agli scopi di business" (in senso analogo, v. Provv. 18 maggio 2006).

5.2. Ulteriore profilo di violazione dei princďpi sopra richiamati Ź ravvisabile, inoltre, con riferimento alle modalitą del trattamento.

Secondo quanto asserito dal reclamante (v. reclamo, cit., pp. 7, 8 e 12; v. altresď la nota di osservazioni, cit., p. 23), Marsh S.p.A. avrebbe raccolto dati personali a lui riferiti "in modo preordinatamente occulto". Tali affermazioni sono comprovate dalla documentazione in atti, dalla quale si evince che la societą ha trattato effettivamente informazioni personali del reclamante con modalitą intenzionalmente non dichiarate (v. all. n. 8 al reclamo, cit., p. 2, nel quale il XY afferma di essere stato messo al corrente in via confidenziale da un collaboratore del fatto che "la societą di investigazioni Kroll […] era entrata in possesso di una copia di tutti i […] messaggi di posta elettronica a partire dal 1999"; cfr. altresď all. n. 14 al reclamo, cit., nel quale l'allora presidente di Marsh, in una lettera indirizzata al vice-presidente dell'epoca, riconosce che "i dipendenti del CED hanno ricevuto tassativa disposizione di non comunicare l'avvenuta consegna di tutta la corrispondenza personale del Top Management").
Da ultimo, con riferimento all'osservanza delle normative di settore (presupposto anch'esso rilevante per la liceitą e correttezza del trattamento), occorre rilevare che non risulta acquisita agli atti documentazione comprovante l'avvenuto espletamento, da parte di Marsh S.p.A., delle procedure previste dall'art. 4 dello statuto dei lavoratori per il controllo a distanza dell'attivitą lavorativa, ipotesi che nel caso di specie deve ritenersi sussistente ben potendosi, a distanza di tempo, mediante l'elaborazione da parte del team investigativo della Kroll delle informazioni desumibili dall'invio della corrispondenza (anzitutto esaminandone la cronologia), effettuarsi un controllo dell'attivitą lavorativa effettuata dal reclamante.
Informativa
5.3. Secondo le asserzioni del reclamante (v. reclamo, cit., p. 9), Marsh S.p.A. avrebbe raccolto dati personali a lui riferiti in assenza della prescritta informativa (art. 13 del Codice).
Per confutare la tesi avversaria la societą ha depositato in atti (v. all. n. 13 alla nota di risposta, cit.) la dichiarazione di consenso manifestato dall'interessato in ordine al trattamento dei dati personali, consenso che sarebbe stato prestato a seguito dell'apposita informativa resa dalla societą al reclamante per finalitą di gestione del rapporto di lavoro in generale (v. nota di risposta, cit., pp. 17 e 18; v. altresď nota di controdeduzioni, cit., pp. 8 e 9).
Giova rilevare, al riguardo, che il Codice in materia di protezione dei dati personali considera valido il consenso solo se questo Ź manifestato in relazione a un trattamento "chiaramente" individuato (art. 23, comma 3). Dalle risultanze istruttorie non risultano invece, elementi atti a comprovare la puntuale conoscenza, da parte dell'interessato, delle finalitą e modalitą della raccolta della corrispondenza a lui riferita (al contrario, risulta, come detto, che la corrispondenza Ź stata acquisita all'insaputa del reclamante: cfr. all. n. 14 al reclamo, cit.); né, Ź stata fornita in proposito dalla societą adeguata e pertinente documentazione: tale non Ź il documento controfirmato dal reclamante in sede di consegna del computer per finalitą di copia dell'hard disk, trattandosi appunto di documento attestante, per finalitą di trasparenza, la sola "chain of custody" (catena di custodia), cioŹ il passaggio di consegne dello strumento, senza nessuna indicazione circa le eventuali operazioni di trattamento che si sarebbero potute effettuare sulle informazioni contenute nell'hard disk stesso, diverse dalla mera conservazione per un eventuale successivo uso giudiziario.
Ne consegue che, allo stato, il consenso prestato dal reclamante per finalitą di gestione del rapporto di lavoro non puė essere ritenuto riferibile anche al trattamento in esame; né, peraltro, risulta provato che l'interessato sia stato effettivamente informato in ordine all'acquisizione delle e-mail a lui relative.
A tale ultimo proposito, va rilevato che questa Autoritą si Ź espressa piĚ volte sulla necessitą di informare "chiaramente" gli interessati in ordine alla possibilitą (nonché alle finalitą e modalitą) di controlli preordinati alla verifica del corretto utilizzo degli strumenti aziendali (cfr. Provv. del 2 febbraio 2006; Provv. 18 maggio 2006, cit.; da ultimo, v. le citate Linee guida su internet e posta elettronica); sď che, anche nel caso di specie, l'omessa informativa da parte della societą non puė che riverberare i propri effetti in termini di liceitą del trattamento.
Comunicazione a terzi

5.4. Le risultanze istruttorie hanno confermato, anche per la stessa ammissione di Marsh S.p.A. (secondo cui "nessuna persona al di fuori del Project Manager di Kroll […] ha avuto accesso ai dati raccolti" v. nota di risposta, cit., p. 5), che la societą avrebbe comunicato a terzi (nel dettaglio, appunto, il Project Manager di Kroll) dati personali riferiti al reclamante.
Non risulta rispondente a quanto accaduto, quindi, il fatto che la societą non avrebbe utilizzato in alcun modo dati personali del reclamante successivamente alla loro raccolta (cfr. dichiarazioni rese da Marsh S.p.A. nella nota di risposta, cit., pp. 3 e 17 e nella nota di controdeduzioni, cit., p. 2).
La predetta comunicazione, in assenza di elementi comprovanti il contrario, non risulta essere stata effettuata in presenza della prescritta informativa all'interessato: essa non Ź certamente desumibile dall'all. n. 22 alla nota di osservazioni, cit., atteso che l'informativa resa per finalitą di gestione del rapporto di lavoro in generale –peraltro inconferente, come visto, rispetto al profilo dei controlli sugli strumenti aziendali e della connessa acquisizione delle e-mail da parte di Marsh S.p.A.– non fa alcun riferimento alla comunicazione a soggetti diversi da quelli specificamente individuati nella medesima.
Né, risulta essere stata prodotta da Marsh S.p.A., ancorché espressamente richiesta e sollecitata da questa Autoritą (v. note DREP/SK/VP/49758-4 del 30 novembre 2007, n. prot. 20023 e DREP/SK/VP/49758-6 del 22 febbraio 2008, n. prot. 4817), alcuna documentazione attestante l'incarico conferito a Kroll, onde valutarne l'eventuale designazione a responsabile del trattamento. Non Ź stata altresď provata l'esistenza di un diverso presupposto di liceitą del trattamento, ai sensi degli art. 23 e 24 del Codice, per la comunicazione dei dati personali del reclamante a Kroll. Ne deriva che, allo stato degli atti, la predetta comunicazione non risulta essere avvenuta in conformitą alle relative disposizioni del Codice.

TUTTO CIÓ CONSIDERATO IL GARANTE

dispone nei confronti di Marsh S.p.A., ai sensi dell'art. 154, comma 1, lett. d), del Codice, il divieto, per le ragioni di cui in motivazione, dell'ulteriore trattamento dei dati personali riferiti all'interessato contenuti nella corrispondenza estratta dall'account della casella di posta elettronica all'epoca in dotazione al reclamante, salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all'art. 160, comma 6 del Codice.

Roma, 2 aprile 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli