Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Provvedimento del 21 marzo 2007 [1401273]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1401273
Data:
21/03/07
Tipologia:
Decisione su ricorso

[doc. web n. 1401273]

Provvedimento del 21 marzo 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Giuseppe Fortunato, componente e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY, rappresentata e difesa dall'avv. A. Gommellini presso il cui studio ha eletto domicilio nei confronti di Bluvento s.r.l. e KW, rappresentate e difese dagli avv.ti H. Massari, M. Cattano e A. Moretti presso il cui studio hanno eletto domicilio;

Visti gli articoli 7, 8 e 145 ss. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

La ricorrente, amministratore delegato di Bluvento s.r.l. fino al mese di novembre del 2006 e tuttora socia della stessa, ha avuto notizia il 5 dicembre 2006 che una e-mail inviata al proprio indirizzo di posta elettronica "XY@bluvento.it" era stata ricevuta dall'indirizzo "KW@gwp-wind.de" (come da messaggio di conferma dell'avvenuta ricezione allegato in atti).

Riconoscendo tale ultimo indirizzo quale account personale della sig.a KW (procuratore speciale di Bluvento s.r.l. dal 9 novembre 2006) e rilevando che nella casella di posta elettronica "XY@bluvento.it" (seppure creata presso il dominio della società "bluvento.it" ) erano contenuti dati personali che la riguardano, l'interessata ha presentato un ricorso in via d'urgenza al Garante, chiedendo alla società e a KW, oltre all'immediata "sospensione di tutte le operazioni di trattamento", di accedere ai dati personali contenuti nell'account "KW", di conoscere le finalità e le modalità del trattamento, nonché i soggetti ai quali i dati erano stati o potevano essere comunicati.

La medesima ricorrente, opponendosi al trattamento dei dati personali contenuti nel citato account di posta elettronica e alla sua eventuale riconfigurazione, ha inoltre chiesto il blocco dei dati che la riguardano e la cancellazione di quelli trattati in violazione di legge. Con il ricorso la ricorrente ha altresì chiesto di porre a carico dellla controparte le spese sostenute per il procedimento.

A seguito della nota inviata dall'Autorità il 18 dicembre 2006 ai sensi dell'art. 149, comma 1, del Codice, KW, personalmente e in qualità di rappresentante pro-tempore di Bluvento s.r.l., con fax del 29 dicembre 2006, ha comunicato che:

  • "successivamente alla revoca dell'ing. XY, per assicurare la continuità aziendale, la sig.a KW ha provveduto a rendere accessibili le e-mail indirizzate a info@bluvento.it e da quel momento ha ricevuto anche i messaggi indirizzati a XY@bluvento.it";
  • "i due indirizzi di posta elettronica" sarebbero "strumenti da utilizzare esclusivamente per l'attività svolta dalla società Bluvento e, dunque, l'utilizzo personale e privato" da parte dell'ex amministratore delegato non consentirebbe, per tale solo motivo, di "ritenere privato e non accessibile il contenuto delle comunicazioni che transitano da dette caselle di posta elettronica";
  • "successivamente alla revoca della delega dell'ing. XY, comunque, non sono stati effettuati trattamenti di dati personali dell'ing. XY, poiché le vecchie e-mail spedite da ed indirizzate ai due indirizzi della società" sarebbero state archiviate su un computer asportato dai locali della società dalla ricorrente medesima il giorno 9 novembre 2006;
  • la società sarebbe "disponibile a disattivare definitivamente l'indirizzo di posta elettronica XY@bluvento.it e ha già chiesto le necessarie informazioni su come procedere senza pregiudicare quanto potrebbe essere necessario recuperare e produrre nel corso di eventuali azioni civili e penali da esperire contro l'ing. XY".

Con memoria inviata via fax il 2 gennaio 2007 la ricorrente ha sostenuto che "la ricezione dei messaggi indirizzati a info@bluvento.it" non implicherebbe "automaticamente la ricezione dei messaggi indirizzati a XY@bluvento.it visto che quest'ultimo account era protetto da una password personale che" sarebbe "stata cambiata dalla sig.a KW", con la conseguente impossibilità per la ricorrente medesima di consultare la casella di posta elettronica in questione, ivi comprese le "vecchie e-mail che giacevano solo ed esclusivamente sul server del provider".

