Il Garante privacy alPoligrafico: più tutele per i lavoratori (*)

PROVVEDIMENTO DEL 21LUGLIO 2011

Registro dei provvedimenti
n.  308 del21 luglio 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali);

VISTA l'Autorizzazione del Garante n. 1/2009 al trattamento dei dati sensibilinei rapporti di lavoro del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18gennaio 2010 - suppl. ord. n. 12;

VISTE le "Linee guida per posta elettronica e internet"adottate dal Garante con deliberazione n. 13 del 1 marzo 2007, pubblicatesulla G.U. n. 58 del 10 marzo 2007;

VISTE le "Misure e accorgimenti prescritti ai titolari deitrattamenti effettuati con strumenti elettronici relativamente alleattribuzioni delle funzioni di amministratore di sistema" adottate dalGarante con provvedimento del 27 novembre 2008 (pubblicate sulla G.U. n. 300del 24 dicembre 2008), come modificato dal provvedimento del 25 giugno 2009);

ESAMINATE le risultanze istruttorie degli accertamenti in locoeffettuati in data 12 e 13 maggio 2011 presso la sede dell'Istituto Poligraficoe Zecca dello Stato s.p.a. in Roma;

VISTE le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

PREMESSO

1. Accertamenti relativi all'utilizzo deiservizi di comunicazione elettronica
In data 12 e 13 maggio2011 sono stati effettuati presso la sede dell'Istituto Poligrafico e Zeccadello Stato s.p.a. (interloquendo con i responsabili dell'area "ICT ebusiness solutions", "Risorse umane", con il "responsabileprivacy" e con il responsabile "Information security e assicurazionequalità" nonché con alcuni amministratori di sistema) accertamentifinalizzati alla verifica dell'osservanza dei principi e delle disposizioni inmateria di protezione dei dati personali relativi all'utilizzo dei sistemi dicomunicazione elettronica, in particolare:

i. internet (punto 2),

ii. posta elettronica aziendale (punto 3),

iii. sistemi di telefonia su protocollo IP (sistemi di telefoniaVoIP) (punto 4) da parte dei dipendenti della società, nonché

iv. le correlate modalità di attuazione delle misure prescritteai titolari dei trattamenti effettuati con strumenti elettronici relativamentealle attribuzioni delle funzioni di amministratore di sistema in relazione aimenzionati sistemi di comunicazione elettronica (punto 5).

2. La navigazione in internet

2.1. L'uso di Internet da parte degli utenti (per lo più dipendentidella società) – disciplinato dalla società nell'ambito di più ampieistruzioni impartite ai propri dipendenti per il tramite di un opuscolo (inlarga misura incentrato sulle diverse misure di sicurezza da adottare)denominato "Istruzioni agli Incaricati al trattamento di datipersonali", consegnato agli stessi e reso disponibile sulla reteintranet dell'Istituto, nelle quali si prevede che "l'attività in internetdei singoli utenti viene registrata in appositi log mantenuti daiSistemi Informativi" (cfr. all. 5 al verbale delle attività del12.5.2011, p. 16) – è regolato da appositi filtri di navigazione. Questiultimi sono implementati mediante uno specifico software, denominato XY, cheopera congiuntamente a un sistema proxy/web gateway, "per finalità ditutela aziendale e per poter eventualmente riferire all'Autorità Giudiziariacomportamenti anomali registrati dai sistemi" (cfr. verb.12.5.2011, p. 7). In tal modo la società intende prevenire il libero accesso aisiti presenti in rete da parte della generalità dei lavoratori, confinandolo aisoli siti web ritenuti conferenti con lo svolgimento delle attività lavorative(salva diversa valutazione da effettuarsi caso per caso).

Il sistema di filtraggio della navigazione web come configuratopresso la società non si limita però a rifiutare la connessione a (categoriedi) siti reputati ex ante inconferenti con lo svolgimento delle attivitàlavorative, ma memorizza "l'accesso e i tentativi di accesso di ognisingolo dipendente ai domini selezionati e registra i log che contengono leseguenti informazioni: la macchina utilizzata per l'accesso ad Internet, data eora dell'accesso (c.d. timestamp), indirizzo (url) di destinazione e utenterichiedente" (cfr. verb. 12.5.2011). Dalle verifiche effettuatesui diversi componenti del menzionato sistema di filtraggio proxy/webgateway è risultato che lo stesso consente di:

a. generare, su base giornaliera, report individuali relativi aisiti web visitati da ciascun lavoratore, indicandolo nominativamente (cfr.verb. 12.5.2011, all. 8, p. 3). Gli esempi visualizzati nel corso delleoperazioni di verifica "hanno confermato la presenza nei suddetti filedi log delle URL complete relative ai siti visitati dai dipendenti attraversoil server proxy aziendale, comprensive di data e ora della visita edell'indirizzo IP della postazione utilizzata dal dipendente" (cfr.verb. 12.5.2011);

b. eseguire interrogazioni dei log relativi alla navigazione inInternet effettuata da ciascuno degli utenti;

c. fornire, inoltre, statistiche della navigazione di tipoaggregato (ad esempio, per categoria di siti web permessi/bloccati, perindirizzo del sito web ovvero per postazione utilizzata).

Ancorché la società disponga dei dati relativi alla navigazioneInternet riconducibili ad ogni singolo utente – la cui conservazioneriguarda circa 1200 persone ed oscilla tra "un periodo minimo di seimesi e massimo di un anno", essendo vincolata "alladisponibilità di spazio per l'archiviazione" predefinito dalla societànella misura di circa 1500 MB (cfr. verb. 12.5.2011, p. 7) –, gli stessinon sono stati mai richiesti dall'autorità giudiziaria, né la società haeffettuato segnalazioni sulla base di tali dati o se ne è altrimenti avvalsaper finalità disciplinari (cfr. verb. 12.5.2011, p. 4).
Pergiustificare la prolungata conservazione dei dati relativi agli accessi, nonchédi quelli semplicemente oggetto di tentativo, sono state rese dichiarazionicontraddittorie da parte di diversi rappresentanti della società: a frontedell'affermazione secondo cui "i dati della navigazioni Internetcontenuti nei log [del proxy] vengono conservati dalla società per individuareaccessi a siti reputati pericolosi o inconferenti non ancora censiti da XY e,in pari tempo, per verificare il buon funzionamento del sistema di filtraggiodi quest'ultimo" (cfr. verb. 13.5.2011), non solo la societànon è stata in grado di dimostrare quali fossero "i siti web [dabloccare] inseriti ex novo a seguito dei controlli sui log [del proxy] e quindinon già presenti nell'ambito dei filtri preimpostati dal prodotto", maè stato altresì dichiarato che non sono mai avvenute "attività diverifica sui dati presenti nei log [del proxy] al fine di affinare, attraversoopportune personalizzazioni, i filtri [utilizzati]" (cfr. verb.13.5.2011).

Nell'ambito dell'attività ispettiva svolta, è altresì emerso che XY "categorizzale pagine filtrate ricorrendo ad una molteplicità di classi di siti visitati,tra i quali, si trovano indicizzati quelli raggruppati nella dizioneentertainment, vehicles, marketing, sex, sport, ecc." e che taleindicizzazione determina altresì la categorizzazione, su base individuale,della navigazione effettuata da ciascun utente secondo le categorie predefinitedal sistema medesimo, quali, ad esempio, quelle denominate adult material,advocacy groups, business and economy, entertainment, abortion,drugs, militancy and extremist (cfr. all. 1, verb.13.5.2011).

Peraltro, dalla documentazione acquisita in atti, e segnatamente daldocumento dedicato all'"Utilizzo delle risorse informatiche e direte" – redatto dalla funzione interna deputata al "Sistemadi gestione per la qualità" e approvato dal direttore ICT (all. 12, 2al verb. 12.5.2011), nonché richiamato nel documento programmatico sullasicurezza - DPS (all. 6 al verb. 12.5.2011, punto 6.5, p. 122) –, risultache, con l'intento di "provvedere ad un'efficiente attività dimonitoraggio e controllo", "si rende necessario attivare unaserie di norme, restrizioni e controlli per garantire la sicurezza dei sistemie definire le responsabilità degli utilizzatori delle risorse" (cfr.all. 6, p. 4). In questa prospettiva, tra le varie misure previste, si precisache "gli amministratori di sistema sono obbligati [é] a garantire lamassima riservatezza nella trattazione dei dati personali anche desunti dalsoftware di analisi di traffico, a mantenere riservate le informazioni relativeal collegamento degli utenti fatti salvi i casi di interessamento dellaMagistratura a fronte di ipotesi di reato" (all. 6, p. 7).

Nel menzionato DPS è poi specificato che "i log dellanavigazione internet dei singoli dipendenti sono mantenuti ed archiviati susupporti magnetici custoditi in cassaforte. La loro archiviazione è dovuta alfatto che tutti i log prodotti dai sistemi debbono essere mantenuti, ma nessunoha accesso a queste informazioni. Gli unici abilitati alla consultazione sono isistemisti che amministrano l'applicativo, ma vista la loro natura e secondo ledirettive del Garante nessuno utilizza queste informazioni per finalità legateal controllo della persona od altro" (cfr. DPS, p. 122). Nelcorso degli accertamenti è invece risultato che tutti i dati relativi allenavigazioni individuali sono oggetto di conservazione su XY.

é stato infine accertato che rispetto alle operazioni di raccolta,memorizzazione e conservazione dei dati relativi alla navigazione webdei dipendenti non è stato stipulato "nessun accordo con leorganizzazioni sindacali [é], né esiste un'autorizzazione della Direzioneprovinciale del lavoro" (cfr. verb. 12.5.2011, p. 4). Talecircostanza è stata confermata anche dal responsabile delle risorse umane dellasocietà, il quale ha ulteriormente precisato (cfr. verb. 13.5.2011, p.5) che:

i. la scelta dei sistemi e della funzionalità degli stessi inrelazione alle potenzialità di "filtraggio" nell'utilizzo dei serviziInternet non viene effettuata dalla Direzione risorse umane, e che taledirezione non ha concordato le modalità d'uso del sistema esistente presso ladirezione ICT;

ii. rilevate le potenzialità di controllo dei dipendenti propriedel sistema di filtraggio in uso, in un prossimo futuro la società intenderebbeinterloquire al riguardo con le rappresentanze sindacali aziendali.

2.2. In base ad una complessiva valutazione degli elementi sopraindicati, deve ritenersi che il trattamento di dati personali riferito aciascun utente ed effettuato dalla società mediante la sopra descrittaconfigurazione del sistema di filtraggio – con funzionalità tali daconsentire la memorizzazione sistematica (per un arco temporale assai ampio)dei domini web richiesti dagli utenti, la cui visualizzazione sia stataconsentita o meno dal sistema – presenti più profili di violazione dilegge, e in particolare della disciplina di protezione dei dati personali (edinoltre si discosti dalle indicazioni fornite dal Garante nelle menzionateLinee guida; v. altresì il Provv. 2 aprile 2009).

In primo luogo, risulta che il descritto trattamento sia effettuato inviolazione dell'art. 4, comma 1, l. 20 maggio 1970, n. 300 che vieta l'impiegodi apparecchiature per finalità di controllo a distanza dell'attività deilavoratori. Ciò, come si è visto al punto 2.1, in ragione:

a. della configurazione del sistema di filtraggio, tale daconsentire un controllo a distanza della navigazione web individualmenteeffettuata dagli utenti;

b. della specifica funzionalità di XY atta a categorizzare, nellemodalità in uso presso la società, su base individuale e con una significativaprofondità temporale nella memorizzazione dei dati, la navigazione webeffettuata (o, come detto, solo tentata) dai singoli utenti;

c. delle modalità operative e delle direttive impartite agliincaricati del trattamento (in particolare, agli amministratori di sistema)circa la "policy" della società in relazione al trattamentodei dati relativi alla navigazione web degli utenti (cfr. quantoriferito al punto 2.1. in relazione alla riconosciuta possibilità di"consultazione dei dati relativi ai log di navigazione" per i"sistemisti", nonché degli obblighi di confidenzialità per gliamministratori in ordine alla "trattazione dei dati personali anchedesunti dal software di analisi di traffico").

Inoltre, anche a volere, in ipotesi, far confluire la fattispecie inesame in quella astrattamente prevista dal secondo comma del menzionato art. 4,l. n. 300/1970 – in relazione a funzionalità che, ricorrendo "esigenzeorganizzative e produttive", legittimamente potrebbero essereperseguite mediante il sistema di filtraggio opportunamente installato econfigurato – egualmente l'installazione del sistema di filtraggio (e ilconseguente trattamento di dati) sarebbe vietata, in quanto la società non haprovveduto a dare attuazione agli adempimenti previsti dalla disposizionerichiamata (nel senso della violazione dell'art. 4, l. n. 300/1970 per iltramite di software che consentono il monitoraggio della posta elettronica edegli accessi a internet cfr. anche Cass., Sez. lav., 23 febbraio 2010,n. 4375).

A ciò deve altresì aggiungersi che la categorizzazione di ciascunutente realizzata tramite la configurazione di XY in essere presso la societàconsente, oltre alla menzionata possibilità di un controllo a distanzadell'attività effettuata, anche una vera e propria "profilazione"degli utenti, in grado di rivelare, con immediatezza, dati sensibili ad essiriferiti, ivi comprese informazioni il cui trattamento è precluso dall'art. 8l. n. 300/1970, disposizione che vieta al datore di lavoro, anche nel corsodello svolgimento del rapporto di lavoro, di effettuare indagini, sulleopinioni politiche, religiose o sindacali del lavoratore, nonché su fatti nonrilevanti ai fini della valutazione dell'attitudine professionale dello stesso.

Nella prospettiva appena raffigurata, il trattamento dei datipersonali relativi ai log delle navigazioni web degli utenti risultaquindi effettuato in violazione del principio di liceità di cui all'art. 11,comma 1, lett. a) e degli artt. 113 e 114 del Codice che richiamanoespressamente le anzidette disposizioni della legge n. 300/1970.

Con riferimento ai principi di protezione dei dati personali di cuiall'art. 11 del Codice, il trattamento dei dati in questione non risulta poiessere lecitamente effettuato anche sotto ulteriori profili, e segnatamente:

a. con riguardo alla qualità dei dati trattati (art. 11, comma 1,lett. c), del Codice), giacché il sistema memorizza non solo gli accessi e itentativi di accesso ai domini web effettivamente richiesti dall'utente,"ma anche [i] frame comunque presenti sulle pagine visualizzate",vale a dire qualsiasi dominio web comunque richiamato, indipendentementedalla volontà dell'utente, all'interno della pagina web visitata (qualibox, banner e pop up) (cfr. verb. 13.5.2011): i datimemorizzati in XY possono quindi ben essere inesatti, in quanto relativi a sitiweb non espressamente visitati su richiesta dell'utente;

b. con riguardo alla pertinenza e non eccedenza dei dati trattati(art. 11, comma 1, lett. d), del Codice), tenuto conto:

i. del monitoraggio prolungato e costante effettuato sui singoliutenti dalla società, parametrato, come si è visto, sulla mera capienza delsupporto di memorizzazione (in merito cfr. anche le citate Lineeguida, punto 6);

ii. della memorizzazione di tutte le pagine web visitate efinanche dei tentativi di accesso a pagine web inibiti a priori dalsistema di filtraggio (che ne impedisce quindi la visualizzazione aldipendente).

In relazione ad entrambi tali profili, come detto al punto 2.1, glielementi forniti dalla società sono risultati contraddittori e comunque nessunaattività di quelle dichiarate (a fondamento della rilevata conservazione)risulta essere stata effettuata. Peraltro, anche ove si intendesse, come dichiarato,verificare la funzionalità del prodotto XY, ben potrebbero essere a tal fineutilizzati i dati delle navigazioni effettuate previa loro anonimizzazione.Anche in questa prospettiva risulta, quindi, che il trattamento effettuato siponga in violazione della disciplina di protezione dei dati personali (art. 11,comma 1, lett. d) del Codice).

Infine, a fondare ulteriormente l'illiceità del trattamento cosìeffettuato, deve rilevarsi che la descritta attività di profilazione degliutenti:

a. non ha formato oggetto di informativa agli interessati (aisensi dell'art. 13 del Codice);

b. non è consentita nell'Autorizzazione del Garante n. 1/2009 altrattamento dei dati sensibili nei rapporti di lavoro del 16 dicembre 2009, nérispetto ad essa è stato raccolto il consenso scritto dei lavoratoriinteressati (art. 26 del Codice);

c. non ha formato oggetto di notificazione al Garante (art. 37,comma 1, lett. d), del Codice).

2.3. Tanto premesso, limitatamente al monitoraggio degli accessi aInternet, il Garante:

a. ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d), del Codice, con effetto immediato dalla data di ricezione delpresente provvedimento, vieta l'ulteriore trattamento, nella forma dellaconservazione e della categorizzazione su base individuale, dei dati personaliriferiti alla navigazione internet dei dipendenti, con conservazione di quellifinora trattati in vista di un'eventuale acquisizione degli stessi da partedell'autorità giudiziaria, cui atti e copia del presente provvedimento verrannotrasmessi per le valutazioni di competenza (cfr. punto 7), nonché per esigenzedi tutela dei diritti in sede giudiziaria;

b. si riserva di valutare con autonomo procedimento lasussistenza delle violazioni di cui agli artt. 161, 162, comma 2-bis e 163 delCodice.

3. Il servizio di posta elettronica

3.1. Le modalità di utilizzo dei sistemi di posta elettronica nonhanno formato oggetto di apposito disciplinare da parte della società –che tuttavia nelle menzionate Istruzioni agli incaricati ha previsto che nondebba essere utilizzata "la casella postale assegnata per fini privatie personali" (p. 15) –, né specifica informativa ai sensidell'art. 13 del Codice è stata fornita all'utenza in ordine al funzionamentodel servizio e alle modalità di archiviazione ed eventuale accesso da parte diincaricati o responsabili del trattamento ai messaggi di posta elettronica.

Dalle dichiarazioni rese, "l'uso della posta aziendale non èsottoposto ad alcun controllo. I sistemi informativi conservano, attraverso JH,solo traccia dei dati necessari (header) per l'esecuzione del servizio. Lasocietà non accede in ogni caso al contenuto delle e-mail inviate e ricevutedai dipendenti" e "i dipendenti possono utilizzare tutte lecaselle di posta elettronica privata, purché sia consentito l'accesso allestesse via web" (cfr. verb. 12.5.2011, p. 4). Inoltre, all'internodella società risultano avere accesso ai sistemi per l'erogazione e la gestionedei servizi di posta elettronica solo "una parte degli amministratori disistema risultanti dall'elenco allegato al dps", pari a 7 unità (cfr. All.C al DPS in atti).

Nel corso delle verifiche volte ad accertare l'eventuale archiviazionedei messaggi di posta elettronica presso il server della società (e le modalitàattraverso cui ciò avviene) – circostanza che uno degli amministratoridel servizio di posta elettronica, peraltro quello incaricato di assicurarel'ordinaria funzionalità del servizio, ha dichiarato di non conoscere (verb.13.5.2011, p. 3) –, è emerso che:

a. i messaggi di posta elettronica riferiti agli utenti che siavvalgono di programmi configurati per mantenere la posta permanentementearchiviata sul server sono memorizzati "in chiaro" in unaspecifica cartella del menzionato server e, conseguentemente,

b. tutti gli amministratori abilitati ad un accesso sistemisticoal suddetto server sono potenzialmente in grado di visualizzare imessaggi di posta, come accertato con riferimento alla casella del"responsabile privacy" della società, utilizzata a scopo dimostrativoe con il consenso dell'interessata (cfr. verb. 13.5.2011, p. 4 e all. 12al medesimo verbale ).

Rilevata la presenza della cartella contenente i messaggi di postaelettronica, un altro amministratore di sistema partecipante alle verifiche haprecisato che "la memorizzazione e l'archiviazione dei messaggi diposta elettronica sul server non è regolata da alcuna policy specifica dellasocietà, al di là di quelle predisposte per lo spazio massimo occupato dallecaselle, e pertanto ogni utente può liberamente scegliere di mantenere lapropria posta elettronica nel disco del server [é] o in alternativa dicancellarla dal server memorizzandola sul disco fisso locale del computer usatoper accedere alla posta [é]" (cfr. verb. 13.5.2011, p. 4).

3.2. Nel corso degli accertamenti è stato altresì verificato che lamenzionata cartella destinata all'archiviazione di tutta la posta elettronicadegli utenti è accessibile soltanto agli amministratori di sistema mediantel'uso della specifica utenza di amministratore (c.d. "root") eche il file di log dal quale possono desumersi gli ultimi comandieseguiti dall'utente "root" sul server di posta (c.d. filedi history del sistema operativo), ivi inclusi quelli relativi a eventualiaccessi alla cartella contenente i messaggi di posta, è stato azzerato einizializzato nel mese di aprile 2011 in occasione di un aggiornamentosoftware. Dagli accertamenti eseguiti, limitati quindi ad un intervallotemporale di circa un mese, non sono emersi profili di rilevanza per l'attivitàdi controllo.

3.3. Alla luce degli accertamenti effettuati, deve ritenersi che lasocietà non abbia fornito agli utenti un'informativa conforme alla previsionecontenuta nell'art. 13 del Codice con riguardo all'utilizzo del servizio diposta elettronica atteso che la stessa si è limitata a rendere noto aidipendenti il divieto di "utilizzare la casella postale per finiprivati e personali" (cfr. all. 5, verb. 12.5.2011, Istruzioniagli incaricati, p. 15), senza esplicitare però né le modalità del trattamento(art. 13, comma 1, lett. a) del Codice), non essendo stato chiarito agli stessiche la società, qualora l'utente si avvalga di programmi configurati permantenere la posta permanentemente archiviata sul server, conserva tuttii messaggi di posta elettronica scambiati, né quali siano i soggetti che, inqualità di incaricati o responsabili, a tali messaggi possono (come dimostrato)accedere (art. 13, comma 1, lett. d) del Codice). Tanto, anche alla luce dellaprescrizione impartita dal Garante nel menzionato provvedimento del 27 novembre2008 (al n. 2, lett. c), del dispositivo) secondo cui "qualoral'attività degli amministratori di sistema riguardi anche indirettamenteservizi o sistemi che trattano o che permettono il trattamento di informazionidi carattere personale di lavoratori, i titolari pubblici e privati nellaqualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identitàdegli amministratori di sistema nell'ambito delle proprie organizzazioni,secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversiservizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativaresa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapportodi lavoro che li lega al titolare, oppure tramite il disciplinare tecnico lacui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 [é];in alternativa si possono anche utilizzare strumenti di comunicazione interna(a es., intranet aziendale, ordini di servizio a circolazione interna obollettini)".

Alla luce delle precedenti considerazioni, ai sensi degli artt. 143,comma 1, lett. b), e 154, comma 1, lett. c), del Codice, si prescrive allasocietà di fornire una compiuta informativa ai sensi dell'art. 13 del Codicecon riguardo al trattamento effettuato per rendere il servizio di postaelettronica.

4. Sistema di telefonia VoIP

4.1. Con riguardo all'utilizzo di sistemi di comunicazioneelettronica, la società ha altresì rappresentato che è in corso direalizzazione un piano di migrazione della rete telefonica dalla tecnologiatradizionale (a circuito) a quella su protocollo IP (VoIP): allo stato, circa300 utenze (su 1800) – parte delle quali configurate anche a beneficio dialtri enti e società (allo stato Editalia, Bimospa e Ministero dell'economia edelle finanze) – si avvalgono di questa tecnologia.

Un solo utente della società è abilitato ad operare, con privilegi diamministratore, sui sistemi di telefonia VoIP comprensivi di (cfr. verb.13.5.2011, p. 6):

a. una piattaforma di gestione delle utenze telefoniche (MX-ONEManager) usata per la configurazione di nuove utenze, con l'attribuzione deiservizi di telefonia decisi dalla società per ciascuna tipologia di utente;

b. un secondo sistema grazie al quale la "societàeffettua il trattamento dei dati di traffico generati dalle centralitelefoniche" nel quale gli stessi sono conservati (denominatosrv-docaddebiti) ed ai quali è possibile accedere "attraversoun'applicazione web denominata XZ", sistema di analisi e controllo deltraffico telefonico tramite il quale sono visualizzati i dettagli dellechiamate in uscita che il sistema, in fase di implementazione, provvede amemorizzare per un intervallo temporale non ancora stabilito. Con l'eccezionedi una perdita di informazioni nella fase iniziale di implementazione delsistema, tutti i dati relativi alle chiamate effettuate sono quindi conservatia far data dalla sua installazione (avvenuta nel dicembre 2010). Consideratoche la società fornisce un servizio di telefonia VoIP anche a soggetti terzi,in relazione ad essi si è ravvisata la "necessità di conservare talidati per finalità di fatturazione sulla base della periodicità di fatturazionestabilita" (su base trimestrale e, in un caso, annuale: cfr.verb. 13.5.2011, p. 6).

Dagli accertamenti effettuati è inoltre emerso che la società:

a. non ha stabilito regole o policy interne relative all'utilizzodel sistema di telefonia VoIP, con particolare riferimento all'autorizzazioneall'uso anche per finalità personali dello stesso né, nell'ipotesi affermativa,che gli eventuali costi delle comunicazioni vengano imputati in capo aidipendenti;

b. non ha fornito all'utenza apposita informativa circa lecategorie di soggetti ai quali gli stessi possono eventualmente esserecomunicati o che, in qualità di responsabili o incaricati del trattamento,possono comunque venirne a conoscenza (art. 13, comma 1, lett. d), del Codice);

c. non ha provveduto a dare attuazione agli adempimenti previstidall'art. 4, comma 2, l. n. 300/1970 in relazione al menzionato sistema"XZ" di analisi e controllo del traffico telefonico dei dipendentirealizzato su base individuale;

d. può in astratto avvalersi, in relazione al sistema ditelefonia VoIP installato, di una funzione di "alert" –che si è dichiarato non essere stata utilizzata – in grado "diconfigurare l'invio automatico di un messaggio di posta elettronica ad unindirizzo e-mail a scelta ogni qual volta un numero interno effettua unachiamata verso determinati numeri esterni configurabilidall'amministratore" (cfr. verbale 13.5.2011, p. 7).

4.2. Anche il trattamento di dati personali connesso al servizio ditelefonia VoIP presenta profili di illiceità.

Anzitutto, considerata la potenzialità del controllo a distanzasull'attività dei dipendenti realizzata attraverso il menzionato sistema dianalisi del traffico telefonico (le cui funzionalità di controllo si sono sopradescritte) tramite il quale sono acquisite le numerazioni delle utenze chiamatee la durata delle comunicazioni senza che siano stati posti in essere gliadempimenti previsti dall'art. 4, comma 2, l. n. 300/1970, il trattamentorisulta essere effettuato in violazione degli artt. 114 e 11, comma 1, lett. a)del Codice.

Per ulteriori ragioni, poi, il trattamento presenta profili diilliceità: da un lato, non essendo stata fornita idonea informativa agli utenticirca i soggetti che, anche in qualità di incaricati o responsabili deltrattamento, possono venire a conoscenza dei dati trattati (art. 13, comma 1,lett. d), del Codice); tanto anche alla luce della menzionata prescrizioneimpartita dal Garante nel provvedimento del 27 novembre 2008 (al n. 2, lett.c), del dispositivo).

D'altro canto, rispetto ai dati riferiti ai dipendenti, allo stato nonrisulta giustificata, alla luce del principio di pertinenza e non eccedenza(art. 11, comma 1, lett. d), del Codice) la conservazione dei dati relativialle telefonate effettuate mediante il sistema VoIP, atteso che nessuncorrispettivo viene agli stessi richiesto nell'eventualità in cui il serviziosia fruito per finalità personali, né sono state indicate dalla società ragioniulteriori per la conservazione di tali informazioni (come invece accadutorispetto a soggetti terzi cui sono forniti i servizi di telefonia VoIP).Rispetto a tali dati (parte dei quali, peraltro, è andata perduta nella fase diprima implementazione del servizio) deve pertanto disporsi il divietodell'ulteriore trattamento, fino all'eventuale espletamento delle procedureall'uopo previste dall'art. 4, comma 2, l. n. 300/1970 e previa idoneainformativa degli utenti ai sensi dell'art. 13 del Codice, con conservazione diquelli finora trattati in vista di un'eventuale acquisizione degli stessi daparte dell'autorità giudiziaria, cui atti e copia del presente provvedimentoverranno trasmessi per le valutazioni di competenza (cfr. punto 7),nonché per esigenze di tutela dei diritti in sede giudiziaria.

Resta salvo il loro eventuale trattamento ricorrendo ad opportunetecniche di anonimizzazione – con modalità da comunicare a questa Autorità– per eventuali esigenze di analisi statistica delle direttrici dichiamata (ad es. verso particolari archi di numerazione o verso determinatioperatori), finalità per la quale non è necessario disporre di dati (direttamenteo indirettamente) nominativi, specie se per tempi prolungati e, come nel casodi specie, non ancora definiti.

In relazione ai tempi di conservazione dei dati riferiti ad utenzealtre rispetto ai soli dipendenti della società, risulta giustificata unalimitata conservazione dei dati a fini di fatturazione. Considerata la fase diprima introduzione del servizio e anche al fine di omogeneizzare i tempi diconservazione per finalità di fatturazione, si invita tuttavia codesta societàa valutare attentamente i tempi di conservazione e si prescrive, quale misuraopportuna, che tali tempi di conservazione siano contenuti entro il limite deisei mesi, salva l'ulteriore conservazione dei dati ove gli stessi forminooggetto di contestazione e la società sia chiamata a tutelare le propriepretese (cfr. in tal senso, per la fattispecie della conservazione deidati di traffico da parte del fornitore dei servizi di comunicazioneelettronica, l'art. 123, comma 2, del Codice).

Con riguardo infine, alla funzionalità di "alert"sopra descritta al punto c) – che allo stato, in base alle dichiarazionirese, non ha formato oggetto di utilizzo da parte della società –,risolvendosi la stessa nella possibilità di un controllo a distanza deilavoratori, la stessa si pone in contrasto con la disposizione contenutanell'art. 4, comma 1, l. n. 300/1970.

4.3. Alla luce delle precedenti considerazioni, ai sensi degli artt.143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, con effettoimmediato dalla data di ricezione del presente provvedimento, si dispone neiconfronti della società il divieto dell'ulteriore trattamento, nella formadella conservazione dei dati personali relativi alle utenze telefonichechiamate dai singoli dipendenti, fino all'eventuale espletamento delleprocedure all'uopo previste dall'art. 4, comma 2, l. n. 300/1970 e previaidonea informativa degli utenti ai sensi dell'art. 13 del Codice, conconservazione di quelli finora trattati in vista di un'eventuale acquisizionedegli stessi da parte dell'autorità giudiziaria, nonché per esigenze di tuteladei diritti in sede giudiziaria.

Inoltre, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1,lett. c), del Codice si prescrive alla società:

a. quale misura necessaria, di provvedere a disattivare lamenzionata funzione di "alert" senza ritardo, e comunque entroe non oltre tre mesi dal ricevimento del presente provvedimento dandonecontestuale comunicazione a questa Autorità;

b. quale misura opportuna, limitatamente ai tempi diconservazione dei dati riferiti ad utenze del servizio di telefonia VoIP altrerispetto ai soli dipendenti della società, di contenere i medesimi entro ilimiti dei sei mesi, salva l'ulteriore conservazione dei dati ove gli stessiformino oggetto di contestazione e la società sia chiamata a tutelare leproprie pretese.

5. I trattamenti effettuati dagliamministratori di sistema

5.1. Nell'ambito delle complessive attività di verifica correlateall'utilizzo dei sistemi di comunicazione elettronica in uso presso l'Istituto èstata altresì verificata la modalità di attuazione delle misure prescritte aititolari dei trattamenti effettuati con strumenti elettronici relativamentealle attribuzioni delle funzioni di amministratore di sistema, acquisendo ledichiarazioni dei rappresentanti della società (punto a) nonché effettuandoverifiche dirette – aventi ad oggetto il sistema KW, sistema diregistrazione appositamente configurato per il tracciamento degli accessi degliamministratori di sistema ed installato dalla società per dare attuazione alprovvedimento del Garante del 27 novembre 2008 citato in premessa (punto b) –e indirette – mediante opportuni riscontri sui sistemi oggetto dimonitoraggio (punto c) –.

a) In proposito la società ha dichiarato che "vengonoregistrati in un apposito sistema [é] i dati relativi a login, logout,timestamp e utenza di accesso (username); non viene, invece, registrato ildettaglio dell'attività svolta dagli amministratori (attività sistemistica)successivamente al login" (cfr. verb. 12.5.2011, p. 5).

b) Effettuate le verifiche su KW è risultato che:

i. il sistema è stato configurato per registrare il log degliaccessi degli amministratori (conformemente a quanto sopra riferito) per unperiodo massimo di 1 anno e che in esso confluiscono i log di accesso di tiposistemistico degli amministratori ai sistemi proxy, ai sistemi firewall, aiserver di posta elettronica e a tutti gli altri sistemi informatici gestiti dalgruppo ICT;

ii. in aggiunta a tale misura (prevista dal provvedimento delGarante), l'accesso al sistema KW viene altresì segnalato automaticamente, conun'apposita e-mail di alert sia all'indirizzo e-mail dell'amministratoredel sistema medesimo, sia a quello del responsabile "Information securitye assicurazione qualità";

iii. il sistema consente di generare statistiche dettagliatesugli accessi effettuati dagli amministratori ai singoli sistemi e unaulteriore reportistica riassuntiva preordinata alla predisposizione di"relazioni periodiche redatte a cura del direttore ICT ed inviate alresponsabile privacy, il quale ne rende informativa all'amministratoredelegato" (verb. 12.5.2011, p. 5).

c) Al fine di riscontrare la completezza delle attività ditracciamento realizzate tramite il descritto sistema di registrazione degliaccessi degli amministratori (nonché l'idoneità dello stesso a consentire lenecessarie verifiche sulle attività di log in/out degli amministratorimedesimi), sono stati quindi effettuati ulteriori accessi a XY e al sistema ditelefonia VoIP, entrambi oggetto di monitoraggio mediante KW.

Da tale ulteriore attività sono emersi esiti discordanti.

Infatti, le registrazioni degli eventi di accesso di tipo sistemisticoeffettuati dagli amministratori a XY e al sistema di gestione della telefoniaVoIP sono rinvenibili nella reportistica generata da KW (cfr. all. 7 alverb. 12.5.2011, p. 13-14 e all. 13 al verb. 13.5.2011, p. 2).

Tuttavia le registrazioni degli eventi di accesso ai medesimi sistemieffettuate mediante interfaccia di tipo applicativo (ad es. interfaccia web)non sono invece rinvenibili nella medesima reportistica (cfr. all. 10 al verb.12.5.2011 e dichiarazioni contenute nello stesso verbale, p. 6, dal qualerisulta che l'accesso con interfaccia web a XY "non veniva evidenziatodalla reportistica standard di KW attualmente predisposta", nonchéverb. 13.5.2011, p. 6).

La rilevata discordanza nel sistema di tracciamento KW degli accessidegli amministratori di sistema ai XY e al sistema VoIP è stata peraltroconfermata nel corso degli accertamenti dalle dichiarazioni rese in atti darappresentanti della società, secondo le quali:

i. i log memorizzati nel sistema di registrazione degli accessi "includonosoltanto accessi di tipo sistemistico (accessi fatti da un amministratore alsistema operativo é), mentre la citata reportistica [é] utilizzata per ilcontrollo degli amministratori non include gli accessi degli amministratorieffettuati dal pannello generale di gestione del prodotto XY tramite il quale èpossibile controllare la navigazione web effettuata dai dipendenti" (cfr.verb. 12.5.2011, p. 6);

ii. "gli accessi al sistema XY effettuati dagliamministratori in possesso di credenziali interne al sistema stesso non vengonoregistrati da KW in quanto [é] sussistono ostacoli di natura tecnica nellaraccolta di tali log. Diversamente, in caso di accesso al sistema XY da partedegli amministratori tramite credenziale di dominio, il log dell'accessoeffettuato viene registrato dal sistema di monitoraggio e raccolta log KW"(cfr. verb. 12.5.2011, p. 8);

iii. identica (anomala) modalità di funzionamento caratterizzaanche le attività di tracciamento degli accessi al sistema VoIP e dellarelativa interfaccia web (denominata MX-ONE Manager) (cfr. verb. 13.5.2011,p. 6): si è al riguardo precisato, infatti, che i "log interni dellapiattaforma di gestione delle utenze telefoniche (MX-ONE Manager) nonconfluiscono nel sistema KW per problemi di natura tecnica del sistemastesso" (cfr. verb. 13.5.2011, p. 6).

5.2. Dal complesso delle verifiche così effettuate emerge, pertanto,che la società ha dato solo parziale attuazione alle misure prescritte dalGarante ai sensi dell'art. 154, comma 1, lett. c), del Codice con ilprovvedimento relativo agli amministratori di sistema del 27 novembre 2008 nelquale, alla lett. f), si è stabilito che "devono essere adottatisistemi idonei alla registrazione degli accessi logici (autenticazioneinformatica) ai sistemi di elaborazione e agli archivi elettronici da partedegli amministratori di sistema. Le registrazioni (access log) devono averecaratteristiche di completezza, inalterabilità e possibilità di verifica dellaloro integrità adeguate al raggiungimento dello scopo per cui sono richieste [é]".

Orbene, atteso che gli accessi di tipo applicativo alla strumentazioneutilizzata per l'amministrazione dei sistemi informativi della società nonvengono censiti sul sistema KW (come descritto al punto 5.1. lett. c), ilrichiesto requisito della completezza non risulta soddisfatto, con laconseguenza che i soggetti preposti a sovrintendere alla regolarità nellosvolgimento delle attività effettuate dagli amministratori di sistema –sia a livello di unità organizzativa, che a livello apicale – hannopotuto disporre di un'informazione incompleta rispetto all'operato degliamministratori di sistema.

Pertanto potrebbero non rappresentare fedelmente l'operato degliamministratori di sistema sia il report inviato dal responsabile dell'area"ICT e Business solutions" al responsabile privacy (cfr. all.6 al verb. del 13.5.2011) – nel quale si attesta che "dall'analisidei report dei log prodotti con l'ausilio del sistema KW Logger non è emersanessuna anomalia né intrusione non autorizzata ai sistemi da parte degliamministratori di sistema, ma solo attività lavorativa nell'ambito della loroprofessione e del proprio profilo organizzativo" –, sia laconseguente "comunicazione al consiglio di amministrazione"dell'amministratore delegato il quale, alla luce delle informazionidisponibili, ha potuto attestare che "dal primo controllo annualerisulta che tutti gli amministratori di sistema hanno svolto la loro attivitànei limiti dei rispettivi profili autorizzativi; pertanto non è stata rilevatanessuna irregolarità" (cfr. all. 7 al verb. del 13.5.2011).

A tale inconveniente, derivante dalla rilevata incompletezza deltracciamento effettuato, va aggiunto che proprio l'accesso di tipo applicativo,nel caso in esame non tracciato, permette a chi ad esso ricorre un'immediataaccessibilità alle informazioni personali presenti nei sistemi senza gliostacoli di natura strutturale propri invece delle informazioni estrattemediante un accesso di tipo sistemistico (oggetto invece di tracciamento).

5.4. Tanto premesso, il Garante, ai sensi degli artt. 143, comma 1,lett. b) e 154, comma 1, lett. c) del Codice:

a. prescrive a codesta società di dare integrale attuazione allaprescrizione di cui alla lett. f) del provvedimento di questa Autorità del 27novembre 2008 richiamato nelle premesse, assicurando in particolare lacompletezza del tracciamento delle attività effettuate dagli amministratori disistema;

b. si riserva di valutare con autonomo procedimento lasussistenza della violazione di cui all'art. 162, comma 2-ter delCodice.

6. Gli accertamenti complessivamente effettuati hanno altresìevidenziato, al di là della mancata attuazione delle misure di garanziapreviste dall'ordinamento, un difetto di coordinamento tra i diversi centri diresponsabilità, di cui pure la società si è dotata (nel caso di specie, le aree"ICT e business solutions", "Risorse umane","legale" nonché la figura del "responsabile privacy") e,nonostante siano state intraprese da tempo iniziative volte a monitorarel'implementazione del c.d. modello di gestione della privacy presso l'Istituto(cfr. Relazione finale attività di audit 2008, all. 5, verb. 13.5.2011), inordine a scelte tecnologico-organizzative che riguardano un numero rilevante didipendenti e che, opportunamente, avrebbero dovuto comportare una previavalutazione di impatto sulla protezione dei dati personali e la riservatezzadegli interessati con la conseguente adozione delle garanzie dettatedall'ordinamento.

Ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c),del Codice si prescrive pertanto, quale misura opportuna, che, in caso diintroduzione o potenziamento di sistemi informativi che possono avere unimpatto sulla protezione dei dati personali e la riservatezza degliinteressati, vengano introdotte idonee misure organizzative, quali forme dicoordinamento e cooperazione tra le pertinenti unità organizzative presentiall'interno della società, volte ad assicurare un corretto processodecisionale, rispettoso delle garanzie previste dall'ordinamento.

7. Infine, considerati gli esiti degli accertamenti effettuati, ilGarante dispone la trasmissione degli atti e di copia del presenteprovvedimento all'autorità giudiziaria per le valutazioni di competenza inordine agli illeciti penali che riterrà eventualmente configurabili.

TUTTO CIO' PREMESSO ILGARANTE

1. dichiara illeciti i trattamenti effettuati dall'IstitutoPoligrafico e Zecca dello Stato s.p.a. in violazione degli artt. 11, comma 1,lett. a), c) e d), 113 e 114 del Codice nonché 4 e 8, l. n. 300/1970, con laconseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensidell'art. 11, comma 2 del Codice;

2. con riguardo al trattamento dei dati personali relativi agliaccessi a Internet effettuato dai dipendenti (punto 2.3.), ai sensi degli artt.143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, dispone, coneffetto immediato dalla data di ricezione del presente provvedimento, ildivieto dell'ulteriore trattamento, nella forma della conservazione e dellacategorizzazione su base individuale, dei dati personali riferiti alla navigazioneinternet dei dipendenti, con conservazione di quelli finora trattati in vistadi un'eventuale acquisizione degli stessi da parte dell'autorità giudiziaria,nonché per esigenze di tutela dei diritti in sede giudiziaria;

3. con riguardo al trattamento dei dati personali relativi allosvolgimento del servizio di posta elettronica (punto 3.3.), ai sensi degliartt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, prescrivedi fornire idonea informativa agli utenti, ai sensi dell'art. 13 del Codice conriguardo al trattamento effettuato per rendere il servizio;

4. con riguardo al trattamento di dati personali connesso alservizio VoIP (punto 4.3):

a. ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d), del Codice, dispone, con effetto immediato dalla data di ricezionedel presente provvedimento, il divieto dell'ulteriore trattamento, nella formadella conservazione dei dati personali relativi alle utenze telefonichechiamate dai singoli dipendenti, fino all'eventuale espletamento delleprocedure all'uopo previste dall'art. 4, comma 2, l. n. 300/1970 e previaidonea informativa agli utenti ai sensi dell'art. 13 del Codice, conconservazione di quelli finora trattati in vista di un'eventuale acquisizionedegli stessi da parte dell'autorità giudiziaria, nonché per esigenze di tuteladei diritti in sede giudiziaria;

b. ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1,lett. c), del Codice, prescrive:

i. quale misura necessaria, di provvedere a disattivare lamenzionata funzione di "alert" senza ritardo, e comunque entroe non oltre tre mesi dal ricevimento del presente provvedimento, dandonecontestuale comunicazione a questa Autorità;

ii. quale misura opportuna, limitatamente ai tempi diconservazione dei dati riferiti ad utenze del servizio di telefonia VoIP altrerispetto ai soli dipendenti della società, di contenere i medesimi entro illimite dei sei mesi, salva l'ulteriore conservazione dei dati ove gli stessiformino oggetto di contestazione e la società sia chiamata a tutelare leproprie pretese;

5. con riguardo al trattamento di dati personali effettuato dagliamministratori di sistema, ai sensi degli artt. 143, comma 1, lett. b) e 154,comma 1, lett. c) del Codice, prescrive, quale misura necessaria, di dareintegrale attuazione senza ritardo, e comunque entro e non oltre tre mesi dalricevimento del presente provvedimento, alla prescrizione di cui alle lett. c)ed f) del provvedimento del 27 novembre 2008, contenente "Misure eaccorgimenti prescritti ai titolari dei trattamenti effettuati con strumentielettronici relativamente alle attribuzioni delle funzioni di amministratore disistema", assicurando in particolare che sia resa nota o conoscibilel'identità degli amministratori di sistema nell'ambito della società (punto 3.3e 4.2) nonché la completezza del tracciamento delle attività effettuate dagliamministratori di sistema (punto 5.3);

6. ai sensi dell'art. 157 del Codice, prescrive di dare comunicazionea questa Autorità, senza ritardo, e comunque entro e non oltre tre mesi dalricevimento del presente provvedimento delle misure adottate per conformarsialle prescrizioni impartite con il presente provvedimento;

7. si riserva di valutare con autonomo procedimento lasussistenza delle violazioni di cui agli artt. 161, 162, comma 2-bis,162, comma 2-ter e 163 del Codice (punti 2.3 e 5.4);

8. ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1,lett. c), del Codice, prescrive, quale misura opportuna, che, in caso diintroduzione o potenziamento di sistemi informativi che possono avere unimpatto sulla protezione dei dati personali e la riservatezza degliinteressati, vengano introdotte idonee misure organizzative, quali forme dicoordinamento e cooperazione tra le pertinenti unità organizzative presentiall'interno della società, volte ad assicurare un corretto processodecisionale, rispettoso delle garanzie previste dall'ordinamento (punto 6);

9. dispone la trasmissione degli atti e di copia del presenteprovvedimento all'autorità giudiziaria per le valutazioni di competenza inordine agli illeciti penali che riterrà eventualmente configurabili (punto 7).

Avverso il presente provvedimento, ai sensi dell'art. 152 del Codice,può essere proposta opposizione davanti al tribunale ordinario del luogo ove hasede il titolare del trattamento entro il termine di trenta giorni dallanotificazione del provvedimento stesso.

Roma, 21 luglio 2011

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli

(*) Il Tribunale civile di Roma, in data 21 gennaio 2013, ha rigettato il ricorso presentato dal Poligrafico dello Stato avverso il provvedimento del Garante