Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Provvedimento del 4 giugno 2015 [4211000]

[doc. web n. 4211000]

Provvedimento del 4 giugno 2015

Registro dei provvedimenti
n. 345 del 4 giugno 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 27 febbraio 2015 nei confronti di Zordan Logistica S.r.l. con cui XY, in qualità di ex dipendente della società resistente, rappresentata e difesa dagli avv.ti Laura Ottolini e Virginia Bonfante, ha chiesto, ribadendo le istanze già avanzate ai sensi degli artt. 7 e 8 d.lgs. n. 196 del 30 giugno 2003, Codice in materia di protezione dei dati personali (di seguito "Codice"), la cancellazione, la trasformazione in forma anonima o il blocco dei dati personali che la riguardano "riportati nella lettera di contestazione disciplinare consegnata a mani della dipendente in data 03.09.2014 nonché nella lettera di licenziamento ricevuta in data 22.09.2014, siccome trattati in violazione di legge"; la ricorrente, che nell'ambito dell'organizzazione aziendale si occupava della "gestione dei rapporti con i clienti/fornitori esteri, in particolare russi ed ucraini", ha in particolare eccepito che i predetti dati, riferiti a conversazioni avute dalla medesima, nelle giornate del 12 e del 13 agosto 2014, con alcuni "partnership stranieri" del datore di lavoro mediante l'utilizzo del software Skype installato sul computer assegnatole in dotazione per lo svolgimento delle proprie mansioni, sarebbero stati acquisiti illegittimamente dalla resistente in quanto l'interessata non sarebbe mai stata informata "in ordine ai mezzi ed alle procedure utilizzate dal datore di lavoro per il controllo del p.c. aziendale", che quindi sarebbe avvenuto in modo occulto, e contestando altresì che parte delle conversazioni allegate a fondamento del licenziamento sarebbero state in realtà "effettuate (…) dalla ricorrente successivamente all'uscita dall'azienda direttamente da casa (su un diverso p.c.) tramite un diverso account Skype, privato, con profilo personale";

VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 4 marzo 2015 con la quale questa Autorità, ai sensi dell'art. 149 comma 1 del Codice, ha invitato la società resistente a fornire riscontro alle richieste dell'interessata, il verbale dell'audizione svoltasi presso la sede dell'Autorità in data 23 marzo 2015, nonché la nota del 23 aprile 2015 con cui, ai sensi dell'art. 149 comma 7, è stata disposta la proroga del termine per la decisione sul ricorso;

VISTA la nota del 19 marzo 2015 con cui la società resistente, rappresentata e difesa dall'avv. Francesca Consolati, nel contestare quanto affermato dalla ricorrente, ha eccepito di aver acquisito legittimamente i dati di cui è stata invocata la cancellazione in quanto la dipendente, il giorno 12 agosto 2014, sarebbe uscita dall'azienda per iniziare un periodo di ferie anticipate dovuto ad una situazione di tensione venutasi a creare tra le parti, lasciando acceso il proprio computer portatile con il monitor in funzione e con l'icona di Skype ancora attiva con una serie di conversazioni in atto; il rappresentante legale della società, sig. Ivano Zordan, "passando alla postazione della ricorrente per verificare a che punto fosse il lavoro svolto dalla stessa e appurare se avesse lasciato eventuali appunti (…)" successivamente all'uscita dall'azienda, avrebbe pertanto rilevato tale dimenticanza, prendendo altresì casualmente cognizione del contenuto di conversazioni, lesive della reputazione dell'azienda e dello stesso rappresentante legale, intrattenute dalla medesima tramite Skype con corrispondenti stranieri della società utilizzando come nome utente "..., zordan logistica"; il datore di lavoro, "allarmato dalla situazione e rendendosi conto che la propria azienda poteva subire pregiudizi dal comportamento tenuto dalla dipendente", prese dunque contatti con la società addetta alla manutenzione straordinaria dei sistemi chiedendo alla stessa, "onde cercare di tamponare "la fuga di notizie"", di modificare la password di accesso al computer al fine di impedire alla ricorrente "di accedere anche dall'esterno ai dati aziendali" e rilevando tuttavia che l'opera denigratoria a suo danno era proseguita anche dopo l'allontanamento della medesima dall'azienda tenuto conto del fatto che le conversazioni Skype ripresero "alle ore 13.57 (la sig.ra XY evidentemente utilizzava lo stesso profilo (…) sia a casa che in azienda) e ciò che scriveva, veniva contemporaneamente visualizzato sullo schermo del pc aziendale a lei in uso e, simultaneamente, letto dal legale rappresentante" e dall'amministratore di sistema; la società resistente ha inoltre comunicato di aver, in ragione di ciò, tenuto acceso il computer della dipendente "per tutta la notte e il giorno successivo (13.8.2014) sino alle ore 16.40 allorquando, evidentemente, la dipendente cambiava la pw d'accesso al profilo Skype", dichiarando altresì di aver provveduto, prima di tale momento, a far installare sul medesimo computer un programma (SkypeLog View V1.52) che consentiva la visualizzazione "delle conversazioni temporanee che sono transitate (…) sul pc aziendale" fino al successivo verificarsi del cambio di password, provvedendo, nei giorni successivi, a stamparle e far tradurre quelle formulate in  lingua straniera;

VISTE le note del 23 e del 31 marzo 2015 con cui l'interessata ha rilevato come emerga con evidenza, nel riscontro fornito dal datore di lavoro, l'illiceità delle modalità adottate da quest'ultimo per la raccolta dei dati relativi ad alcune conversazioni Skype intrattenute dalla dipendente, essendo stata, tale attività, effettuata mediante l'installazione di un apposito programma sul computer  portatile assegnato in uso alla stessa ed utilizzato per "visualizzare in tempo reale le conversazioni effettuate dalla ricorrente, una volta rincasata, sul proprio profilo Skype personale"; la ricorrente, nel ribadire di aver provveduto a disconnettere l'applicazione Skype presente sul computer aziendale prima di lasciare il posto di lavoro, ha inoltre contestato quanto affermato dalla resistente in ordine al presunto utilizzo da parte sua di un unico profilo "sia a casa che in azienda", producendo a tale riguardo "tabulati di conversazioni (…) dai quali si evince" come la stessa, una volta rincasata, "avesse utilizzato un diverso profilo, con nome utente "XX.", anziché YY""; la ricorrente ha altresì eccepito come la condotta posta in essere dal datore di lavoro è in contrasto sia con le disposizioni contenute nella policy aziendale adottata dalla società in materia, sia con la specifica autorizzazione rilasciata in merito all'azienda dal Servizio Ispettivo della Direzione Territoriale del Lavoro di Verona che espressamente esclude, tra l'altro, "l'utilizzo di strumenti informatici quale presupposto per l'adozione di forme di controllo (…) ovvero di misure disciplinari ai dipendenti" che, invece, nel caso specifico sono stati volutamente impiegati per estrapolare illecitamente dati posti poi a fondamento del "più grave tra i provvedimenti disciplinari, ossia il licenziamento per giustificato motivo soggettivo";

VISTA la nota del 7 aprile 2015 con cui la società resistente ha precisato di non aver posto in essere alcuna attività di controllo preventivo tenuto conto del fatto che la ricorrente, il giorno in cui ebbe inizio il periodo di ferie anticipate, abbandonò il posto di lavoro lasciando il proprio computer acceso "con l'icona Skype in evidenza" rendendo quindi facilmente acquisibile il contenuto delle comunicazioni intercorse tra la stessa ed i clienti stranieri; il titolare del trattamento, nel confermare di aver provveduto ad installare sul computer in uso alla dipendente il programma SkypeLog View solo il pomeriggio del giorno 13.08.2014, ovvero dopo aver preso conoscenza dell'inoltro di comunicazioni denigratorie a soggetti esterni all'azienda iniziato "nella tarda mattinata del 12.08.2014", ha rilevato che "l'intento della Zordan è stato solo quello di documentare quanto posto in essere dalla lavoratrice e non certo (…) di controllare la stessa",  indicando quindi a tal fine, come data d'avvio del processo di visualizzazione, quella dell'ultimo giorno di lavoro della dipendente ossia il 12.08.2014; la resistente, nel rappresentare di non aver attuato alcuna interferenza nelle altrui comunicazioni tenuto conto del fatto che la funzione del programma installato non sarebbe quella di controllare i contenuti, ma di impaginare cronologicamente i messaggi, ha pertanto eccepito che tale condotta non possa ritenersi in via di principio vietata in quanto l'accesso alla corrispondenza telematica della dipendente sarebbe avvenuta non per verificare la corretta esecuzione della prestazione lavorativa, "ma a seguito dell'emersione di elementi di fatto tali da raccomandare l'avvio di una indagine retrospettiva" rivelatrice di violazioni gravi tali da giustificare il licenziamento per giusta causa soggettiva;

VISTA la nota del 7 maggio 2015 con cui la ricorrente ha rilevato che, a prescindere dalla qualificazione tecnica fornita dal titolare del trattamento, "nelle giornate del 12 e 13 agosto 2014 la Zordan Logistica S.r.l. ha posto in essere una verifica occulta, prolungata e sistematica delle conversazioni effettuate dalla ricorrente attraverso il p.c. concessole in uso ed ha quindi utilizzato, per più di un mese dopo, i dati raccolti (…) per suffragare un licenziamento disciplinare"; né peraltro la legittimità della raccolta dei predetti dati risulterebbe giustificabile sulla base delle indicazioni contenute nella policy aziendale tenuto conto del fatto che "le specifiche disposizioni (…) non sono state in alcun modo osservate"; la ricorrente ha contestato altresì quanto affermato dal titolare del trattamento in ordine all'unicità del profilo Skype impiegato  il cui utilizzo non avrebbe infatti richiesto l'installazione di un apposito programma "per poter visualizzare le conversazioni effettuate in tempo reale dalla ricorrente";

RILEVATO che, pur spettando al datore di lavoro la definizione delle modalità di corretto utilizzo degli strumenti di lavoro, occorre comunque, nell'esercizio di tale prerogativa, rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11 comma 1 del Codice, tenuto conto del fatto che ciò può determinare il trattamento di informazioni personali, anche non pertinenti o di dati di carattere sensibile; rilevato che, nel caso di specie, ciò è reso ancora più evidente dal fatto che i dati raccolti riguardano comunicazioni telematiche in parte avvenute anche al di fuori dell'ambito lavorativo quando la ricorrente, collocata in ferie, si trovava già presso il proprio domicilio privato;

RILEVATO altresì che, in generale, secondo quanto espressamente enunciato anche nel provvedimento contenente le "Linee guida del Garante per posta elettronica e Internet" (adottato dall'Autorità il 1° marzo 2007 e pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007), il contenuto di comunicazioni di tipo elettronico e/o telematico scambiate dal dipendente nell'ambito del rapporto di lavoro sono assistite da garanzie di segretezza tutelate anche a livello costituzionale "la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali" (punto 5.2 lett. b)); ciò comporta la necessità che l'eventuale trattamento dei dati riferiti a comunicazioni di posta elettronica o assimilabili, inviate e ricevute dal dipendente nello svolgimento dell'attività lavorativa, debba essere garantito da un elevato livello di tutela atto ad impedire, in un'ottica di bilanciamento con i contrapposti interessi del datore di lavoro e in attuazione dei principi di necessità, correttezza, pertinenza e non eccedenza, "un'interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata"; rilevato che nel caso di specie l'interferenza nelle comunicazioni, per pacifica ammissione del datore di lavoro, risulta essere stata attuata attraverso la configurazione sul computer  aziendale assegnato alla dipendente, peraltro assente per essere stata collocata in ferie, di un apposito programma atto a visualizzare sia le conversazioni Skype effettuate dalla ricorrente dalla propria postazione di lavoro prima di lasciare la sede aziendale che le conversazioni avvenute successivamente a tale momento tra l'interessata e soggetti terzi attraverso un computer collocato presso l'abitazione della stessa;

RILEVATO pertanto che l'attività di raccolta posta in essere dal datore di lavoro, riguardando in parte comunicazioni avvenute nel corso di svolgimento delle mansioni della lavoratrice che comunicazioni effettuate dalla ricorrente al di fuori di esse, risulta essere stata posta in essere con modalità che si pongono in evidente contrasto sia con le "Linee guida del Garante per posta elettronica e Internet", nonché con la stessa policy aziendale adottata a riguardo dal titolare del trattamento e specificamente approvata negli stessi termini dalla Direzione Territoriale del Lavoro di Verona, che con le disposizioni più generalmente poste dall'ordinamento a tutela della segretezza delle comunicazioni (v. art. 15 Cost. e artt. 616 ss. c.p.);

RITENUTO pertanto, alla luce di quanto sopra esposto, di dover accogliere il ricorso e di dover, per l'effetto, ordinare alla società resistente, con effetto immediato dalla data di ricezione del presente provvedimento, di non effettuare alcun ulteriore trattamento dei dati personali relativi alle conversazioni Skype avvenute tra la ricorrente e soggetti terzi nelle giornate del 12 e del 13 agosto 2014, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell'autorità giudiziaria;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

• accoglie il ricorso proposto e, per l'effetto, ordina a Zordan Logistica S.r.l. con effetto immediato dalla data di ricezione del presente provvedimento, di non effettuare alcun ulteriore trattamento dei dati personali relativi alle conversazioni Skype avvenute tra la ricorrente e soggetti terzi nelle giornate del 12 e del 13 agosto 2014, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell'autorità giudiziaria.

Il Garante, nel chiedere a Zordan Logistica S.r.l., ai sensi dell'art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso, ricorda che l'inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell'art. 170 del Codice. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 4 giugno 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia