g-docweb-display Portlet

Provvedimento del 13 settembre 2017 [7316160]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 7316160]

Provvedimento del 13 settembre 2017

Registro dei provvedimenti
n. 375 del 13 settembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 26 aprile 2017 da XX, rappresentato e difeso dall´avv. Maria Roberta Perugini, nei confronti di Tamburi Investment Partners S.p.A., con cui il ricorrente - ex dipendente della resistente -  contestando l´idoneità del riscontro da questi ottenuto e ribadendo le istanze già avanzate ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), ha:

manifestato la propria opposizione all´ulteriore trattamento dei dati che lo riguardano utilizzati ai fini di una contestazione disciplinare a suo carico e del successivo licenziamento;

chiesto puntuali informazioni su detto trattamento, nonché la liquidazione in proprio favore delle spese sostenute per il procedimento;

PRESO ATTO che il ricorrente ha rappresentato:

di aver ricevuto, in data 16 febbraio 2017, una lettera di contestazione disciplinare – alla quale ha fatto seguito il successivo licenziamento avvenuto il 23 successivo – nella quale la resistente dichiarava di aver riscontrato l´indebito inoltro di documenti societari riservati dalla sua casella di posta elettronica aziendale ad account privati al medesimo riconducibili;

che il contenuto delle e-mail oggetto di contestazione sarebbe stato acquisito dal datore di lavoro attraverso l´accesso all´account di posta elettronica aziendale effettuato durante la sua assenza per malattia, utilizzando la password dallo stesso comunicata in base ad esplicita richiesta del datore di lavoro motivata con la necessità di assicurare la continuità dell´attività aziendale;

che tale acquisizione sarebbe avvenuta illecitamente - recuperando peraltro contenuti già cancellati "azione che rende palese l´intento della Società di attuare una vera e propria ispezione sulla corrispondenza e-mail del ricorrente" - in quanto il predetto accesso sarebbe stato consentito dal ricorrente limitatamente allo scopo dichiarato "in particolare autorizzando il datore di lavoro alla visione delle sole e-mail di rilievo aziendale (…) ricevute nei giorni della sua assenza per malattia", mentre le e-mail indicate nella lettera di contestazione disciplinare erano risalenti al mese di gennaio 2017;

di aver inoltre ripetutamente richiesto alla società mediante appositi interpelli, da ultimo con nota del 31 marzo 2017, una serie di informazioni attinenti il trattamento dei dati personali che lo riguardano posto in essere sia nel corso del rapporto di lavoro che successivamente all´interruzione dello stesso (con particolare riguardo alle modalità di affermata chiusura dell´account aziendale) ricevendo un riscontro assolutamente inidoneo e contenente un immotivato diniego alla richiesta di accedere ai propri dati personali di natura privata conservati negli strumenti di lavoro restituiti alla resistente al termine del predetto rapporto lavorativo;

di non aver mai ricevuto, sin dal momento dell´instaurazione del rapporto di lavoro avvenuta nell´ottobre del 2007, un´idonea informativa in ordine al trattamento dei dati personali inerenti lo svolgimento del rapporto medesimo, non risultando peraltro alcuna specifica regolamentazione interna – ad eccezione di un codice etico contenente alcune generiche indicazioni sulle finalità di utilizzo dei beni aziendali – diretta a disciplinare le modalità di utilizzo degli strumenti elettronici da parte del dipendente per l´espletamento delle proprie mansioni, con particolare riguardo alla posta elettronica ed internet, nonché degli eventuali controlli, anche a distanza, che il datore di lavoro si riservava eventualmente di effettuare  sui predetti strumenti;

che, in ragione di ciò, all´interno dell´azienda, fosse diffusa la prassi di un uso promiscuo degli strumenti aziendali che ha determinato la "usuale commistione – nell´uso della posta ma anche della memoria dei device assegnati e dei server nella disponibilità della società – di dati personali e informazioni relativi tanto all´attività professionale condotta quanto alla vita privata del ricorrente e della sua famiglia";

CONSIDERATO che il ricorrente, con l´odierno ricorso, ha chiesto in particolare:

di ottenere la comunicazione

1. del nominativo del/i soggetto/i eventualmente designato/i responsabile/i del trattamento, sia all´interno che all´esterno dell´azienda, nonché delle categorie di soggetti incaricati del trattamento dei dati personali dei dipendenti;

2. degli estremi identificativi dei soggetti e della relativa qualifica aziendale o professionale, ivi inclusi gli amministratori di sistema, che abbiano avuto accesso ai dati personali ed all´account di posta elettronica aziendale assegnato all´interessato, con particolare riguardo alle vicende poste a base della contestazione disciplinare che ha poi condotto al successivo licenziamento;

3. delle finalità, delle modalità e della logica applicata a detti accessi, nonché all´archiviazione dei dati personali dei dipendenti, inclusi i relativi tempi di conservazione, con particolare riguardo alle comunicazioni di posta elettronica inviate e ricevute dai medesimi;

4. delle modalità e delle finalità in relazione alle quali possono essere effettuate eventuali attività di controllo sull´uso degli strumenti elettronici aziendali assegnati ai dipendenti per lo svolgimento delle mansioni ad essi affidate, nonché delle misure organizzative e tecniche adottate a tutela dei diritti dei medesimi, con particolare riguardo ai dati contenuti nelle comunicazioni di posta elettronica;

5. delle modalità con le quali sarebbe avvenuta l´asserita chiusura dell´account di posta elettronica aziendale a lui assegnato, nonché delle caratteristiche dell´eventuale perdurante attività del predetto account successivamente alla sua dichiarata disattivazione, ivi compresa l´eventuale adozione di misure idonee atte ad informare i terzi di tale circostanza;

6. e, infine, di avere accesso ai dati personali di carattere privato che lo riguardano conservati all´interno degli strumenti elettronici utilizzati per lo svolgimento delle proprie mansioni lavorative, nonché dei server (di posta e documentali) di proprietà della società o di terzi soggetti ai quali sia stato affidato l´espletamento del relativo servizio, chiedendo altresì di estrarre copia degli stessi e di disporne la successiva cancellazione;

VISTI gli ulteriori atti d´ufficio e, in particolare, a) la nota dell´11 maggio 2017 con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell´interessato, b) il verbale dell´audizione svoltasi in data 31 maggio 2017 presso la sede dell´Autorità, nonché c) la nota 23 giugno 2017 con la quale è stata disposta, ai sensi dell´art. 149, comma 7, del Codice, la proroga del termine per la decisione sul ricorso; 

VISTA la nota del 19 maggio 2017 con la quale la resistente, nel dichiarare di aver "cessato il trattamento dei dati personali del ricorrente", ha fornito una parte delle informazioni richieste dal ricorrente in merito:

- comunicando il nominativo delle persone fisiche designate incaricati e responsabili del trattamento all´interno dell´organizzazione aziendale, nonché le categorie di appartenenza dei soggetti affidatari di quest´ultimo incarico all´esterno della struttura societaria;

-  rappresentando che i dati contenuti nei server e nel servizio di posta elettronica aziendale sono oggetto di attività di backup finalizzata all´implementazione di misure di sicurezza volte a preservare l´integrità e la disponibilità dei dati;

- rappresentando che, nello svolgimento dell´attività di gestione ordinaria dell´infrastruttura informatica, vengono talvolta effettuati controlli anonimi sugli strumenti elettronici utilizzati dai dipendenti provvedendo, solo a seguito dell´eventuale rilevazione di anomalie che possano essere causa di danno per il patrimonio aziendale, ad effettuare i cd. "controlli difensivi" eseguiti da una società esterna nel rispetto del principio di necessità, ovvero utilizzando dati aggregati e, solo al persistere delle stesse, ponendo in essere interventi idonei ad individuare l´area nella quale l´evento si è verificato e, in ultima istanza, il dipendente responsabile del comportamento anomalo;

- dichiarando, con riguardo all´acquisizione dei dati relativi alle comunicazioni di posta elettronica del ricorrente poste a base della contestazione disciplinare e del successivo licenziamento, che l´accesso all´account del dipendente, effettuato a tutela di dati aziendali, è stato eseguito da remoto da parte della società che cura la gestione sistemistica dell´infrastruttura, della quale ha peraltro indicato la denominazione, precisando come ciò sia avvenuto tramite "modalità e logiche tali da assicurare la non divulgazione, a soggetti non autorizzati, dei dati personali oggetto di accesso";

- invocando, in ordine alle restanti richieste – tra le quali, in particolare, quella diretta a conoscere gli estremi identificativi dei soggetti che abbiano materialmente eseguito l´accesso all´account di posta elettronica aziendale del ricorrente, l´istanza di accesso ai dati personali di carattere privato del medesimo (dati relativi alla scuola dei figli, alla propria abitazione, numero di telefono di amici e parenti, fotografie, ecc.) conservati negli strumenti di lavoro aziendale e della successiva cancellazione degli stessi, nonché a tutto quanto non ancora riscontrato relativamente alle ulteriori istanze contenute nell´atto di ricorso – il legittimo differimento di cui all´art. 8, comma 2, lett. e) del Codice tenuto conto del pregiudizio che potrebbe derivare alla propria attività difensiva dal disvelamento delle informazioni richieste in virtù della situazione precontenziosa sussistente tra le parti;

VISTA la nota del 29 maggio 2017 con la quale il ricorrente, nel contestare l´adeguatezza delle informazioni ottenute con riguardo ad alcune delle istanze avanzate, ha eccepito l´inapplicabilità, nel caso in esame, del differimento di cui all´art. 8, comma 2, lett. e), del Codice invocato dalla controparte, ritenendo carenti i presupposti di effettività del pregiudizio previsti dalla norma, tenuto peraltro conto del fatto che la resistente avrebbe dovuto comunicare molte delle informazioni richieste in sede di interpello e di successivo ricorso già all´atto dell´instaurazione del rapporto di lavoro;

VISTE le note del 30 maggio, del 1° e del 16 giugno 2017 con le quali il titolare del trattamento ha ribadito la sussistenza delle ragioni poste a fondamento dell´invocata richiesta di differimento;

VISTE le note del 27 giugno e dell´11 luglio 2017 con le quali il ricorrente, nel contestare nuovamente la fondatezza della richiesta di differimento invocata dalla controparte, ha inoltre precisato che l´oggetto della denuncia penale "non ha nulla a che vedere con le richieste avanzate" con l´atto di ricorso che riguarda, da un lato, dati personali di carattere privato e, dall´altro, informazioni generali relative alle modalità di trattamento dei dati dei dipendenti;

CONSIDERATO, in via preliminare, che le operazioni di trattamento poste in essere dal datore di lavoro con riferimento agli strumenti affidati ai dipendenti per lo svolgimento della proprie mansioni devono avvenire nel rispetto dei principi previsti dal Codice, come precisati nelle "Linee guida per posta elettronica ed internet" adottate dal Garante con provvedimento n. 13 del 1° marzo 2007 (pubblicato in G.U. n. 58 del 10 marzo 2007 e sul sito www.garanteprivacy.it, doc. web n. 1387522), nonché di quanto espressamente disposto dall´art. 4 dello Statuto dei lavoratori, nel testo novellato dall´art. 23 del d.lgs. 14 settembre 2015, n. 151;

RILEVATO che, sulla base di quanto emerso nel corso del procedimento, non risulta comprovata la conformità del trattamento alle Linee guida citate, né alla disciplina vigente in materia;

RITENUTO, pertanto, con riguardo all´istanza di opposizione avanzata dal ricorrente, ed in relazione alla quale il riscontro fornito nel corso del procedimento è da ritenersi inadeguato, di dover accogliere il ricorso e di dover ordinare al titolare, ai sensi dell´art. 150, comma 2, del Codice, di astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall´effettuare alcun ulteriore trattamento dei dati relativi alle comunicazioni di posta elettronica riconducibili al medesimo ed utilizzati in sede di contestazione disciplinare, fatta salva la mera conservazione degli stessi ai fini dell´eventuale acquisizione da parte dell´autorità giudiziaria;

RILEVATO, con riguardo alle istanze aventi ad oggetto la richiesta di comunicazione di alcune informazioni attinenti il trattamento posto in essere dalla resistente con riguardo ai dati personali dei dipendenti, che la medesima ha fornito nel corso del procedimento riscontro comunicando, in particolare:

1. gli estremi identificativi dei responsabili del trattamento interni alla società, nonché della società esterna deputata alla gestione dell´infrastruttura informatica, individuando i responsabili esterni per ambito di competenza;

2. alcune informazioni relative alle finalità ed alle modalità di archiviazione dei dati dei dipendenti, con specifico riferimento a quelli contenuti nelle comunicazioni di posta elettronica ricevute ed inviate dagli stessi, nonché ai controlli che la società può effettuare con riguardo agli strumenti elettronici ad essi assegnati ed alle modalità utilizzate, nello specifico, per eseguire tale attività con riguardo all´account di posta elettronica aziendale del ricorrente;

RITENUTO di dover dichiarare, ai sensi dell´art. 149, comma 2, del Codice, non luogo a provvedere sul ricorso in ordine a tali profili, avendo il titolare del trattamento fornito un riscontro sufficiente, sia pure solo nel corso del procedimento;

RILEVATO che il predetto riscontro risulta invece insufficiente con particolare riguardo:

all´individuazione dei tempi di conservazione dei dati personali dei dipendenti o dei criteri seguiti per la determinazione degli stessi;

alle finalità in relazione alle quali è stato effettuato l´accesso all´account di posta elettronica aziendale del ricorrente, tenuto conto del fatto che la resistente non ha fornito indicazioni specifiche in ordine alle caratteristiche dell´anomalia di sistema che avrebbe reso necessario accedere in via diretta al predetto account;

alla comunicazione delle misure organizzative e tecniche adottate al fine di garantire la tutela della dignità e della libertà dei lavoratori, con particolare riguardo ai dati contenuti nelle comunicazioni di posta elettronica in occasione di eventuali periodi di assenza dei dipendenti, essendosi il titolare del trattamento limitato ad affermare l´adozione da parte dell´azienda di controlli graduali;

RILEVATO inoltre che il titolare del trattamento ha invocato, con riguardo alle ulteriori istanze contenute nell´atto di ricorso – ed in particolare a quelle individuate in premessa con i nn. 2, 5 e 6, nonché alla richiesta di accesso e di successiva cancellazione dei dati personali privati del ricorrente contenuti negli strumenti aziendali assegnati al medesimo in costanza del rapporto di lavoro – l´esistenza di una legittima causa di differimento all´accesso di cui all´art. 8, comma 2, lett. e), del Codice connessa al pregiudizio che potrebbe derivare al medesimo dal disvelamento di informazioni utilizzabili nell´ambito dei procedimenti giudiziari pendenti tra le parti sia in ambito penale che civile;

RITENUTO a tale riguardo che, in ragione del contenzioso in corso, possano reputarsi sussistenti gli elementi richiesti per l´operatività del differimento di cui all´art. 8, comma 2, lett. e), del Codice, con riferimento alla richiesta di conoscere le modalità di avvenuta chiusura dell´account aziendale del dipendente successivamente alla cessazione del rapporto di lavoro, fatta salva la richiesta di accedere a dati personali di tipo strettamente privato e non attinenti all´attività lavorativa (quali fotografie ed informazioni attinenti la famiglia o comunque la sfera privata dell´interessato);

RITENUTO pertanto, alla luce di tutto quanto sopra esposto, di dover accogliere parzialmente il ricorso e, per l´effetto, di dover ordinare al titolare del trattamento, ai sensi dell´art. 150, comma 2, del Codice, di:

1. comunicare al ricorrente, entro quindici giorni dalla ricezione del presente provvedimento, le informazioni di carattere conoscitivo non ancora fornite, anche ad eventuale integrazione di quelle già in parte comunicate nel corso del procedimento;

2. consentire al medesimo, entro lo stesso termine ed in una data da concordare fra le parti, di accedere ai propri dati personali di tipo strettamente privato e non attinenti all´attività lavorativa – tra i quali, a titolo esemplificativo, le fotografie, i dati attinenti la propria abitazione o quelli riguardanti propri amici e familiari – con qualsiasi modalità conservati, nonché di trasporre gli stessi su supporto cartaceo o informatico, recandosi presso la sede della società assistito da tecnico di fiducia ed alla presenza di persona appositamente incaricata dal titolare del trattamento, nonché dell´amministratore di sistema al fine di verificare altresì, al termine delle operazioni di accesso che dovranno essere debitamente verbalizzate, l´avvenuta successiva cancellazione dei predetti dati, fatta salva la sola conservazione degli elementi che risultino indispensabili in relazione al contenzioso in corso, esclusivamente ai fini dell´eventuale acquisizione da parte dell´autorità giudiziaria;

VISTE le decisioni dell´Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 200,00 a carico di Tamburi Investment Partners S.p.A. in considerazione degli adempimenti connessi alla presentazione del ricorso, compensando la restante parte per giusti motivi e, in particolare, in ragione del parziale riscontro fornito nel corso del procedimento;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie parzialmente il ricorso e, per l´effetto, ordina al titolare del trattamento, ai sensi dell´art. 150, comma 2, del Codice, di:

astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall´ulteriore trattamento dei dati relativi alle comunicazioni di posta elettronica riconducibili al ricorrente ed utilizzati in sede di contestazione disciplinare, fatta salva la sola conservazione degli stessi ai fini dell´eventuale acquisizione da parte dell´autorità giudiziaria;

comunicare al medesimo, entro quindici giorni dalla ricezione della presente decisione, le informazioni di carattere conoscitivo sulle quali, secondo quanto indicato in premessa, non è stato fornito un adeguato riscontro;

consentire al ricorrente, entro lo stesso termine ed in una data da concordare fra le parti, di accedere ai propri dati personali di carattere privato con qualsiasi modalità conservati, nonché di trasporre gli stessi su supporto cartaceo o informatico, recandosi presso la sede della società assistito da tecnico di fiducia ed alla presenza di persona appositamente incaricata dal titolare del trattamento, nonché dell´amministratore di sistema al fine di verificare altresì, al termine delle operazioni di accesso che dovranno essere debitamente verbalizzate, l´avvenuta successiva cancellazione dei predetti dati, fatta salva la sola conservazione degli elementi che risultino indispensabili in relazione al contenzioso in corso, esclusivamente ai fini dell´eventuale acquisizione da parte dell´autorità giudiziaria;

b) dichiara non luogo a provvedere in ordine ai restanti profili;

c) determina l´ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 200,00 da addebitarsi al titolare del trattamento, che dovrà liquidarli direttamente a favore del ricorrente; compensa la restante parte per giusti motivi.

Il Garante, nel chiedere a Tamburi Investment Partners S.p.A., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150 avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 13 settembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia