Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Limiti al controllo sulla posta elettronica del dipendente - 2 aprile 2008 [1519703]

[doc. web n. 1519703]

Limiti al controllo sulla posta elettronica del dipendente - 2 aprile 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. n. 196/2003);

VISTO il reclamo del 19 settembre 2006 proposto ai sensi dell'art. 142 del Codice da XY nei confronti di Marsh S.p.A., concernente il trattamento dei dati personali dell'interessato contenuti nella corrispondenza elettronica intercorsa utilizzando il computer aziendale in dotazione;

ESAMINATE le ulteriori osservazioni svolte dalle parti e la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Profili oggetto del reclamo

1.1. XY ha lamentato la violazione di numerose disposizioni in materia di protezione dei dati personali da parte di Marsh S.p.A. (di seguito, la società) che non sarebbero state rispettate nell'ambito di una procedura interna volta a verificare il corretto operato del reclamante, all'epoca dei fatti amministratore delegato della società.

L'attività di verifica, attivata nei suoi confronti nel ZW a seguito di una denuncia anonima pervenuta al Chief Executive Officer della capogruppo statunitense Marsh & McLennan Companies Inc. –denuncia che avanzava sospetti di comportamenti illeciti (taluni dei quali penalmente rilevanti) nei confronti del management italiano dell'azienda–, sarebbe stata condotta dalla società e da un apposito team investigativo esterno (nel quale figura, in particolare, Kroll Ontrack GmbH, società di investigazione tedesca) quantomeno fino al ZK, data in cui il reclamante ha rassegnato le proprie dimissioni.

1.2. Tra le operazioni effettuate nel corso dell'indagine e contestate dall'interessato con il reclamo del 19 settembre 2006 e con la successiva nota di osservazioni del 24 settembre 2007 (in atti) figura, in particolare, l'acquisizione, previa consegna del computer aziendale, della corrispondenza estratta dall'account di posta elettronica, corrispondenza contenente anche, a detta del reclamante, informazioni comuni e sensibili a sé riferite.

Il reclamante, a sostegno delle proprie ragioni, espone che:

  • l'indirizzo di posta elettronica aziendale "poteva essere liberamente utilizzato anche per fini personali", non avendo la società "mai adottato un regolamento interno che limitasse né tantomeno vietasse tale uso" o "emanato alcuna specifica direttiva e/o ordine di servizio in tal senso" (cfr. reclamo, cit., p. 7);
  • in assenza di una specifica policy aziendale in materia, lo scambio di corrispondenza tra l'interessato e i propri familiari, amici e conoscenti sarebbe stato, pertanto, del tutto legittimo (cfr. reclamo cit., p. 7);
  • l'acquisizione della corrispondenza da parte della società sarebbe avvenuta con modalità preordinatamente occulte (cfr. reclamo cit., pp. 7 e 12); l'acquisizione dei dati (sensibili e non) sarebbe avvenuta in assenza della prescritta informativa all'interessato (cfr. reclamo cit., pp. 7 e 9, nonché p. 11);
  • conseguentemente, i dati personali dell'interessato non sarebbero stati raccolti né "in modo lecito e secondo correttezza", né per il perseguimento di "scopi determinati, espliciti e legittimi", come previsto dall'art. 11 del Codice in materia di protezione dei dati personali (cfr. reclamo cit., p. 11);
  • gli stessi dati sarebbero stati trattati in misura eccedente e non pertinente rispetto alle finalità della raccolta, posto che l'attività investigativa espletata dalla società avrebbe interessato la corrispondenza elettronica del reclamante a far data dal 1999, "ben oltre ogni e qualsiasi finalità ipotizzabile" (cfr. reclamo cit., p. 13);
  • parimenti, le informazioni (sensibili e non) raccolte dalla società sarebbero state trattate in difetto del relativo consenso (scritto, nel caso di dati sensibili) dell'istante (cfr. reclamo cit., pp. 10 e 11); né tale consenso sarebbe desumibile dalla sottoscrizione, da parte del reclamante, del modulo di consegna del computer (trattandosi di mera ricevuta di consegna dello stesso) o dalla sottoscrizione del modulo, rilasciato alla società, per il trattamento dei dati per finalità di gestione del rapporto di lavoro (v. nota di osservazioni, cit., pp. 3-4 e 25-27);
  • limitatamente ai dati sensibili, la loro raccolta sarebbe avvenuta in mancanza della preventiva autorizzazione del Garante, non potendo trovare applicazione, nel caso di specie, l'autorizzazione generale sul trattamento dei dati sensibili nei rapporti di lavoro per difetto del requisito dell'"indispensabilità" del trattamento (cfr. reclamo cit., p. 11);
  • i predetti dati, per ammissione della stessa controparte (v. nota di osservazioni, cit., p. 5), sarebbero stati messi illegittimamente a disposizione di terzi estranei alla società e coinvolti a vario titolo nell'attività investigativa (cfr. reclamo cit., pp. 8 e 12);
  • le modalità occulte della raccolta avrebbero, infine, consentito "un controllo a distanza dell'attività lavorativa dell'esponente" in violazione dell'art. 4 della legge n. 300/1970, non essendo stato mai sottoscritto dalla società "alcun accordo sindacale né [aver] ottenut[o]a la necessaria autorizzazione amministrativa" (cfr. reclamo cit., pp. 7 e 10).

1.3. In relazione a tali circostanze, l'interessato ha chiesto a questa Autorità di:

  • ordinare alla società la cancellazione e/o distruzione dei messaggi di posta elettronica scambiati dal reclamante attraverso l'indirizzo e-mail aziendale, nonché dei dati personali in essi contenuti, compresi quelli comunicati illegittimamente ai componenti del team investigativo;
  • vietare alla società resistente di trattare ulteriormente tali dati, dichiarandone l'inutilizzabilità;
  • in ogni caso, ordinare alla società di adottare misure necessarie e/o idonee per rendere il trattamento dei dati personali del reclamante conforme alle disposizioni di legge vigenti.

A supporto delle proprie richieste l'interessato ha prodotto documentazione inerente, in particolare, all'acquisizione da parte della società della corrispondenza elettronica a sé riferita a partire dal 1999 (cfr. all. nn. 8, p. 2, 12, p. 2 e 13 al reclamo cit.), nonché all'assenza di riscontri in corso di indagine ai presunti illeciti contestati con la denuncia anonima di cui al punto 1.1. (all. nn. 13 e 14 al reclamo cit.).

2. Le deduzioni di Marsh S.p.A. 

2.1. A seguito della richiesta di informazioni e documenti rivolta da questa Autorità (cfr. comunicazione del 26 aprile 2007), la società ha fatto pervenire la propria nota di risposta del 15 giugno 2007 (in atti) contestando in fatto e in diritto quanto articolato dal reclamante e presentando un "reclamo in via riconvenzionale" nei confronti del XY, nonché un'ulteriore nota di controdeduzioni del 18 gennaio 2008 (in atti).

2.2. La società, replicando alle affermazioni di controparte, ha asserito in particolare che:

  • l'utilizzo per fini personali della posta elettronica aziendale era stato escluso espressamente dal "Manuale sulla privacy" –adeguatamente pubblicizzato nella Intranet e, comunque, distribuito a mezzo posta elettronica a tutti i dipendenti– già adottato all'epoca dei fatti (cfr. nota di risposta, cit., p. 3), il quale prescriveva, tanto nella versione del 2005 che in quelle del 2006, un "utilizzo dell'e mail [è] strettamente riservato agli scopi di business" (cfr. all. nn. 2, 3 e 4 alla nota di risposta, cit.);
  • comunque, a prescindere dall'adozione di una policy aziendale in materia, la posta elettronica è uno strumento lavorativo, come tale nella piena disponibilità del datore di lavoro (cfr. nota di risposta, cit., pp. 6 ss.);
  • conseguentemente, il reclamante, come tutti gli altri dipendenti della società, "non aveva alcun diritto alla riservatezza dei dati personali" (cfr. nota di risposta, cit., p. 8), non essendo stato autorizzato a utilizzare la casella di posta elettronica aziendale per scopi personali (cfr. nota di risposta, cit., p. 11); al contrario, trattandosi di messaggi ricevuti sull'indirizzo di posta aziendale, questi sarebbero "di esclusiva proprietà della Società e in quanto tali possono e debbono essere letti, conservati e trattati dalla Società in ogni momento" (cfr. nota di risposta, cit., p. 8);
  • pertanto, non essendo legittimo il comportamento posto in essere dal reclamante, nessun diritto questi potrebbe vantare nei confronti della società (cfr. nota di risposta, cit., p. 7);
  • in ogni caso, il controllo sull'account di posta elettronica del reclamante sarebbe avvenuto nel pieno rispetto della normativa vigente (cfr. nota di risposta, cit., pp. 3 e 11); la società non sarebbe stata tenuta ad acquisire alcun consenso dell'interessato per la raccolta dei dati, stanti i presupposti equipollenti, applicabili al caso di specie, previsti dal Codice con riferimento sia ai dati comuni (art. 24, comma 1, lett. b) ed f), sia a quelli sensibili (art. 26, comma 4, lett. c) e d) (cfr. nota cit., p. 13);
  • nel caso di specie, ricorrerebbe appunto il presupposto equipollente al consenso e attinente all'esercizio di un diritto in sede giudiziaria, posto che il controllo delle e-mail aveva, quale scopo proprio, quello di accertare eventuali illeciti commessi (cfr. nota di risposta, cit., p. 15); ne consegue che il consenso del dipendente "non può e non deve essere necessario nel momento in cui il datore di lavoro, come nel caso di specie, raccolga e tratti i suoi dati personali, anche sensibili, nell'ambito di una più ampia attività volta ad accertare e prevenire la commissione di reati" (cfr. nota di risposta, cit., p. 16);
  • il consenso non era necessario anche alla luce della necessità, quale datore di lavoro, di "adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro" (art. 26, comma 4, lett. d), del Codice). Tale disposizione, che secondo la società andrebbe considerata unitamente all'art. 3 dell'autorizzazione generale sul trattamento dei dati sensibili nei rapporti di lavoro –che ammette l'utilizzo di tali dati senza il consenso dell'interessato anche per "esigere" l'adempimento dei predetti obblighi o compiti (p. 3, lett. a)–, consentirebbe al datore di lavoro di "trattare lecitamente i dati (anche sensibili) sempre senza il consenso del dipendente quando ciò si renda necessario al fine di accertare eventuali inadempimenti agli obblighi previsti dagli artt. 2104 e 2105 c.c. ed alle specifiche obbligazioni inerenti il rapporto di lavoro" (cfr. nota di risposta, cit., p. 13);
  • anche ammettendo che fosse stato necessario un consenso dell'interessato per la raccolta dei dati personali, detto consenso sarebbe stato espressamente manifestato, nel caso di specie, in sede di sottoscrizione del modulo di consegna del computer aziendale (cfr. nota cit., p. 17; cfr. altresì nota di controdeduzioni, cit., p. 10) e, comunque, al momento dell'assunzione presso la società, momento in cui sarebbe stata resa all'istante anche la dovuta informativa (cfr. nota di risposta, cit., p. 18, e nota di controdeduzioni, cit., p. 8);
  • in ogni caso, il reclamante sarebbe stato "perfettamente a conoscenza dello scopo, delle modalità, dell'identità del titolare del trattamento dei dati che sarebbero stati raccolti nel corso dell'investigazione", avendo fattivamente collaborato nell'attività di investigazione (cfr. nota di risposta, cit., p. 18);
  • il controllo in questione sarebbe stato quindi lecito ed effettuato secondo correttezza; ciò, a maggior ragione, se si considera che lo stesso sarebbe stato espletato in adempimento di specifici obblighi previsti sia dalla legislazione americana –che impone alle aziende accertamenti di tal specie in relazione a presunti illeciti penali commessi dal top management (Sarbanes Oxley Act–Sox) (cfr. nota di risposta, cit., pp. 16 e 17)–, sia dalla legislazione italiana, che prevede sanzioni per le imprese che non vigilino sull'osservanza di modelli organizzativi volti a prevenire la commissione di specifici reati da parte degli stessi vertici aziendali (d.lg. n. 231/2001);
  • il trattamento dei dati in questione, comunque, non sarebbe sproporzionato rispetto alle finalità perseguite, considerato che la società non avrebbe "fatto alcun uso, né [ha] diffuso, né [ha] utilizzato tali dati per recedere dai rapporti in essere con il reclamante" (cfr. nota di risposta, cit., p. 17; v. altresì la nota di controdeduzioni, cit., p. 2);
  • ad ogni modo, nessun dato del reclamante sarebbe stato mai trattato da terzi, ad eccezione del Project Manager della società esterna cui era stata affidata l'attività investigativa (cfr. nota di risposta, cit., p. 5);
  • peraltro, nella sua veste di amministratore delegato e, quindi, di "titolare" del trattamento dei dati personali svolto presso la società, sarebbe stato comunque onere dello stesso reclamante "verificare che le operazioni di trattamento di dati, effettuate nel corso dell'investigazione successiva alla denuncia anonima del 6 novembre 2005, si svolgessero nel pieno rispetto della normativa a tutela della privacy" (cfr. nota di controdeduzioni, cit., p. 4);
    o il controllo delle e-mail, infine, non sarebbe avvenuto in violazione dei princìpi dell'art. 4 dello Statuto dei lavoratori posto che il datore di lavoro, alla luce di un recente orientamento giurisprudenziale, sarebbe "titolare di un diritto soggettivo di esercitare un controllo sui dipendenti che non trova limite alcuno nel caso in cui tale controllo sia diretto ad accertare/prevenire condotte illecite del dipendente" (cfr. nota di risposta, cit., pp. 22 e 23).

2.3. In via "riconvenzionale", essendo pendente un ricorso presso il Tribunale di Milano (r.g. n. 8865/2006) per l'accertamento e la declaratoria della giusta causa di dimissioni dal rapporto di lavoro dirigenziale da parte del reclamante, Marsh S.p.A. ha contestato, in particolare, la produzione in tale giudizio di documenti contenenti dati personali di terzi (nonché della medesima società), come pure di un documento aziendale, ritenuto riservato, relativo a una riunione del Comitato di direzione dell'azienda del 22 marzo 2006. Analoghe contestazioni sono state rivolte in relazione al presente procedimento, visti gli elementi documentali prodotti da controparte e menzionati al punto 1.3. (cfr. nota di risposta, cit., pp. 23 e 24).

2.4. In conclusione Marsh S.p.A. ha chiesto a questa Autorità, in particolare:

  • la sospensione del procedimento innanzi all'Autorità, previa valutazione del rapporto di connessione e pregiudizialità con il giudizio pendente innanzi al Tribunale di Milano;
  • il rigetto nel merito del reclamo;
  • in via riconvenzionale, il blocco del trattamento in relazione ai dati contenuti nei documenti di cui al punto 2.3.

3. Profili procedurali e titolarità del trattamento
3.1. Il reclamo verte sul trattamento di dati personali contenuti nella corrispondenza elettronica estratta dal computer aziendale del già amministratore delegato di Marsh S.p.A., trattamento che sarebbe avvenuto nell'ambito di un'attività investigativa condotta da una società stabilita nella Repubblica federale tedesca, volta a verificare il corretto operato del reclamante a seguito di una denuncia anonima pervenuta al Ceo della capogruppo statunitense.

Senza entrare nel merito di questioni non attinenti ai profili di protezione dei dati, va rilevato preliminarmente quanto segue.

3.2. Non è fondata la richiesta di Marsh S.p.A. di sospendere il presente procedimento in ragione dell'asserita sussistenza di una connessione pregiudiziale con il procedimento giudiziario pendente presso il Tribunale di Milano (r.g. n. 8865/2006) tra la società ed il reclamante per l'accertamento e la declaratoria della giusta causa di dimissioni dal rapporto di lavoro dirigenziale del reclamante medesimo.
Il principio di alternatività tra azione giudiziaria e tutela amministrativa innanzi al Garante è contemplato nella sola ipotesi della presentazione di un ricorso avanti al Garante ai sensi dell'art. 145 del Codice (e non anche in relazione al diverso procedimento attivato a seguito di reclamo, per il quale il Codice non attribuisce al Garante alcun potere di valutazione in ordine all'asserito rapporto di connessione e pregiudizialità con procedimenti giurisdizionali pendenti).

Inoltre, per quanto concerne il "reclamo in via riconvenzionale" presentato da Marsh S.p.A. –volto a contestare la legittimità dell'utilizzo nel suddetto procedimento giudiziario di alcuni documenti contenenti informazioni riconducibili a terzi e alla medesima società–, premesso che tale forma di tutela non è prevista dalla vigente disciplina di protezione dei dati, è da evidenziare, in proposito, che non compete a questa Autorità stabilire la validità, efficacia ed utilizzabilità degli atti e dei documenti prodotti in un giudizio e basati su un trattamento di dati personali (eventualmente) non conforme a disposizione di legge o di regolamento: tale valutazione, infatti, è demandata dalla legge alla stessa autorità giudiziaria presso la quale pende il giudizio (art. 160, comma 6, del Codice). Deve altresì rilevarsi che, in base all'art. 5, comma 3, del Codice, l'utilizzo di documentazione contestato al reclamante non integra un trattamento di dati personali cui trovi applicazione la disciplina di protezione dei dati personali.

3.3. Marsh S.p.A. sostiene che il reclamante, in qualità di amministratore delegato della società, sarebbe stato al contempo anche il titolare del trattamento dei dati personali (cfr. nota di risposta, cit., p. 2). Conseguentemente, sarebbe stato suo preciso compito "verificare che le operazioni di trattamento di dati, effettuate nel corso dell'investigazione successiva alla denuncia anonima del 6 novembre 2005, si svolgessero nel pieno rispetto della normativa a tutela della privacy" (cfr. nota di controdeduzioni, cit., p. 4).
In proposito, si rappresenta che l'art. 28 del Codice prevede espressamente che, in caso di trattamenti effettuati da persone giuridiche, "titolare del trattamento è l'entità nel suo complesso" e non già la singola persona fisica ancorché rappresentante legale dell'ente (nello stesso senso, le numerose pronunce del Garante in argomento: cfr. Parere 9 dicembre 1997, in Boll. n. 2/1997, doc. web n. 
30915; v. anche Boll. n. 5/1998, doc. web n. 41794; Boll. n. 6/1998, doc. web n. 41862). Contrariamente a quanto sostenuto dalla società, quindi, titolare del trattamento, nel caso di specie, è da ritenersi Marsh S.p.A. e non il reclamante.

4. Nel merito

4.1. Quanto al merito della vicenda, l'avvenuto scambio di corrispondenza elettronica tra il reclamante e soggetti esterni (siano o meno essi estranei all'attività lavorativa) configura un'operazione idonea a rendere conoscibili talune informazioni personali relative all'interessato (si pensi, anche a prescindere dal contenuto della corrispondenza, al solo trattamento dei nominativi dei mittenti e/o dei destinatari delle e-mail, già di per sé stessi in grado di fornire, come i dati di traffico telefonico, indicazioni rilevanti in ordine ai contatti in essere dello stesso reclamante e, quindi, essere considerati dati personali ad esso relativi). In questi termini, le descritte operazioni effettuate da Marsh S.p.A. con la corrispondenza elettronica del reclamante –comprovate, in particolare, dall'all. n. 12 al reclamo, cit., pp. 2, 3 e 4– integrano già, per sé sole, un trattamento di dati personali ai sensi dell'art. 4, comma 1, lett. a), del Codice.
Tale raccolta, alla luce della documentazione trasmessa e delle osservazioni rese dalle parti, non risulta essere avvenuta, nei termini a breve indicati, in conformità alla vigente disciplina di protezione dei dati. Nessuna prova è stata invece fornita dal reclamante in ordine all'effettiva acquisizione, da parte della società, di dati sensibili a lui riferiti; limitatamente a tale profilo, pertanto, non è dato allo stato ravvisare elementi che giustifichino un intervento al riguardo da parte di questa Autorità.

5. Liceità e correttezza del trattamento

5.1. In conformità all'art. 11, comma 1, lett. a) del Codice, i dati personali oggetto di trattamento devono essere trattati secondo liceità e correttezza.
In particolare, il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (in tal senso v., di recente, Corte europea dei diritti dell'uomo, Copland v. U.K., 3 aprile 2007, punti 42 e 44 in particolare; v. già Corte europea dei diritti dell'uomo, Halford v. U.K., 25 giugno 1997, punto 44). Applicato al caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli in ordine all'utilizzo degli strumenti aziendali in dotazione ai lavoratori (v. anche, a tal proposito, le Linee guida del Garante per posta elettronica ed internet del 
1° marzo 2007, punto 3.1).
Dalla documentazione in atti non risulta che il reclamante sia stato reso edotto dalla società della possibilità di controlli sulla casella di posta elettronica da lui utilizzata, posto che i "Manuali sulla privacy" prodotti da Marsh S.p.A. (nelle sue molteplici versioni: cfr. all. nn. 2, 3 e 4 alla nota di risposta, cit.), non effettuano richiami a tale eventualità, limitandosi ad affermare che "l'utilizzo dell'e-mail è strettamente riservato agli scopi di business" (in senso analogo, v. Provv. 18 maggio 2006, doc. web n. 
1299082).

5.2. Ulteriore profilo di violazione dei princìpi sopra richiamati è ravvisabile, inoltre, con riferimento alle modalità del trattamento.

Secondo quanto asserito dal reclamante (v. reclamo, cit., pp. 7, 8 e 12; v. altresì la nota di osservazioni, cit., p. 23), Marsh S.p.A. avrebbe raccolto dati personali a lui riferiti "in modo preordinatamente occulto". Tali affermazioni sono comprovate dalla documentazione in atti, dalla quale si evince che la società ha trattato effettivamente informazioni personali del reclamante con modalità intenzionalmente non dichiarate (v. all. n. 8 al reclamo, cit., p. 2, nel quale il XY afferma di essere stato messo al corrente in via confidenziale da un collaboratore del fatto che "la società di investigazioni Kroll […] era entrata in possesso di una copia di tutti i […] messaggi di posta elettronica a partire dal 1999"; cfr. altresì all. n. 14 al reclamo, cit., nel quale l'allora presidente di Marsh, in una lettera indirizzata al vice-presidente dell'epoca, riconosce che "i dipendenti del CED hanno ricevuto tassativa disposizione di non comunicare l'avvenuta consegna di tutta la corrispondenza personale del Top Management").
Da ultimo, con riferimento all'osservanza delle normative di settore (presupposto anch'esso rilevante per la liceità e correttezza del trattamento), occorre rilevare che non risulta acquisita agli atti documentazione comprovante l'avvenuto espletamento, da parte di Marsh S.p.A., delle procedure previste dall'art. 4 dello statuto dei lavoratori per il controllo a distanza dell'attività lavorativa, ipotesi che nel caso di specie deve ritenersi sussistente ben potendosi, a distanza di tempo, mediante l'elaborazione da parte del team investigativo della Kroll delle informazioni desumibili dall'invio della corrispondenza (anzitutto esaminandone la cronologia), effettuarsi un controllo dell'attività lavorativa effettuata dal reclamante.
Informativa
5.3. Secondo le asserzioni del reclamante (v. reclamo, cit., p. 9), Marsh S.p.A. avrebbe raccolto dati personali a lui riferiti in assenza della prescritta informativa (art. 13 del Codice).
Per confutare la tesi avversaria la società ha depositato in atti (v. all. n. 13 alla nota di risposta, cit.) la dichiarazione di consenso manifestato dall'interessato in ordine al trattamento dei dati personali, consenso che sarebbe stato prestato a seguito dell'apposita informativa resa dalla società al reclamante per finalità di gestione del rapporto di lavoro in generale (v. nota di risposta, cit., pp. 17 e 18; v. altresì nota di controdeduzioni, cit., pp. 8 e 9).
Giova rilevare, al riguardo, che il Codice in materia di protezione dei dati personali considera valido il consenso solo se questo è manifestato in relazione a un trattamento "chiaramente" individuato (art. 23, comma 3). Dalle risultanze istruttorie non risultano invece, elementi atti a comprovare la puntuale conoscenza, da parte dell'interessato, delle finalità e modalità della raccolta della corrispondenza a lui riferita (al contrario, risulta, come detto, che la corrispondenza è stata acquisita all'insaputa del reclamante: cfr. all. n. 14 al reclamo, cit.); né, è stata fornita in proposito dalla società adeguata e pertinente documentazione: tale non è il documento controfirmato dal reclamante in sede di consegna del computer per finalità di copia dell'hard disk, trattandosi appunto di documento attestante, per finalità di trasparenza, la sola "chain of custody" (catena di custodia), cioè il passaggio di consegne dello strumento, senza nessuna indicazione circa le eventuali operazioni di trattamento che si sarebbero potute effettuare sulle informazioni contenute nell'hard disk stesso, diverse dalla mera conservazione per un eventuale successivo uso giudiziario.
Ne consegue che, allo stato, il consenso prestato dal reclamante per finalità di gestione del rapporto di lavoro non può essere ritenuto riferibile anche al trattamento in esame; né, peraltro, risulta provato che l'interessato sia stato effettivamente informato in ordine all'acquisizione delle e-mail a lui relative.
A tale ultimo proposito, va rilevato che questa Autorità si è espressa più volte sulla necessità di informare "chiaramente" gli interessati in ordine alla possibilità (nonché alle finalità e modalità) di controlli preordinati alla verifica del corretto utilizzo degli strumenti aziendali (cfr. Provv. del 2 febbraio 2006, doc. web n. 
1229854; Provv. 18 maggio 2006, cit.; da ultimo, v. le citate Linee guida su internet e posta elettronica); sì che, anche nel caso di specie, l'omessa informativa da parte della società non può che riverberare i propri effetti in termini di liceità del trattamento.
Comunicazione a terzi

5.4. Le risultanze istruttorie hanno confermato, anche per la stessa ammissione di Marsh S.p.A. (secondo cui "nessuna persona al di fuori del Project Manager di Kroll […] ha avuto accesso ai dati raccolti" v. nota di risposta, cit., p. 5), che la società avrebbe comunicato a terzi (nel dettaglio, appunto, il Project Manager di Kroll) dati personali riferiti al reclamante.
Non risulta rispondente a quanto accaduto, quindi, il fatto che la società non avrebbe utilizzato in alcun modo dati personali del reclamante successivamente alla loro raccolta (cfr. dichiarazioni rese da Marsh S.p.A. nella nota di risposta, cit., pp. 3 e 17 e nella nota di controdeduzioni, cit., p. 2).
La predetta comunicazione, in assenza di elementi comprovanti il contrario, non risulta essere stata effettuata in presenza della prescritta informativa all'interessato: essa non è certamente desumibile dall'all. n. 22 alla nota di osservazioni, cit., atteso che l'informativa resa per finalità di gestione del rapporto di lavoro in generale –peraltro inconferente, come visto, rispetto al profilo dei controlli sugli strumenti aziendali e della connessa acquisizione delle e-mail da parte di Marsh S.p.A.– non fa alcun riferimento alla comunicazione a soggetti diversi da quelli specificamente individuati nella medesima.
Né, risulta essere stata prodotta da Marsh S.p.A., ancorché espressamente richiesta e sollecitata da questa Autorità (v. note DREP/SK/VP/49758-4 del 30 novembre 2007, n. prot. 20023 e DREP/SK/VP/49758-6 del 22 febbraio 2008, n. prot. 4817), alcuna documentazione attestante l'incarico conferito a Kroll, onde valutarne l'eventuale designazione a responsabile del trattamento. Non è stata altresì provata l'esistenza di un diverso presupposto di liceità del trattamento, ai sensi degli art. 23 e 24 del Codice, per la comunicazione dei dati personali del reclamante a Kroll. Ne deriva che, allo stato degli atti, la predetta comunicazione non risulta essere avvenuta in conformità alle relative disposizioni del Codice.

TUTTO CIÓ CONSIDERATO IL GARANTE

dispone nei confronti di Marsh S.p.A., ai sensi dell'art. 154, comma 1, lett. d), del Codice, il divieto, per le ragioni di cui in motivazione, dell'ulteriore trattamento dei dati personali riferiti all'interessato contenuti nella corrispondenza estratta dall'account della casella di posta elettronica all'epoca in dotazione al reclamante, salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all'art. 160, comma 6 del Codice.

Roma, 2 aprile 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli