Dark Light

 Il dipendente deve essere previamente informato dal datore di lavoro in merito al trattamento di dati personali che potrebbe essere effettuato in occasione di attività di controllo e/o backup dei computer aziendali in dotazione ai lavoratori.

 È quanto affermato dal Garante per la protezione dei dati personali con il provvedimento n. 307 del 18 ottobre 2012.

La vicenda de qua traeva origine dal ricorso presentato da un ex-dipendente di una società che era stato licenziato, poiché sulla base di un esame del pc in dotazione, era emerso lo svolgimento di una attività in concorrenza con il datore di lavoro.

Lamentava, quindi, il dipendente che il datore avesse acquisito e trattato propri dati personali in assenza di idonea e preventiva informativa.

Il datore aveva, invece, dedotto la piena liceità del trattamento, sulla base delle seguenti considerazioni:

– le operazioni di backup avevano quale unica finalità la protezione dei dati aziendali e la garanzia della continuità dell’operatività dell’impresa;

– che il regolamento aziendale espressamente vietava qualsivoglia utilizzo del sistema informatico diverso da finalità professionali;

Il Garante, investito della questione, accoglie il ricorso del dipendente ritenendo che:

  • il datore di lavoro può effettuare dei controlli finalizzati a verificare l’effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.);
  • tali controlli devono essere effettuati, tuttavia, nel rispetto della libertà e della dignità dei lavoratori, nonché, dei principi di correttezza, di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice;
  • il lavoratore deve, conseguentemente, essere previamente informato in riferimento al trattamento di dati personali che potrebbe effettuarsi in attuazione di eventuali controlli sull’utilizzo del personal computer concessogli in uso per esclusive finalità professionali.

 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso pervenuto al Garante il 28 maggio 2012, presentato da XY (rappresentato e difeso dall’avv. Nicola Caselli) nei confronti di DNArt s.r.l., con il quale il ricorrente, dopo aver ricevuto una contestazione disciplinare cui ha fatto seguito il licenziamento senza preavviso anche a causa di una verifica effettuata sul pc datogli in dotazione dalla società, dalla quale sarebbe emersa “un’attività in palese concorrenza con l’azienda” medesima, ha ribadito la richiesta, già avanzata ai sensi dell’art. 7 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), volta ad opporsi all’ulteriore trattamento dei dati personali che lo riguardano contenuti nella nota di contestazione disciplinare e a chiederne la cancellazione; ad avviso del ricorrente gli stessi sarebbero stati illecitamente acquisiti dal datore di lavoro che, in occasione dell’esecuzione delle operazioni di back up del proprio portatile aziendale, avrebbe indebitamente verificato il contenuto di files aventi carattere personale (“raggruppati in cartelle a nome “mio” e personale XY””) nonché effettuato “accesso a Skype con l’account” del ricorrente medesimo; ciò in violazione dei principi di liceità e correttezza, tenuto anche conto che “DNArt s.r.l. non ha prefigurato e pubblicizzato una policy interna sull’utilizzo degli strumenti informatici aziendali” e che il ricorrente “non è mai stato informato sulle modalità con cui il datore di lavoro avrebbe potuto controllare il portatile concessogli in uso”; rilevato che il ricorrente ha chiesto la liquidazione in proprio favore delle spese del procedimento;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 30 maggio 2012, con la quale questa Autorità, ai sensi dell’art. 149, comma 1 del Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell’interessato, nonché la nota del 20 luglio 2012 con la quale è stata disposta, ai sensi dell’art. 149, comma 7, la proroga dei termini del procedimento;

VISTA la nota del 18 giugno 2012 con la quale il titolare del trattamento, nel richiamare il contenuto della nota di riscontro inviata al ricorrente in data 23 maggio 2012 (di cui lo stesso è venuto a conoscenza successivamente all’inoltro del presente ricorso), ha affermato che “l’operazione di back up dei dati contenuti nei p.c. aziendali dati in dotazione ai propri dipendenti viene eseguita a soli fini aziendali, per proteggere i dati aziendali e garantire la continuità dell’operatività dell’impresa” e che, come previsto dal “regolamento aziendale affisso in luogo accessibile e visibile a tutti, (…) ogni utilizzo del sistema informativo dell’azienda diverso da finalità strettamente professionali è espressamente vietato”; la resistente ha quindi chiarito che nel caso in esame, poiché l’interessato – che aveva in dotazione un p.c. Mac che, “per motivi di incompatibilità dei sistemi”, non consente il salvataggio dei dati in automatico ma solo manualmente  – “ometteva spesso di salvare i dati contenuti nel pc in sua dotazione nelle cartelle appositamente create nel server aziendale”, l’azienda lo ha invitato a lasciare il portatile in sede per consentire alla stessa di provvedere al predetto salvataggio; della necessità di tale operazione, da effettuarsi “settimanalmente”, l’interessato era stato preventivamente informato sin dal 1.1.2011 (data di assunzione), come risulta da apposito documento predisposto dalla resistente recante le istruzioni agli incaricati del trattamento e sottoscritto per accettazione dall’interessato medesimo (documenti allegati in copia); nella medesima nota la società resistente ha inoltre aggiunto che per quanto riguarda il lamentato accesso a Skype, l’azienda “non ne è mai stata a conoscenza e non ha mai avuto accesso all’account skipe del ricorrente”;

VISTE le note datate 29 maggio e 30 luglio 2012 con le quali il ricorrente, oltre a sottolineare come non appaia chiaro se la resistente sia venuta a conoscenza del contenuto della cartella personale tramite il “server aziendale ovvero direttamente dal backup del computer”, ha altresì affermato di “non avere mai firmato alcuna documentazione che spiegasse le modalità con cui viene svolto un backup, tantomeno su un computer Mac” né di avere mai autorizzato “il backup di miei file personali”; in proposito il ricorrente ha inoltre aggiunto che l’unico documento, da lui firmato, che specificasse le finalità di utilizzo del bene aziendale è quello relativo al telefono cellulare;

VISTA la nota datata 5 ottobre 2012 con la quale la società resistente, nel ribadire che il computer portatile a disposizione dell’interessato “doveva essere utilizzato per svolgere solo ed esclusivamente attività legale alla sua mansione in azienda” e che “l’operazione di backup è stata eseguita esclusivamente per finalità aziendali ed esigenze lavorative”, ha precisato che: a) il ricorrente era a conoscenza della necessità di eseguire un back up del p.c. (come dimostra il documento di nomina ad incaricato del trattamento sottoscritto dall’interessato; b) poiché la predetta operazione, trattandosi di un p.c. Mac, non può essere eseguita automaticamente tra portatile e server, “l’azienda System Line, che ci fornisce il supporto informatico, ha dovuto salvare tutti i dati dal p.c. in una memoria e poi salvarli sul nostro server aziendale”; c) il successivo controllo minuzioso in ordine al buon esito del back up è stato eseguito “solo ed esclusivamente dal server”;

RILEVATO che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l’effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile;

RILEVATO che, sulla base della documentazione in atti, il ricorrente  non risulta essere stato previamente informato in riferimento al trattamento di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali controlli sull’utilizzo del personal computer concessogli in uso per esclusive finalità professionali, con particolare riferimento alle modalità e alle procedure da seguire per gli stessi; considerato infatti che nel “regolamento per l’utilizzo delle risorse informatiche e telematiche” adottato dalla resistente il 15 febbraio 2002 e messo a disposizione dei dipendenti, nonché nel “documento recante istruzioni agli incaricati del trattamento” (sottoscritto per accettazione dall’interessato), la società, pur avendo fatto riferimento alla necessità di effettuare – almeno settimanalmente – il salvataggio dei dati su copie di sicurezza con conseguente verifica del buon fine dell’operazione, non ha fornito un’idonea informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in uso ai dipendenti (cfr. al riguardo anche il provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” pubblicate in G. U. n. 58 del 10 marzo 2007, punto 3);

RITENUTO, alla luce delle considerazioni sopra esposte, che il trattamento dei dati relativi al ricorrente è stato effettuato in violazione dei principi di cui all’art. 11 del Codice e ritenuto pertanto di dover dichiarare fondato il ricorso, disponendo, ai sensi dell’art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell’interessato, il divieto per la società resistente di trattare ulteriormente i dati oggetto del presente ricorso a partire dalla data di ricezione del presente provvedimento;

RILEVATO comunque che resta fermo quanto previsto dall’art. 160, comma 6, del Codice con riferimento alle autonome determinazioni da parte dell’autorità giudiziaria in ordine all’utilizzabilità nel procedimento civile della documentazione medesima eventualmente già acquisita in tale sede;

VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell’ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l’ammontare delle spese e dei diritti inerenti all’odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di DNArt s.r.l. nella misura di euro 350, previa compensazione della residua parte per giusti motivi, stante il riscontro comunque fornito nel corso del procedimento;

VISTA la documentazione in atti;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie il ricorso e dispone, ai sensi dell’art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell’interessato, il divieto per la società resistente di trattare ulteriormente, i dati oggetto del presente ricorso a partire dalla data di ricezione del presente provvedimento;

b) determina nella misura forfettaria di euro 500 l’ammontare delle spese e dei diritti del procedimento posti, nella misura di 350 euro, previa compensazione della residua parte per giusti motivi, a carico di DNArt s.r.l., la quale dovrà liquidarli direttamente a favore del ricorrente.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 ottobre 2012

IL PRESIDENTE

Soro

IL RELATORE

Califano

IL SEGRETARIO GENERALE

Busia

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Related Posts
AVVOCATO,

CERCHI SENTENZE SU CASI ANALOGHI AL TUO?

CASSAZIONE.NET 4.0 L'EVOLUZIONE DELLO STUDIO LEGALE
PROVA GRATIS
close-link
Avvocato, vuole gestire tutta la sua professione con un'App?....
PROVA  ORA GRATIS
close-image