| Garante per la protezione dei dati personali PROVVEDIMENTO DEL 18 OTTOBRE 2012 Registro dei provvedimenti n. 307 del 18 ottobre 2012 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; VISTOil ricorso pervenuto al Garante il 28 maggio 2012, presentato da XY(rappresentato e difeso dall'avv. Nicola Caselli) nei confronti di DNArts.r.l., con il quale il ricorrente, dopo aver ricevuto una contestazionedisciplinare cui ha fatto seguito il licenziamento senza preavviso anche acausa di una verifica effettuata sul pc datogli in dotazione dalla società,dalla quale sarebbe emersa "un'attività in palese concorrenza con l'azienda"medesima, ha ribadito la richiesta, già avanzata ai sensi dell'art. 7 delCodice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n.196), volta ad opporsi all'ulteriore trattamento dei dati personali che loriguardano contenuti nella nota di contestazione disciplinare e a chiederne lacancellazione; ad avviso del ricorrente gli stessi sarebbero statiillecitamente acquisiti dal datore di lavoro che, in occasione dell'esecuzionedelle operazioni di back up del proprio portatile aziendale, avrebbeindebitamente verificato il contenuto di files aventi carattere personale("raggruppati in cartelle a nome "mio" e personaleXY"") nonché effettuato "accesso a Skype con l'account" delricorrente medesimo; ciò in violazione dei principi di liceità e correttezza,tenuto anche conto che "DNArt s.r.l. non ha prefigurato e pubblicizzatouna policy interna sull'utilizzo degli strumenti informatici aziendali" eche il ricorrente "non è mai stato informato sulle modalità con cui ildatore di lavoro avrebbe potuto controllare il portatile concessogli inuso"; rilevato che il ricorrente ha chiesto la liquidazione in propriofavore delle spese del procedimento; VISTIgli ulteriori atti d'ufficio e, in particolare, la nota del 30 maggio 2012, conla quale questa Autorità, ai sensi dell'art. 149, comma 1 del Codice hainvitato il predetto titolare del trattamento a fornire riscontro allerichieste dell'interessato, nonché la nota del 20 luglio 2012 con la quale èstata disposta, ai sensi dell'art. 149, comma 7, la proroga dei termini delprocedimento; VISTAla nota del 18 giugno 2012 con la quale il titolare del trattamento, nelrichiamare il contenuto della nota di riscontro inviata al ricorrente in data23 maggio 2012 (di cui lo stesso è venuto a conoscenza successivamenteall'inoltro del presente ricorso), ha affermato che "l'operazione di backup dei dati contenuti nei p.c. aziendali dati in dotazione ai propri dipendentiviene eseguita a soli fini aziendali, per proteggere i dati aziendali e garantirela continuità dell'operatività dell'impresa" e che, come previsto dal"regolamento aziendale affisso in luogo accessibile e visibile a tutti, (Š)ogni utilizzo del sistema informativo dell'azienda diverso da finalitàstrettamente professionali è espressamente vietato"; la resistente haquindi chiarito che nel caso in esame, poiché l'interessato – che avevain dotazione un p.c. Mac che, "per motivi di incompatibilità deisistemi", non consente il salvataggio dei dati in automatico ma solomanualmente – "ometteva spesso di salvare i dati contenuti nelpc in sua dotazione nelle cartelle appositamente create nel serveraziendale", l'azienda lo ha invitato a lasciare il portatile in sede perconsentire alla stessa di provvedere al predetto salvataggio; della necessitàdi tale operazione, da effettuarsi "settimanalmente", l'interessatoera stato preventivamente informato sin dal 1.1.2011 (data di assunzione), comerisulta da apposito documento predisposto dalla resistente recante leistruzioni agli incaricati del trattamento e sottoscritto per accettazionedall'interessato medesimo (documenti allegati in copia); nella medesima nota lasocietà resistente ha inoltre aggiunto che per quanto riguarda il lamentatoaccesso a Skype, l'azienda "non ne è mai stata a conoscenza e non ha maiavuto accesso all'account skipe del ricorrente"; VISTEle note datate 29 maggio e 30 luglio 2012 con le quali il ricorrente, oltre asottolineare come non appaia chiaro se la resistente sia venuta a conoscenzadel contenuto della cartella personale tramite il "server aziendale ovverodirettamente dal backup del computer", ha altresì affermato di "nonavere mai firmato alcuna documentazione che spiegasse le modalità con cui vienesvolto un backup, tantomeno su un computer Mac" né di avere maiautorizzato "il backup di miei file personali"; in proposito ilricorrente ha inoltre aggiunto che l'unico documento, da lui firmato, chespecificasse le finalità di utilizzo del bene aziendale è quello relativo altelefono cellulare; VISTAla nota datata 5 ottobre 2012 con la quale la società resistente, nel ribadireche il computer portatile a disposizione dell'interessato "doveva essereutilizzato per svolgere solo ed esclusivamente attività legale alla suamansione in azienda" e che "l'operazione di backup è stata eseguitaesclusivamente per finalità aziendali ed esigenze lavorative", haprecisato che: a) il ricorrente era a conoscenza della necessità di eseguire unback up del p.c. (come dimostra il documento di nomina ad incaricato deltrattamento sottoscritto dall'interessato; b) poiché la predetta operazione,trattandosi di un p.c. Mac, non può essere eseguita automaticamente traportatile e server, "l'azienda System Line, che ci fornisce il supportoinformatico, ha dovuto salvare tutti i dati dal p.c. in una memoria e poisalvarli sul nostro server aziendale"; c) il successivo controllominuzioso in ordine al buon esito del back up è stato eseguito "solo edesclusivamente dal server"; RILEVATOche il datore di lavoro può effettuare dei controlli mirati (direttamente oattraverso la propria struttura) al fine di verificare l'effettivo e correttoadempimento della prestazione lavorativa e, se necessario, il corretto utilizzodegli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto,tuttavia che, nell'esercizio di tale prerogativa, occorre rispettare la libertàe la dignità dei lavoratori, nonché, con specifico riferimento alla disciplinain materia di protezione dei dati personali, i principi di correttezza, (secondocui le caratteristiche essenziali dei trattamenti devono essere rese note ailavoratori), di pertinenza e non eccedenza di cui all'art. 11, comma 1, delCodice; ciò, tenuto conto che tali controlli possono determinare il trattamentodi informazioni personali, anche non pertinenti, o di dati di caratteresensibile; RILEVATOche, sulla base della documentazione in atti, il ricorrente non risultaessere stato previamente informato in riferimento al trattamento di datipersonali che avrebbe potuto essere effettuato in attuazione di eventualicontrolli sull'utilizzo del personal computer concessogli in uso per esclusivefinalità professionali, con particolare riferimento alle modalità e alleprocedure da seguire per gli stessi; considerato infatti che nel "regolamentoper l'utilizzo delle risorse informatiche e telematiche" adottato dallaresistente il 15 febbraio 2002 e messo a disposizione dei dipendenti, nonchénel "documento recante istruzioni agli incaricati del trattamento"(sottoscritto per accettazione dall'interessato), la società, pur avendo fattoriferimento alla necessità di effettuare - almeno settimanalmente - ilsalvataggio dei dati su copie di sicurezza con conseguente verifica del buonfine dell'operazione, non ha fornito un'idonea informativa in ordine altrattamento di dati personali connesso ad eventuali attività di verifica econtrollo effettuate dalla società stessa sui p.c. concessi in uso aidipendenti (cfr. al riguardo anche il provv. del Garante del 1° marzo 2007"Lavoro: le linee guida del Garante per posta elettronica e internet"pubblicate in G. U. n. 58 del 10 marzo 2007, punto 3); RITENUTO,alla luce delle considerazioni sopra esposte, che il trattamento dei datirelativi al ricorrente è stato effettuato in violazione dei principi di cuiall'art. 11 del Codice e ritenuto pertanto di dover dichiarare fondato ilricorso, disponendo, ai sensi dell'art. 150, comma 2, del Codice, quale misuraa tutela dei diritti dell'interessato, il divieto per la società resistente ditrattare ulteriormente i dati oggetto del presente ricorso a partire dalla datadi ricezione del presente provvedimento; RILEVATOcomunque che resta fermo quanto previsto dall'art. 160, comma 6, del Codice conriferimento alle autonome determinazioni da parte dell'autorità giudiziaria inordine all'utilizzabilità nel procedimento civile della documentazione medesimaeventualmente già acquisita in tale sede; VISTAla determinazione generale del 19 ottobre 2005 sulla misura forfettariadell'ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenutocongruo, su questa base, determinare l'ammontare delle spese e dei dirittiinerenti all'odierno ricorso nella misura forfettaria di euro 500, di cui euro150 per diritti di segreteria, considerati gli adempimenti connessi, inparticolare, alla presentazione del ricorso e ritenuto di porli a carico diDNArt s.r.l. nella misura di euro 350, previa compensazione della residua parteper giusti motivi, stante il riscontro comunque fornito nel corso delprocedimento; VISTAla documentazione in atti; VISTIgli artt. 145 e s. del Codice in materia di protezione dei dati personali(d.lg. 30 giugno 2003, n. 196); VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREla prof.ssa Licia Califano; TUTTO CIO' PREMESSO IL GARANTE: Roma, 18 ottobre 2012
|