Bluvento s.r.l., con memoria presentata il 5 gennaio 2007, nel ribadire che gli indirizzi di posta elettronica della società sono stati ripristinati dalla sig.a KW (seguendo le istruzioni fornite da Mc-Link S.p.A., fornitrice del dominio "bluvento.it" e del relativo servizio di posta elettronica) al solo fine di rendere operativa la società, ha dichiarato di non avere, "a quanto risulta", nella propria "immediata disponibilità" l'archivio dei messaggi spediti e ricevuti dalla ricorrente. A tale riguardo, la società ha anzi rappresentato l'esigenza "di recuperare la corrispondenza di diretto interesse sociale" che potrebbe essere rinvenibile nell'archivio "storico della casella di posta elettronica aziendale XY@bluvento.it". La società ha inoltre rilevato che, a suo avviso, il ricorso proposto al Garante in via d'urgenza sarebbe inammissibile dal momento che la ricorrente non avrebbe fornito alcuna prova del "pregiudizio irreparabile" che la stessa avrebbe potuto subire in caso di decorso dei quindici giorni previsti dall'art. 146, comma 2, del Codice.

Con memoria depositata il 19 gennaio 2007 (a seguito della proroga disposta ai sensi dell'art. 149, comma 7, del Codice, nel corso dell'audizione del 10 gennaio 2007) la ricorrente, nel precisare le proprie istanze, ha dichiarato che nella mailbox "XY@bluvento.it" sarebbero "registrati numerosi messaggi di posta elettronica di contenuto personale e riservato" (come da elenco cartaceo allegato dalla medesima) e, tra essi, alcuni contenenti dati relativi alla propria salute, ai quali la ricorrente non potrebbe accedere essendo stata cambiata la password di accesso a tale casella. In relazione alla contestata ammissibilità del ricorso, la ricorrente ha poi rappresentato che il pregiudizio imminente ed irreparabile alla propria sfera personale deriverebbe dalla possibilità, per la società, di conoscere dati personali (anche sensibili) che la riguardano contenuti nella corrispondenza presente negli archivi della casella di posta elettronica o in future comunicazioni inviate al medesimo indirizzo di posta elettronica.

Le resistenti, con memoria del 30 gennaio 2007, hanno replicato dichiarando di non essere consapevoli dell'esistenza di dati personali anche sensibili conservati dalla ricorrente "nell'archivio dell'e-mail aziendale". La società resistente ha anche dichiarato la propria disponibilità a rendere "immediatamente disponibili al trasferimento ovvero alla cancellazione" i dati in questione "non appena quei messaggi rappresentati nell'elenco cartaceo dovessero essere nuovamente disponibili per Bluvento in formato elettronico, non avendo alcun interesse a conservarli". A tal fine, la società ha comunicato di avere chiesto a Mc-Link S.p.A. "la definitiva disattivazione dell'account XY@bluvento.it, come da richiesta della ricorrente e così da eliminare qualsiasi ulteriore dubbio". La società, inoltre, ha nuovamente rappresentato che, dopo aver ricevuto i nuovi "codice utente" e "password" da Mc-Link S.p.A., la sig.a KW sarebbe giunta "alla pagina "Service Bluvento s.r.l." e da qui cliccando su "gestione virtual mail" (…) alle caselle di posta elettronica della società che nella medesima pagina venivano indicate con zero messaggi", senza quindi prendere conoscenza dei messaggi precedenti.

Con memoria presentata il 14 febbraio 2007, la ricorrente, nel ribadire la proprie richieste, ha allegato copia di una comunicazione inoltratale da Mc-Link S.p.A. con la quale quest'ultima dava conferma dell'esistenza nella mailbox "XY@bluvento.it" di 670 messaggi, rilevando che il messaggio più recente sarebbe del 5 dicembre 2006.

A seguito di richiesta inoltrata da questa Autorità ai sensi degli artt. 150, comma 2, e 157 del Codice, Mc-Link S.p.A. ha illustrato le modalità di funzionamento del servizio "Visp-Virtual Internet Service Provider" (di seguito Visp) fornito a Bluvento s.r.l. La società ha rappresentato che si tratta di un "server virtuale di posta elettronica associato al dominio richiesto dal cliente" (in questo caso "bluvento.it") il cui amministratore è direttamente il titolare del contratto Visp (nel caso di specie, Bluvento s.r.l.), o un suo incaricato, il quale può forzare la password di una mailbox creata su quel dominio e, da quel momento in poi, avere la completa disponibilità della casella stessa. Mc-Link S.p.A. ha comunicato che alla sig.a KW è stata fornita "la password di amministratore del Visp (con la quale è possibile creare/cancellare gli account e cambiare le password)" e che "dall'analisi di configurazione del Visp associato al dominio "bluvento.it"" risulta, tra l'altro, un cambio delle password dei due diversi indirizzi di posta elettronica "info@bluvento.it" e "XY@bluvento.it" in data 5 dicembre 2006, data alla quale risultano anche attivati due "forward" sugli stessi verso "KW@gwp-wind.de". Inoltre, tale provider ha dichiarato che "l'account "XY" è stato cancellato il 30/1/2007" e che, fino a tale data, "i messaggi sono stati disponibili all'amministratore Visp". Mc-Link S.p.A. ha infine precisato che, qualora "l'amministratore del Visp ricreasse l'account cancellato, i messaggi presenti verrebbero recuperati e l'account sarebbe nelle condizioni di ricevere posta" (fino al momento in cui il servizio Visp non venisse disdetto e Mc-Link S.p.A. rimanesse "registrar" del nome a dominio di riferimento "bluvento.it"); non sarebbe, invece, possibile recuperare i messaggi già cancellati da chi dispone delle credenziali di assegnatario dell'account.

Con memoria del 13 marzo 2007, a seguito di specifica richiesta dell'Autorità, le resistenti hanno ribadito, tra l'altro, che la sig.a KW "ha sempre dichiarato in buona fede quanto le risultava in base alle notizie a sua disposizione" e che la stessa "non sapeva della presenza dell'archivio, poiché sprovvista delle conoscenze tecniche e degli strumenti necessari per rendersi conto della situazione come affermata da Mc-Link" e che l'interesse della società in relazione all'archivio delle e-mail della ricorrente sarebbe "esclusivamente dedicato ai messaggi che hanno attinenza con l'attività aziendale".

Con memoria del 16 marzo 2007, la ricorrente, nel richiamare l'attenzione su alcune incongruenze nella ricostruzione dei fatti rappresentata dalla controparte, ha ribadito le proprie richieste.

CIÒ PREMESSO, IL GARANTE OSSERVA

Il ricorso verte sul trattamento, effettuato da parte della società per cui la ricorrente ha operato quale amministratore delegato, di dati personali relativi a quest'ultima consultabili presso la casella di posta elettronica ad essa già intestata e attivata presso il dominio Internet della società.

In ordine all'ammissibilità del ricorso, va rilevato che i diritti di cui agli artt. 7 e 8 del Codice possono essere fatti valere con ricorso proposto in via d'urgenza ai sensi dell'art. 146, comma 1, del Codice quando sussiste il pericolo che il decorso del termine previsto per l'interpello preventivo di cui all'art. 8 del Codice possa esporre taluno a pregiudizio imminente ed irreparabile. Nel caso di specie, stando alla documentazione prodotta dalle parti, risultano sufficientemente provate le ragioni di urgenza presupposte dall'art. 146 del Codice. Ciò, tenuto conto che l'indirizzo di posta elettronica "XY@bluvento.it" (che reca già in sé un dato personale relativo alla ricorrente) risultava ancora attivo all'epoca della presentazione del ricorso e che, a tale data, allo stesso potevano ancora giungere anche messaggi di posta elettronica di natura personale, diretti alla ricorrente, ma ricevuti da un soggetto diverso, con possibile lesione di suoi diritti.

Ritenuto pertanto ammissibile il ricorso, lo stesso deve essere esaminato nel merito.

Rispetto alla richiesta di accedere ai dati personali contenuti nell'account "XY@bluvento.it", deve essere dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice. Ciò, tenuto conto sia del fatto che la sig.a KW, personalmente e nella sua qualità di rappresentante pro-tempore della società Bluvento s.r.l., ha dichiarato (con attestazioni della cui veridicità l'autore risponde ai sensi dell'art. 168 del Codice: "Falsità nelle dichiarazioni e notificazioni al Garante") che, allo stato, non tratta direttamente i dati personali (ivi compresi dati sensibili) relativi alla ricorrente contenuti nella mailbox "XY@bluvento.it", non avendo avuto accesso alle comunicazioni elettroniche ivi conservate, sia del fatto che, a seguito dell'avvenuta disattivazione del citato indirizzo di posta elettronica avvenuta in data 30 gennaio 2007 (come attestato anche da Mc-Link S.p.A.), i dati personali contenuti nelle citate comunicazioni non sarebbero attualmente nella disponibilità delle resistenti.

Va altresì dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice in ordine alle richieste di conoscere le finalità e le modalità del trattamento, nonché i soggetti ai quali i dati erano stati o potevano essere comunicati, dal momento che le resistenti hanno fornito al riguardo sufficienti indicazioni illustrando in particolare, seppure in modo non del tutto preciso, le modalità (e le operazioni) del trattamento effettuato con riferimento al dato personale contenuto nell'indirizzo e-mail "XY@bluvento.it", nonché le relative finalità.

Attesa poi l'avvenuta disattivazione dell'account "XY@bluvento.it" nel corso del procedimento, e rilevata l'attuale indisponibilità dei dati personali relativi alla ricorrente contenuti nella citata mailbox, va dichiarato non luogo a provvedere ai sensi dell'art. 149, comma 2, del Codice anche in ordine alla richiesta di "sospensione di tutte le operazioni di trattamento", nonché a quella di blocco e di cancellazione dei dati eventualmente trattati in violazione di legge.

Tuttavia, tenuto conto anche della richiesta dell'interessata di inibire la riattivazione dell'account "XY@bluvento.it", va rilevato che, considerate le peculiarità del sistema di server virtuale denominato Visp utilizzato da Bluvento s.r.l., risulta al momento possibile per tale società (tuttora titolare dell'abbonamento al servizio offerto da Mc-Link S.p.A.) e per il suo amministratore pro-tempore, sig.a KW (che allo stato risulta disporre delle citate credenziali per il dominio "bluvento.it" fornitele, per sua stessa dichiarazione, da Mc-Link S.p.A.) riattivare la mailbox "XY@bluvento.it" con il conseguente recupero dei precedenti messaggi di posta elettronica conservati nella stessa casella al 30 gennaio 2007 (data in cui risulta essere stata disattivata) e, con essi, di dati personali (anche sensibili) relativi alla ricorrente ivi contenuti. L'agevole e concreta possibilità di riacquisire, in tal modo, la diretta disponibilità dei dati personali in questione rende parimenti specifica l'eventualità del loro conseguente trattamento da parte delle resistenti in assenza dei presupposti di liceità del trattamento previsti dalla legge (cfr. artt. 23, 24 e 26 del Codice) e in violazione dei principi di pertinenza e non eccedenza delle informazioni personali di cui all'art. 11 del Codice (cfr. al riguardo, anche se con riferimento al rapporto di lavoro subordinato, i principi richiamati da questa Autorità nel provvedimento del 1° marzo 2007  "Lavoro: le linee guida del Garante per posta elettronica e internet" in G.U. 10 marzo 2007, n. 58, nonché in www.garanteprivacy.it, doc. web. n.  1387522). In parziale accoglimento dell'opposizione al trattamento, quale misura necessaria a tutela dei diritti della ricorrente ai sensi dell'art. 150, comma 2, del Codice, deve essere inibito alle parti resistenti, a decorrere dalla data di ricezione del presente provvedimento, di riattivare l'account "XY@bluvento.it" e di prendere comunque conoscenza del contenuto dei dati personali relativi alla persona della ricorrente contenuti nelle e-mail in esso archiviate, fuori dei casi in cui ciò sia consentito in base ad un idoneo presupposto normativo (ad esempio, prefigurando d'intesa con la ricorrente un procedimento per separare le comunicazioni societarie da quelle di tipo strettamente personale).

Sulla base della determinazione generale del 19 ottobre 2005 relativa alla misura forfettaria dell'ammontare delle spese e dei diritti da liquidare per i ricorsi, l'ammontare delle spese e dei diritti inerenti all'odierno ricorso è determinato nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso. L'ammontare di tali spese è posto a carico delle resistenti, nella misura di euro 300, previa compensazione della residua parte per giusti motivi.

PER QUESTI MOTIVI IL GARANTE

a) in ordine alla richiesta di inibire la riconfigurazione dell'account "XY@bluvento.it", quale misura necessaria a tutela dei diritti della ricorrente ai sensi dell'art. 150, comma 2, del Codice, inibisce alle parti resistenti, a decorrere dalla data di ricezione del presente provvedimento, di riattivare tale account e di prendere conoscenza del contenuto dei dati personali relativi alla ricorrente contenuti nelle e-mail in esso archiviate, in assenza di idoneo presupposto normativo;

b) dichiara non luogo a provvedere in ordine ai restanti profili;

c) determina nella misura forfettaria di euro 500, l'ammontare delle spese e dei diritti del procedimento posti, previa compensazione della residua parte per giusti motivi, nella misura di 300 euro a carico delle resistenti che dovranno liquidarli direttamente a favore della ricorrente.

Roma, 21 marzo 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli