Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 18 aprile 2018 [8967232]

[doc. web n. 8967232]

Provvedimento del 18 aprile 2018

Registro dei provvedimenti
n. 243 del 18 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 9 gennaio 2018 da XX, rappresentato e difeso dagli avv. Antonio Ciccia Messina e Francesco Saverio Ivella, nei ricorrente, ribadendo le istanze già avanzate ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), ha chiesto:

di ottenere la conferma dell'esistenza di dati personali che lo riguardano, nonché la comunicazione degli stessi in forma intelligibile, con particolare riguardo alle comunicazioni conservate all'interno degli account di posta elettronica aziendale assegnati in uso al medesimo nel corso di svolgimento del rapporto di lavoro;

di conoscere le finalità, le modalità e la logica applicata al trattamento, ivi incluse le modalità di conservazione delle comunicazioni inviate e ricevute presso i predetti account, nonché i soggetti ai quali i dati siano stati eventualmente comunicati e/o diffusi;

il blocco dei dati trattati in violazione di legge, manifestando l'opposizione all'ulteriore trattamento di quelli riguardanti le comunicazioni di posta elettronica indicate nell'atto di ricorso, fatta salva la sola conservazione degli stessi ai fini della loro acquisizione da parte dell'autorità giudiziaria;

la liquidazione in proprio favore delle spese sostenute per il procedimento;

CONSIDERATO che il ricorrente, giornalista professionista ex dipendente della società resistente, ha rappresentato:

di aver ricevuto in data 2 agosto 2017 una lettera di contestazione disciplinare fondata "su plurime comunicazioni di posta elettronica effettuate a mezzo degli account" utilizzati nello svolgimento della sua attività e contenenti il suo nominativo, allegando e-mail di carattere privato "di per sé copert[e] da segreto (…), oltre che tutelat[e] dalla prerogativa di riservatezza";

che la società resistente avrebbe pertanto effettuato un trattamento illecito di dati in quanto dette comunicazioni "sia negli elementi esterni sia nei loro contenuti, costituiscono [suoi] dati personali", acquisiti ed utilizzati dal datore di lavoro in contrasto con quanto peraltro prescritto nella policy aziendale, in vigore dal 6 giugno 2016, così come integrata dal verbale del 13 giugno 2016, che esclude l'applicabilità delle procedure di controllo con riguardo ai documenti, ai dati ed al contenuto del materiale utilizzato dai giornalisti;

che il titolare del trattamento conserverebbe le comunicazioni di posta elettronica inviate e ricevute dalle caselle di posta elettronica associate al medesimo per un periodo di dieci anni, ovvero per un arco temporale sproporzionato ed in assenza di specifiche finalità comunicate ai dipendenti;

VISTI gli ulteriori atti d'ufficio e, in particolare: a) la nota del 19 gennaio 2018 con la quale questa Autorità, ai sensi dell'art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste del ricorrente, b) il verbale dell'audizione svoltasi in data 8 febbraio 2018 presso la sede dell'Autorità, nonché c) la nota del 9 marzo 2018 con la quale è stata disposta la proroga del termine per la conclusione del procedimento ai sensi dell'art. 149, comma 7, del Codice;

VISTE le note del 1° e del 6 febbraio 2018 con le quali la società resistente, rappresentata e difesa dagli avv.ti Roberto Testa e Chiara Rossana Agostini, nel sostenere la liceità del trattamento effettuato, ha rilevato:

- di aver contestato al ricorrente lo svolgimento di attività in favore di una società concorrente, amministrata dal coniuge del medesimo, utilizzando, ai fini dell'addebito disciplinare, comunicazioni di posta elettronica a lui riconducibili, riferite al periodo compreso tra il 4 febbraio 2016 ed il 3 luglio 2017;

- di aver successivamente conferito, anche sulla base di un "documento rinvenuto casualmente in una delle stampanti aziendali" atto a dimostrare l'esistenza di un rapporto con la società concorrente, apposito incarico ad un'agenzia investigativa al fine di effettuare accertamenti sulle presunte condotte infedeli del dipendente ed in relazione al quale "il responsabile IT della Sole 24 Ore ha reso disponibili i dati della casella di posta elettronica del sig. XX";

- di aver trasmesso all'interessato, a seguito di sua esplicita richiesta successiva alla citata contestazione, copia delle e-mail poste a fondamento di quest'ultima, di aver predisposto  copia delle ulteriori comunicazioni presenti all'interno degli account di posta elettronica da lui utilizzati, registrandole su supporto informatico da ritirare previo contatto con il soggetto delegato dalla società, e di aver altresì reso note al ricorrente le informazioni sul trattamento effettuato;

- che i messaggi di posta elettronica dei dipendenti, in quanto considerati come corrispondenza aziendale, sono conservati dalla società per un periodo di dieci anni in conformità a quanto previsto dalle disposizioni del codice civile e che "la consultazione e/o estrazione delle informazioni ivi contenute è disposta unicamente nei casi in cui il trattamento sia essenziale per proseguire l'attività lavorativa o qualora ciò sia necessario per esercitare o difendere un diritto in giudizio";

- di non poter aderire alla richiesta di blocco e di opposizione all'ulteriore trattamento, invocando a tale riguardo l'esistenza dei presupposti per il legittimo differimento di cui all'art. 8, comma 2, lett. e), del Codice, tenuto conto del fatto che i dati che ne costituiscono oggetto, oltreché delle comunicazioni generalmente riconducibili agli account aziendali utilizzati dal ricorrente tuttora conservate dalla società, "rappresentano la prova a fondamento del procedimento disciplinare e del successivo licenziamento" e che pertanto l'eventuale accoglimento delle predette istanze potrebbe pregiudicare l'esercizio del diritto di difesa nel possibile giudizio di impugnazione attivato dal medesimo;

VISTE le note del 6, dell'8 e del 28 febbraio 2018, nonché il contenuto del verbale di audizione con i quali il ricorrente ha rappresentato:

- di ritenersi soddisfatto del riscontro ottenuto con riguardo all'istanza di accesso ai dati contenuti nelle comunicazioni di posta elettronica detenute dalla società, nonché a quella diretta a conoscere le informazioni generali relative al trattamento;

- di reiterare la richiesta di blocco e di opposizione all'ulteriore trattamento dei dati contenuti nelle comunicazioni di posta elettronica utilizzate ai fini della contestazione disciplinare e del successivo licenziamento – estendendo la richiesta in via eventuale e subordinata a tutte le comunicazioni riferibili al ricorrente e conservate dal datore di lavoro – eccependo l'illiceità del relativo trattamento;

- che la conservazione decennale di dette comunicazioni, operazione peraltro non fatta oggetto di idonea informativa, non possa ritenersi proporzionata e che la finalità di difesa in giudizio, addotta dalla resistente a fondamento di essa, non possa valere a scriminare a posteriori una condotta di per sé illecita, anche alla luce del particolare regime di esclusione dalle attività di verifica previsto in favore dei giornalisti;

- che i presupposti per eseguire controlli individuali indicati nella policy aziendale (come anomalie di sistema e/o abusi commessi nell'utilizzo degli strumenti elettronici) non sarebbero comunque ravvisabili nel caso in esame, integrandosi così una violazione dell'art. 13 del Codice per carenza del presupposto di idonea informativa resa al dipendente;

- che il controllo effettuato sugli account di posta elettronica assegnatigli in uso non potrebbe qualificarsi, secondo quanto affermato dalla resistente, come "controllo difensivo" – al quale peraltro sarebbero comunque applicabili le garanzie indicate dal testo novellato dell'art. 4 della legge n. 30 del 20 maggio 19710, cd. Statuto dei lavoratori –  in quanto lo stesso ha avuto in realtà ad oggetto l'attività lavorativa posta in essere dal medesimo e contenuta all'interno delle e-mail presenti all'interno di essi, considerazione dalla quale deriva che le condotte addebitate al dipendente in sede disciplinare "non sono l'innesco dei controlli, ma l'esito di controlli illegittimi";

- che il datore di lavoro non ha mai fornito precisazioni in ordine al documento asseritamente rinvenuto in una delle stampanti aziendali – peraltro non citato all'interno della contestazione disciplinare – dal quale sarebbero derivati i sospetti sulla sua condotta infedele ed il conferimento del successivo incarico all'agenzia di investigazioni per i dovuti accertamenti;

VISTE le note del 21 febbraio e del 20 marzo 2018 con le quali la resistente ha ribadito:

- la liceità del controllo effettuato in quanto diretto ad accertare "ex post ed in condizioni di assoluta straordinarietà (…) il sospetto compimento di attività illecite";

- che tale controllo non rientrerebbe nell'ambito di applicazione dell'art. 4 dello Statuto dei lavoratori e che pertanto non sarebbe soggetto ad un preventivo obbligo di informativa, benché l'osservanza di quest'ultimo sia da ritenersi comunque desumibile dalle prescrizioni contenute nelle policy aziendali adottate nel tempo, da ultimo in quella del 6 giugno 2016;

- che il mandato conferito all'agenzia investigativa sarebbe stato rilasciato in presenza di fondati sospetti circa l'infedeltà del proprio dipendente emersi sia dal rinvenimento del documento già citato che dalla rilevata compresenza, per un certo arco temporale, di articoli dello stesso contenuto all'interno delle riviste giuridiche pubblicate dalle due società concorrenti;

- la correttezza della conservazione decennale delle comunicazioni di posta elettronica transitate sugli account assegnati ai dipendenti, tenuto conto del fatto che la società ha da sempre fatto divieto a questi ultimi di utilizzare gli strumenti aziendali, tra i quali la posta elettronica, per fini personali e che pertanto le relative comunicazioni, dovendosi qualificare come corrispondenza aziendale, sarebbero legittimamente conservate sia a fini amministrativi che a scopi difensivi ai sensi delle corrispondenti norme di legge;

RILEVATO, con riguardo alla richiesta di accesso ai dati personali contenuti nelle comunicazioni di posta elettronica riconducibili agli account aziendali utilizzati dal ricorrente, nonché a quella diretta a conoscere le informazioni generali sul trattamento, che la resistente ha fornito un riscontro sufficiente nel corso del procedimento, come confermato dallo stesso ricorrente, e ritenuto pertanto di dover dichiarare, in ordine a tali profili, non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice;

CONSIDERATO, con riguardo all'istanza di blocco, preliminarmente ed in via di principio che, pur letteralmente riferendosi l'art. 8, comma 2, lett. e) a tutte le ipotesi di esercizio dei diritti di cui all'art. 7, il differimento dell'esercizio del diritto non può trovare logica applicazione all'istanza di blocco in quanto  la stessa richiede quale precondizione indispensabile l'illiceità del trattamento; che tale valutazione di principio è peraltro condivisa da parte resistente nell'integrazione all'informativa del 6 giugno 2016; che risulta, pertanto, di tutta evidenza come l'ordinamento non possa in alcun modo riconoscere, in presenza di un trattamento ritenuto non conforme alla disciplina in materia di protezione dei dati personali, l'eventualità di proseguire nel trattamento in questione e, conseguentemente, nella realizzazione dell'illecito, per soddisfare le esigenze giudiziarie del titolare del trattamento; del pari privo di senso risulterebbe un differimento del provvedimento di blocco per l'ipotesi in cui il trattamento risultasse invece lecito, in quanto in tale eventualità il riscontro alla richiesta dell'istante non dovrebbe essere differito ma piuttosto direttamente rigettato;

CONSIDERATO, quanto al merito della vicenda, che il trattamento consistente nell'utilizzo delle informazioni raccolte attraverso gli strumenti elettronici utilizzati dal dipendente per lo svolgimento della prestazione lavorativa deve avvenire nel rispetto dei principi previsti dal Codice, tenuto anche conto di quanto espressamente disposto dall'art. 4 della legge n. 300 del 20 maggio 1970 (cd. Statuto dei lavoratori), nel testo novellato dall'art. 23 del d.lgs. n. 151 del 14 settembre 2015,  contenente "Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di rapporto di lavoro e pari opportunità, in attuazione della legge 10 dicembre 2014, n. 183", pubblicato in G.U. n. 221 del 23 settembre 2015;

RILEVATO, a tale riguardo, che il trattamento posto in essere dalla resistente non risulta conforme alla disciplina in materia di trattamento dei dati personali in quanto, al di là delle valutazioni sull'idoneità o meno dell'informativa resa ai dipendenti sia personalmente che attraverso il cd. "disciplinare privacy", il controllo sugli account di posta elettronica aziendale utilizzati dal ricorrente doveva ritenersi escluso in virtù dell'accordo sindacale, intervenuto in data 13 giugno 2016 e sottoscritto dalla stessa resistente, che espressamente prevede che "gli eventuali controlli e verifiche citati nella policy aziendale non potranno avere ad oggetto i documenti, i dati ed il contenuto del materiale utilizzato dai giornalisti" in considerazione della "natura specifica dell'attività giornalistica e della relativa normativa a tutela della salvaguardia della segretezza delle fonti (…)" (cfr. anche con quanto previsto al par. 3.2 delle citate "Linee guida del Garante su posta elettronica ed internet");

RITENUTO, alla luce di quanto sopra esposto, di dover accogliere parzialmente il ricorso e, per l'effetto, di ordinare a "Il Sole 24 Ore" S.p.A., ai sensi dell'art. 150, comma 2, del Codice, di astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall'effettuare ogni ulteriore trattamento dei dati contenuti nelle comunicazioni di posta elettronica aziendali riconducibili al ricorrente, acquisiti secondo le modalità sopra descritte, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte dell'autorità giudiziaria;

VISTE le decisioni dell'Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 300,00 a carico de "Il Sole 24 Ore" S.p.A. in considerazione degli adempimenti connessi alla presentazione del ricorso, compensando la restante parte per giusti motivi e, in particolare, in ragione del parziale riscontro fornito nel corso del procedimento;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie parzialmente il ricorso e, per l'effetto, ordina a Il Sole 24 Ore S.p.A., ai sensi dell'art. 150, comma 2, del Codice, di astenersi, con effetto immediato dalla data di ricezione del presente provvedimento, dall'effettuare ogni ulteriore trattamento dei dati contenuti nelle comunicazioni di posta elettronica aziendali riconducibili al ricorrente, acquisiti secondo le modalità sopra descritte, eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte dell'autorità giudiziaria;

b) non luogo a provvedere sul ricorso in ordine alla richiesta di accesso ai dati personali del ricorrente contenuti nelle comunicazioni di posta elettronica presenti sugli account aziendali assegnati al medesimo, nonché con riguardo alla richiesta di ottenere informazioni generali sul trattamento;

c) determina l'ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 300,00 da addebitarsi al titolare del trattamento, che dovrà liquidarli direttamente a favore del ricorrente; compensa la restante parte per giusti motivi.

Il Garante, nel chiedere a "Il Sole 24 Ore" S.p.A., ai sensi dell'art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro venti giorni dalla ricezione dello stesso, ricorda che l'inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell'art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 18 aprile 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia