Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 26 aprile 2018 [8998673]

[doc. web n. 8998673]

Provvedimento del 26 aprile 2018

Registro dei provvedimenti
n. 255 del 26 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante e regolarizzato in data 27 febbraio 2018 da XX, rappresentato e difeso dall’avv. Filippo Manca nei confronti della Società Impregilo S.p.A. (ora, Salini Impregilo S.p.A.), con cui il ricorrente -dipendente della stessa dal 1° marzo 2010 al 16 agosto 2012- contestando l’idoneità del riscontro da questa fornito e ribadendo le istanze già avanzate in data 8 luglio e 27 novembre 2017, ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito “Codice”), ha chiesto:

- di ottenere la conferma o meno dell’esistenza dei dati personali che lo riguardano e la loro comunicazione in forma intelligibile;

- l’origine, le finalità, le modalità e la logica del trattamento effettuato, nonché gli estremi identificativi del titolare e dei responsabili del trattamento, del rappresentante designato ai sensi dell’art. 5, comma 2 del Codice, nonché di conoscere i soggetti ai quali sono stati comunicati i dati personali allo stesso riferiti;

- la comunicazione  in forma intelligibile, anche se su supporto magnetico (CD-ROM) dei dati contenuti in “tutte le mail e tutte le note/lettere/appunti che sono stati oggetto di corrispondenza tra la [sua] persona e tutto il top management e/o manager protempore della società […] nonché tra il top management e/o manager vicendevolmente, oltre che provenienti da soggetti esterni (persone fisiche e/o giuridiche) comunque da e verso il medesimo top management e che hanno riguardato dati e/o informazioni personali [allo stesso riferiti] nel periodo compreso tra il mese di settembre 2011 e il 16 agosto 2012” e fino al 4 agosto 2017;

- copia dell’informativa prevista dall’art. 13 del Codice; 

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 20 marzo 2018 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell’interessato;

VISTE la nota 29 marzo e la successiva memoria del 10 aprile 2018 con le quali la resistente, richiamandosi a quanto già comunicato con note del 4 agosto e 12 dicembre  2017 in risposta agli interpelli presentati dal ricorrente, nell’inviare copia dell’informativa, comunicava che:

- i dati, forniti dallo stesso interessato, sono stati trattati con o senza l’ausilio di strumenti elettronici “conformemente alle indicazioni contenute nell’informativa firmata” dal ricorrente e “con logiche applicate alle finalità” del trattamento consistenti nell’espletamento “di tutti gli adempimenti di legge connessi o derivanti dal rapporto di lavoro”; tali dati, inoltre, sono stati comunicati a soggetti terzi per finalità connesse all’esecuzione del rapporto di lavoro;

- i dati del ricorrente sono stati trasferiti dalla Impregilo S.p.A., società dalla quale era stato assunto, verso il Consorzio di imprese Grupo Unidos por el canal SA di diritto panamense presso il quale ha svolto la propria attività negli anni 2010-2012;

- il Consorzio ha attribuito al ricorrente un indirizzo di posta elettronica con dominio “@GUPC.PA”, autonomamente gestito dallo stesso Consorzio sia da un punto di vista tecnico sia organizzativo, “per cui tale account si trovava al di fuori del sistema IT gestito dalla società Impregilo S.p.A. e fuori dal controllo della stessa”;

- la società Impregilo S.p.A., nell’ambito di una fusione societaria, avvenuta nel mese di gennaio 2014, che ha portato alla costituzione della Salini Impregilo S.p.a., ha dismesso il proprio sistema di posta elettronica e “iniziato il processo di migrazione dei sistemi che è terminato nel mese di maggio 2014”; nell’ambito di tale processo la Salini Impregilo S.p.a. “ha registrato un dominio a proprio nome in cui sono migrate le caselle di posta elettronica con dominio @salini.it e @impregilo.it che risultavano attive al momento della migrazione, andando quindi a costituire un unico sistema di posta elettronica che consentisse la normale prosecuzione di lavoro al personale che risultava in forza” mentre sono state definitivamente eliminate “tutte le caselle di posta elettronica che, al mese di maggio 2014, risultavano chiuse”;

- alcune delle persone citate dal ricorrente nell’atto introduttivo, “non sono più all’interno della società e, in virtù della fusione menzionata e del tempo trascorso, non è, ad oggi, possibile ripristinare i contenuti delle loro caselle di posta elettronica […], infatti la cessazione del dipendente determina anche la contestuale chiusura del relativo account ed i messaggi di posta elettronica che il dipendente non ha cancellato alla chiusura del rapporto di lavoro, vengono conservati per due anni decorrenti dall’ultimo giorno di lavoro”, in quanto “per policy aziendale, le caselle di posta elettronica, compresi i backup delle stesse, sono cancellati dopo due anni dalla cessazione del rapporto di lavoro”; per quanto poi riguarda le caselle tuttora attive e appartenenti a personale in forza a Salini Impregilo S.p.A. è necessario “tenere conto della protezione dei dati personali dei terzi, oltre che del diritto costituzionale alla libertà e segretezza della corrispondenza e del rispetto della confidenzialità e della riservatezza delle informazioni industriali”; 

CONSIDERATO che con note del 3 e 10 aprile il ricorrente non si è ritenuto ancora soddisfatto del riscontro ricevuto dalla resistente;

RILEVATO che la resistente, già prima della proposizione del ricorso, aveva fornito un parziale riscontro al ricorrente, con le citate note del 4 agosto e 12 dicembre 2017 allegate agli atti, inviando copia dell’informativa e comunicando:

- gli estremi identificativi del titolare e del responsabile del trattamento, l’origine dei dati, nonché le finalità, la logica e le modalità del trattamento nonché i soggetti terzi a cui detti dati sono stati comunicati per finalità connesse all’esecuzione del rapporto di lavoro;

- l’avvenuto trasferimento di tali dati dalla Impregilo S.p.A., società presso la quale era stato assunto verso il Consorzio di imprese Grupo Unidos por el canal SA di diritto panamense dove lo stesso ha svolto la propria attività lavorativa;

RITENUTO, pertanto, in ordine a tali profili di dover dichiarare il ricorso inammissibile ai sensi dell’art. 148, comma 1, lett. b), del Codice;

TENUTO CONTO, in ordine alle ulteriori richieste avanzate, che la resistente ha rappresentato, con dichiarazione della cui veridicità l’autore risponde anche ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni e notificazioni al Garante”) l’impossibilità, ad oggi, di recuperare il contenuto delle mail scambiate tra il ricorrente e i rappresentanti del top management (specificamente indicati dall’interessato nel proprio atto introduttivo) -molti dei quali, peraltro, da tempo non svolgono più la propria attività all’interno della società- in quanto:

- l’account assegnato al ricorrente dalla società panamense presso la quale lo stesso svolgeva la propria attività lavorativa non è mai stato accessibile all’odierna resistente;

- in occasione dell’operazione societaria di fusione che ha portato alla costituzione dell’odierna Salini Impregilo S.p.A., avvenuta nel mese di gennaio 2014, il sistema di posta elettronica utilizzato, fino ad allora, dalla Impregilo è stato dismesso e nel nuovo dominio sono migrate solo le caselle che risultavano attive alla data della migrazione;

- nell’ambito di tale processo sono state eliminate tutte le caselle che nel mese di maggio 2014 risultavano chiuse;

RITENUTO pertanto, alla luce di quanto sopra esposto, di dover dichiarare, in ordine a tali profili non luogo a provvedere sul ricorso ai sensi dell’art. 149, comma 2, del Codice;

CONSIDERATO in merito alla richiesta avanzata dal ricorrente volta ad ottenere i dati allo stesso riferiti contenuti nei messaggi di posta elettronica scambiati tra il top management e/o manager vicendevolmente, nonché da e verso il medesimo top management, che:

- in linea generale, le comunicazioni elettroniche, devono essere considerate alla stregua della corrispondenza privata cartacea e, come tali, sono tutelate dalle garanzie di segretezza previste dalla Costituzione (art. 15). 

- con specifico riferimento all’impiego della posta elettronica in ambito lavorativo, la possibilità che il datore di lavoro assegni al dipendente un indirizzo e-mail individuale rientra tra le misure volte a tutelare e garantire al lavoratore il rispetto del diritto alla vita privata, alla libertà ed alla segretezza della corrispondenza, in tale ambito pertanto i controlli devono essere effettuati in conformità principi di pertinenza e non eccedenza e solo laddove sia stata rilevata un’anomalia, in assenza della quale “non è di regola giustificato effettuare controlli su base individuale” (v. Linee guida del Garante per posta elettronica e internet del 1° marzo 2007, doc. web n. 1387522), in tal senso si è recentemente espressa anche la Corte europea dei diritti dell'uomo, che, nel caso Bărbulescu c. Romania, con sentenza del 5 settembre 2017 (C. 61496/08) ha previsto che nell’effettuare tali controlli sia garantito il giusto equilibrio fra l’interesse del lavoratore al rispetto della propria riservatezza e quello del datore di lavoro di controllare l’uso dei dispositivi aziendali;

- che con specifico riferimento al caso in esame, alla luce di quanto sopra esposto, i messaggi di posta elettronica scambiati tra soggetti terzi rispetto al ricorrente, anche laddove contenessero dati allo stesso riferiti, sarebbero comunque tutelati dal principio di riservatezza della corrispondenza e un eventuale accesso agli stessi configurerebbe un’attività di controllo che, non trovando giustificazioni nella presenza di anomalie, non sarebbe rispondente alle finalità e ai principi di pertinenza e non eccedenza per i quali la stessa attività può essere posta in essere; 

RITENUTO per i motivi sopra indicati che la richiesta del ricorrente volta ad ottenere i dati allo stesso riferiti contenuti nei messaggi di posta elettronica scambiati tra il top management e/o manager vicendevolmente, nonché da e verso il medesimo top management non appaiono meritevoli di accoglimento  e che pertanto il ricorso in ordine a tale profilo debba essere dichiarato infondato;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro; 

TUTTO CIÒ PREMESSO IL GARANTE

dichiara:

- il ricorso inammissibile in ordine alle richieste rispetto alle quali il ricorrente aveva ricevuto riscontro già prima della proposizione del ricorso;

- non luogo a provvedere in ordine alle richieste volte ad ottenere i dati contenuti nelle mail scambiate tra il ricorrente e i rappresentanti del top management;

- il ricorso infondato circa la richiesta volta ad ottenere i dati allo stesso riferiti contenuti nei messaggi di posta elettronica scambiati tra soggetti terzi.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150 avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 aprile 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia