Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 3 novembre 2016 [5971482]

[doc. web n. 5971482]

Provvedimento del 3 novembre 2016

Registro dei provvedimenti
n. 458 del 3 novembre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante il 23 giugno 2016 da XY, rappresentata e difesa dall´avv. Carlo de Marchis, nei confronti di Alitalia-Società Aerea Italiana S.p.A., con il quale l´interessata – licenziata per giusta causa a seguito di contestazione disciplinare per avere "posto in essere comportamenti non rispettosi dell´orario di lavoro" – ha ribadito le istanze già avanzate ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), chiedendo:

- di accertare l´illegittimità del trattamento posto in essere dalla società ricorrente;

- il blocco del trattamento;

- l´origine, le modalità del trattamento, le tarature e le eventuali certificazioni delle apparecchiature di rilevamento dei dati;

- l´ambito di divulgazione, la logica del trattamento, nonché i criteri di raffronto dei dati personali della ricorrente a base della lettera di contestazione;

- accesso ai dati in forma intellegibile, nonché il nominativo del responsabile del trattamento;

- la liquidazione in proprio favore delle spese sostenute per il procedimento;

CONSIDERATO che l´interessata ha rappresentato:

- di aver subito un illecito trattamento dei propri dati personali avvenuto attraverso "una indebita interazione ed un "monitoraggio" tra dati estrapolati dal sistema di apertura della sbarra del parcheggio aziendale rapportati con l´orario di lavoro risultante dal sistema di rilevazione delle presenze", dal quale è emerso che in alcune giornate comprese tra dicembre 2015 e gennaio 2016 gli inserimenti manuali per omessa timbratura dell´ingresso o dell´uscita dal luogo di lavoro non erano compatibili con l´effettiva uscita dal parcheggio aziendale;

- che "tale trattamento  […] non è oggetto di accordo sindacale ai sensi dell´art. 4, legge 20 maggio 1970, n. 300 (Statuto dei lavoratori)", né di autorizzazione espressa della ricorrente, alla quale non è stata fornita alcuna informativa in ordine alla registrazione e conservazione dei dati riferiti all´apertura e chiusura del cancello, né tanto meno al fatto che tale trattamento fosse stato affidato a soggetti terzi;

- che nessuna informativa, né acquisizione del consenso sono state curate da detta società terza;

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 7 luglio 2016 con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice, ha invitato la società resistente a fornire riscontro alle richieste dell´interessata, nonché l´ulteriore nota del 4 ottobre 2016 con cui è stata disposta, ai sensi dell´art. 149, comma 7, la proroga del termine per la decisione sul ricorso;

VISTE le comunicazioni del 21 luglio e 14 ottobre 2016, con le quali il titolare del trattamento ha rappresentato:

- di effettuare "controlli difensivi per l´accertamento di gravi anomalie consistenti in comportamenti illeciti del tutto estranei all´adempimento degli obblighi contrattuali dei dipendenti";

- che con le modifiche legislative introdotte dal d. lgs. 14 settembre 2015, n. 151 all´art. 4, dello Statuto dei lavoratori, è stata tracciata "una linea che non esige più l´accordo sindacale con le RSA o autorizzazione amministrativa per effettuare controlli a distanza, tra l´altro, per la rilevazione delle presenze", pertanto deve ritenersi libera l´installazione di strumenti utilizzati dal lavoratore "per rendere la prestazione lavorativa e di quelli deputati alla registrazione degli accessi e delle presenze, anche se l´analisi delle informazioni registrate dagli stessi potrebbero consentire un controllo dell´attività lavorativa";

- che in relazione all´informativa resa al personale, "Alitalia-Società Aerea Italiana S.p.A. a seguito dell´avvenuto conferimento del ramo di azienda di Alitalia Compagnia Aerea Italiana S.p.A., ha reso nuovamente ai propri dipendenti "l´informativa relativa al trattamento dei dati del personale, nonché relativa alle principali norme di sicurezza per l´utilizzo dei sistemi informativi, pubblicando ciclicamente i documenti nella intranet aziendale e chiedendo al personale di accettare il documento per presa visione";

- che, con riferimento al caso di specie, essendo state riscontrate anomalie nell´inserimento delle timbrature della ricorrente, avvenute con modalità manuale (dopo avere omesso la normale timbratura), sono stati effettuati controlli difensivi dai quali è emerso il mancato rispetto dell´orario di lavoro da parte della stessa, non coincidendo l´orario dichiarato manualmente con l´effettiva uscita (temporalmente antecedente) dal parcheggio aziendale";

- che, con riferimento alle singole istanze avanzate dalla ricorrente:

• "il dato originale non è più presente nel sistema di rilevazione degli accessi al parcheggio, poiché il dato viene trattenuto per trenta giorni";

• il sistema di controllo accessi è esercitato per finalità di sicurezza attraverso un sistema informatico -realizzato da una società terza, ma gestito direttamente da Alitalia-, che "autorizza o nega, in tempo reale e sulla base di regole predefinite, il transito di persone o mezzi ed effettua contestuale registrazione degli eventi di transito rilevati". Detto sistema garantisce:

l´accesso solo a persone autorizzate in determinate zone e orari;

la segnalazione e registrazione degli eventi anche anomali legati ai transiti;

il controllo automatico dell´apertura e chiusura dei dispositivi;

il tempo di conservazione è di trenta giorni rolling;

• responsabile del trattamento dei dati del personale è il "Chief People and performance Officer", soggetto che ha "valutato la necessità di procedere con la sanzione disciplinare impugnata ed il conseguente licenziamento" della ricorrente;

CONSIDERATO che, con note del 3 agosto e 26 ottobre 2016, la ricorrente ha contestato quanto sostenuto dalla società resistente, ribadendo che:

- l´installazione e l´utilizzo di impianti audiovisivi e gli strumenti  di controllo a distanza richiedono "una procedura di codeterminazione fra datore di lavoro e Rappresentanze Sindacali";

- che, comunque, anche a voler ammettere che nel caso di specie non sia necessario l´accordo sindacale o l´autorizzazione amministrativa, il trattamento è da ritenersi illegittimo, atteso che il titolare per effettuare il controllo delle presenze, ha utilizzato "i dati estrapolati dal sistema di apertura della sbarra del parcheggio aziendale […che non può] rientrare tra quei sistemi di rilevazione della presenza di cui al comma 2 dell´art. 4 dello Statuto dei lavoratori", posto che il dispositivo di apertura e chiusura della sbarra di un parcheggio aziendale non può essere qualificabile "come uno strumento utilizzato dal dipendente per lo svolgimento dell´attività lavorativa atteso che non ha alcuna finalità e utilità diretta con la prestazione in concreto resa dal dipendente e atteso, peraltro, che al momento dell´entrata nel parcheggio la prestazione non può ritenersi iniziata così come al momento dell´uscita dell´autovettura deve ritenersi già conclusa";

- anche ove l´utilizzo di tale sistema per la rilevazione delle presenze non necessiti di accordo sindacale o di autorizzazione amministrativa, lo stesso appare comunque illegittimo in quanto, nelle copie di informativa fornite, non vi è alcun riferimento al possibile utilizzo "da parte della società datrice di lavoro dei dati rilevati tramite il sistema di entrata e di uscita dal parcheggio aziendale nonché al loro raffronto con l´inserimento delle timbrature manuali per finalità di controllo delle presenze in azienda";

- non tutti i controlli solo perché definiti "difensivi" possono ritenersi leciti se effettuati omettendo il rispetto delle garanzie previste dall´art. 4 dello Statuto dei lavoratori, come sostenuto anche da diverse pronunce giurisprudenziali, che, benché riferite alla precedente formulazione di detta norma, sono da ritenersi, comunque, ancora applicabili in via di principio;

CONSIDERATO che le operazioni di trattamento poste in essere dalla società resistente nell´ambito sopra descritto devono avvenire nel rispetto di quanto espressamente disposto dall´art. 4 dello Statuto dei lavoratori, nel testo novellato dall´art. 23 del d.lgs. 14 settembre 2015, n. 151, nonché dei principi previsti dal Codice, come anche dettagliati dalle "Linee guida per posta elettronica ed internet" adottate dal Garante con provvedimento n. 13 del 1° marzo 2007 (pubblicato in G.U. n. 58 del 10 marzo 2007 e sul sito www.garanteprivacy.it , doc. web n. 1387522);

RILEVATO che, limitatamente alle doglianze esposte con il presente atto di ricorso, ai sensi dell´art. 13 del Codice, nonché dell´art. 4, comma 3 dello Statuto dei lavoratori, il datore di lavoro, quale titolare del trattamento, è tenuto, in ottemperanza ai principi di liceità e di correttezza del trattamento (art. 11, comma 1, lett. a) del Codice), ad informare preventivamente, in modo chiaro e dettagliato gli interessati anche riguardo la raccolta dei dati e le caratteristiche dell´effettivo trattamento posto in essere, nonché in ordine all´eventuale utilizzo degli stessi dati per effettuare controlli su base individuale;

RILEVATO che, dall´esame della documentazione prodotta dalla società resistente, e in particolare dalla copia dell´informativa resa ai sensi dell´art. 13, del Codice riguardo al trattamento dei dati del personale e di quella relativa alle  "Principali norme di sicurezza e nell´utilizzo dei sistemi informativi", emerge l´assenza di riferimenti al trattamento dei dati degli interessati effettuato attraverso il sistema di apertura e chiusura della sbarra del parcheggio aziendale e, pertanto, nei termini in cui le stesse sono formulate, risultano del tutto inidonee a rendere gli stessi interessati edotti circa il trattamento dei dati loro riferiti effettuato in tale ambito e l´eventuale utilizzo degli stessi a fini di controllo della prestazione lavorativa;

RITENUTO, pertanto, con riferimento a tale aspetto di dover accogliere il ricorso e di dover, per l´effetto, ordinare alla resistente, ai sensi dell´art. 150, comma 2, del Codice, di astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall´effettuare alcun ulteriore trattamento dei dati acquisiti secondo le modalità sopra descritte, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte dell´autorità giudiziaria;

RILEVATO, poi, che le ulteriori richieste avanzate dalla ricorrente volte ad ottenere l´accesso ai propri dati in forma intellegibile e a conoscerne l´origine, le modalità e le logiche del trattamento, l´ambito di divulgazione, unitamente al nominativo del responsabile del trattamento risultano soddisfatte dal riscontro fornito dalla resistente nel corso del procedimento e che, pertanto, con riferimento ad esse, debba essere dichiarato  non luogo a provvedere sul ricorso ai sensi dell´art. 149, comma 2, del Codice;

VISTE le decisioni dell´Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 250,00 a carico di Alitalia-Società Aerea Italiana S.p.A. in considerazione del parziale accoglimento del ricorso, compensando la restante parte per giusti motivi e in particolare in ragione del riscontro alle richieste avanzate dalla ricorrente;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE:

- accoglie parzialmente il ricorso per i motivi di cui in premessa e per l´effetto, ordina ad Alitalia-Società Aerea Italiana S.p.A, ai sensi dell´art. 150, comma 2, del Codice, di astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall´effettuare alcun ulteriore trattamento dei dati acquisiti secondo le modalità sopra descritte, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte dell´autorità giudiziaria;

- dichiara non luogo a provvedere sul ricorso ai sensi dell´art. 149, comma 2, del Codice in ordine alle restanti richieste avanzate dalla ricorrente;

- determina l´ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 250,00 da addebitarsi alla società resistente che dovrà liquidarli direttamente a favore della ricorrente, compensa la restante parte per giusti motivi.

Il Garante, nel chiedere ad Alitalia-Società Aerea Italiana S.p.A., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 3 novembre 2016

IL PRESIDENTE
Soro   

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia