[doc. web n. 5867780]

Provvedimento del 12 ottobre 2016

Registro dei provvedimenti
n. 419 del 12 ottobre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 20 maggio 2016 da XY, rappresentata e difesa dall´avv. Carlo De Marchis, nei confronti della KW, con il quale la ricorrente – dipendente della resistente sino al gennaio 2016 – ribadendo le istanze già avanzate ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), ha chiesto:

il blocco e la cancellazione dei dati inerenti "la catalogazione e la conservazione dei dati acquisiti, dei siti e dei tracciati addebitati estrapolati dalla cronologia del browser internet presente sul pc utilizzato" dalla medesima per lo svolgimento della propria attività lavorativa, nonché "dei dati della propria casella postale";

la liquidazione in proprio favore delle spese sostenute per il procedimento;

CONSIDERATO che l´interessata ha eccepito, in particolare, l´illiceità delle modalità di acquisizione da parte del datore di lavoro dei dati oggetto della richiesta di cancellazione – successivamente utilizzati a fondamento della contestazione disciplinare che ha condotto al licenziamento della medesima – rilevando che:

la resistente, con il dichiarato fine di individuare la postazione informatica affetta da un virus, poi propagatosi nella rete aziendale, avrebbe "esaminato e conservato la cronologia di navigazione memorizzata nel browser Google Chrome installato sul pc (…) utilizzato [dall´interessata] relativamente al periodo dal 16 ottobre al 16 novembre 2015", prendendo così diretta conoscenza dei siti "asseritamente" visitati dalla medesima;

i dati in tal modo acquisiti riguarderebbero, in realtà, anche risultati di navigazione riferiti a periodi temporali non compatibili con l´ordinario orario di lavoro, tenuto conto del fatto che "la sincronicità del browser di ricerca accomuna in un´unica cronologia tutti i tablet, smartphone, PC ed apparati contenenti l´account della ricorrente, anche ad uso privato", come dimostrato dal fatto che "nella contestazione (…) risultano persino indicate navigazioni "notturne"" effettuate dalla medesima;

il datore di lavoro non avrebbe fornito alla dipendente alcuna informativa in ordine alle modalità di utilizzo degli strumenti di navigazione in rete, né avrebbe altrimenti ottenuto il suo consenso in relazione all´acquisizione dei dati in tal modo originati;

il trattamento effettuato, riferito ad un intervallo temporale del tutto ingiustificato ed in assenza dell´adozione di meccanismi di cancellazione automatica delle informazioni in tal modo acquisite, si porrebbe palesemente in contrasto con i principi previsti dalla normativa in materia di protezione dei dati personali, risultando peraltro idoneo "a determinare una profilatura dell´istante [anche] in ordine a dati sensibili, quali lo stato di salute", desumibili da alcuni risultati di navigazione conservati nella predetta cronologia;

VISTI gli ulteriori atti d´ufficio e, in particolare, a) la nota del 14 giugno 2016 con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste della ricorrente, b) il verbale dell´audizione svoltasi presso la sede dell´Autorità in data 7 luglio 2016, nonché c) la  nota del 15 luglio 2016 con la quale è stata disposta, ai sensi dell´art. 149, comma 7, del Codice, la proroga del termine per la decisione sul ricorso;

VISTE le note del 24 e del 28 giugno 2016 con le quali la resistente, rappresentata e difesa dall´avv. Luca Bolognini, ha rappresentato quanto segue:

in data 17 novembre 2015, a seguito dell´avvenuta propagazione di un virus all´interno della rete aziendale che, oltre "a criptare i dati del disco fisso della macchina infetta" causava "la distruzione dei file presenti su un considerevole numero di dischi", ha proceduto ad una verifica dei "client on line" al fine di individuare la postazione interessata dal problema, funzionale "alla disattivazione della relativa scheda network";

all´esito della predetta verifica, l´origine dell´infezione è stata individuata nel computer assegnato alla ricorrente, come confermato dalla successiva analisi del disco locale – finalizzata alla rimozione del virus ed al ripristino del funzionamento della macchina – la quale avrebbe dimostrato che l´alterazione del sistema sarebbe conseguita all´"apertura di un allegato scaricato, o di un link raggiunto, attraverso l´account di posta privata della dipendente";

in tale occasione sarebbe emerso che, nel periodo immediatamente antecedente al prodursi dell´evento, si sarebbe verificato, a partire dalla postazione assegnata alla dipendente, "un notevole numero di accessi a sistemi di posta elettronica privata, tramite webaccess e non attraverso applicativo dedicato, frequenti durante tutta la durata dell´orario di lavoro", nonché "accessi a siti web di dubbia provenienza";

a seguito di quanto constatato la resistente ha dunque provveduto a comunicare alla ricorrente una lettera di contestazione disciplinare, corredata dalla documentazione contenente "il report dei log (…), nonché la descrizione nominativa dei siti raggiunti, gli orari di navigazione e di permanenza sui siti stessi", cui ha fatto seguito l´irrogazione del licenziamento in data 28 gennaio 2016;

la policy sulla gestione dei sistemi informativi e della posta elettronica prescrive agli utenti interni un utilizzo degli strumenti aziendali limitato alle sole finalità istituzionali, prevedendo, con specifico riguardo al servizio di posta elettronica, una deroga a tale regime condizionato ad un impiego moderato di quest´ultimo, come tale inidoneo a pregiudicare il normale funzionamento del sistema;

la ricorrente non si sarebbe attenuta alle prescrizioni impartite determinando, con la sua condotta, "notevoli danni per l´operatività dell´intero sistema informatico", rendendo con ciò necessaria la verifica a posteriori effettuata dalla resistente;

la verifica del dispositivo assegnato alla dipendente non sarebbe stata, peraltro, effettuata ricorrendo all´ausilio di strumenti di controllo dell´attività lavorativa tecnicamente intesi, in quanto il fatto che il motore di ricerca utilizzato, ovvero Google Chrome, mostri "la cronologia unificata di tutte le pagine visitate da tutti gli strumenti attraverso i quali l´utente si collega ad Internet (…) è ad esclusiva scelta dell´utente stesso, in quanto Chrome è configurato di default per escludere la condivisione della cronologia tra più dispositivi";

la richiesta di blocco e distruzione dei dati acquisiti non potrebbe comunque essere accolta sussistendo, nel caso di specie, i presupposti di cui all´art. 8, comma 2, lett. e), del Codice, trattandosi di informazioni il cui trattamento sarebbe necessario ai fini dello svolgimento della propria difesa in giudizio, tenuto conto dell´intenzione manifestata dalla ricorrente di impugnare il licenziamento;

VISTA la nota del 28 giugno 2016 con la quale la ricorrente, nel contestare quanto affermato dalla controparte, ha ribadito l´illiceità della condotta tenuta dall´Ente resistente rilevando, in particolare, che:

l´ampiezza dell´indagine effettuata dal datore di lavoro non risulta proporzionata alla finalità dichiaratamente posta dal datore di lavoro a fondamento del controllo effettuato, finalità risultante peraltro anche nella lettera di addebito trasmessa alla dipendente;

la resistente non ha fornito all´interessata un´informativa adeguata in ordine "alla conservazione, peraltro sine die dei log e dei proxy, né le altre informazioni previste e men che meno l´autorizzazione del soggetto che ha effettuato l´accesso informatico per finalità ripristinatorie dei sistemi a divulgare il contenuto dei dati della navigazione del Browser della ricorrente";

il controllo effettuato dalla resistente, eseguito a ritroso risalendo alla cronologia dei siti visitati nel mese precedente il verificarsi dell´evento, comprova che le modalità di conservazione dei dati poste in essere dalla resistente siano illecite, non risultando implementata una configurazione dei programmi diretta a determinare la cancellazione periodica ed automatica dei dati relativi agli accessi Internet ed al traffico telematico, la cui conservazione non sia necessaria per altre finalità;

il predetto controllo, peraltro, non risulta essere stato limitato ai dati esteriori delle comunicazioni, quali ad esempio i tempi di connessione, ma ha esteso, del tutto ingiustificatamente, "la propria indagine sui contenuti web dei proxy asseritamente visitati dalla ricorrente", violando in tal modo le prescrizioni impartite dal Garante con le "Linee guida in materia di posta elettronica ed internet";

la conservazione dei dati in tal modo acquisiti non può, peraltro, essere giustificata  nemmeno a fronte delle esigenze difensive allegate dalla controparte, attraverso il richiamo all´art. 8, comma 2, lett. e), del Codice, considerate le particolari garanzie che assistono la segretezza dei contenuti delle comunicazioni anche scambiate nello svolgimento della propria attività lavorativa;

VISTA la nota del 6 luglio 2016 con la quale la resistente, nel precisare di non aver mai proceduto ad un controllo dei contenuti dei siti web visitati dalla ricorrente, ha ribadito la liceità del trattamento posto in essere, respingendo pertanto le richieste di controparte in ordine alle quale ha nuovamente richiamato la sussistenza delle ragioni difensive di cui all´art. 8, comma 2, lett. e), del Codice;

CONSIDERATO, tutto ciò premesso e in via preliminare, che il trattamento consistente nell´utilizzo delle informazioni raccolte attraverso gli strumenti utilizzati dal dipendente per lo svolgimento della prestazione lavorativa deve avvenire nel rispetto dei principi previsti dal Codice in materia di protezione dei dati personali, tenuto conto anche di quanto espressamente disposto dall´art. 4, comma 3, in combinato disposto con il comma 2 del medesimo articolo, della legge 20 maggio 1970, n. 300 (cd. Statuto dei lavoratori), nel testo novellato dall´art. 23 del d.lgs. 14 settembre 2015,  n. 151;

PRESO ATTO, infatti, che la norma da ultimo citata, così come formulata, risulta applicabile pur laddove il controllo sia avvenuto, come nel caso in esame, in occasione del compimento di operazioni di ripristino del funzionamento della rete aziendale compromesso dalla propagazione di un virus all´interno di essa;

CONSIDERATO, in particolare, che ai fini dell´applicazione dei richiamati principi occorre tener conto, oltre che della disciplina dettata dal Codice (con particolare riguardo ai principi di necessità, correttezza, pertinenza e non eccedenza di cui agli artt. 3 ed 11 del Codice, nonché all´obbligo della previa ed idonea informativa di cui all´art. 13 del medesimo testo normativo), anche delle relative indicazioni contenute, con specifico riguardo al trattamento dei dati derivanti dall´utilizzo di posta elettronica ed internet nello svolgimento del rapporto di lavoro, nel provvedimento del Garante del 1° marzo 2007, n. 13, "Linee guida del Garante per posta elettronica ed internet", pubblicato in G.U. n. 58 del 10 marzo 2007;

RILEVATO che, alla luce di quanto premesso e sulla base degli elementi emersi nel corso del procedimento, il trattamento dei dati posto in essere dal datore di lavoro, contestato con l´odierno ricorso, non appare conforme ai principi sopra richiamati in quanto:

non risulta evidenza di un´informativa specifica resa alla dipendente – in conformità a quanto invece previsto dalle disposizioni di cui agli artt. 11, comma 1, lett. a), e 13 del Codice, nonché di cui all´art. 4, comma 3, della legge n. 300 del 1970 – idonea, come tale, a rendere l´interessat0 edotto delle eventuali modalità di controllo sugli strumenti assegnati ai fini dello svolgimento della prestazione lavorativa, nonché delle conseguenti modalità di acquisizione, conservazione e successivo utilizzo dei dati originati dagli accessi internet e dalle comunicazioni di tipo elettronico effettuate dalla dipendente;

le modalità concretamente impiegate dal datore di lavoro nel corso delle verifiche effettuate, attraverso un ampio controllo dei dati contenuti all´interno del computer assegnato alla dipendente, risultano, in ogni caso e con particolare riguardo al servizio di posta elettronica aziendale, in contrasto con le indicazioni contenute nello stesso disciplinare il quale, a tale proposito, prevede che, nel caso di anomalie riscontrate con riguardo all´utilizzo del suddetto servizio, le verifiche funzionali all´individuazione delle cause possano intervenire con riguardo a "dati aggregati riferiti all´intera struttura ovvero su singole aree" e concludersi con l´invio di un avviso generalizzato a tutti gli utenti ovvero circoscritto ai dipendenti afferenti all´area o settore dal quale è originata l´anomalia;

il trattamento posto in essere dal datore di lavoro con le modalità emerse dagli atti del procedimento, risulta dunque eccedente rispetto alle finalità in relazione alle quali il controllo poteva essere effettuato, tenuto conto di quanto dichiarato nella policy aziendale e successivamente esplicitato nella lettera di contestazione disciplinare comunicata alla ricorrente, ponendosi, dunque, in contrasto con quanto previsto dall´art. 11, comma 1, lett. d), del Codice;

RITENUTO, pertanto, di dover accogliere il ricorso e di dover, per l´effetto, ordinare alla resistente, ai sensi dell´art. 150, comma 2, del Codice, di astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall´effettuare alcun ulteriore trattamento dei dati acquisiti secondo le modalità sopra descritte, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte dell´autorità giudiziaria;

VISTE le decisioni dell´Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 200,00 a carico della KW, in considerazione degli adempimenti connessi alla presentazione del ricorso, compensando la restante parte per giusti motivi e, in particolare, in ragione della specificità della vicenda;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie il ricorso, e per l´effetto, ordina alla resistente, ai sensi dell´art. 150, comma 2, del Codice, di astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall´effettuare alcun ulteriore trattamento dei dati acquisiti secondo le modalità sopra descritte, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte giudiziaria;

b) determina l´ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 200,00 da addebitarsi alla resistente che dovrà liquidarli direttamente a favore della ricorrente; compensa la restante parte per giusti motivi.

Il Garante, nel chiedere alla KW, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro venti giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 ottobre 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia