L’accesso ai dati contentuti nel computer portatile del dipendente, che il dipendente dichiara essere esclusivamente personali, è consentito al datore di lavoro solo previo ordine del magistrato.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTO il ricorso presentato al Garante il 30 luglio 2010 nei confronti di T.E.R. s.r.l. (rappresentata e difesa dall’avv. Giulio De Carolis) con il quale XY (rappresentato e difeso dall’avv. Luca Nisi), ex dipendente della predetta società, ha ribadito la richiesta, già avanzata ai sensi dell’art. 7 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), volta a ottenere la cancellazione dei dati che lo riguardano conservati in alcune directory (dallo stesso espressamente indicate in un “verbale di riconsegna beni e dati”) contenute nell’hard disk del notebook datogli in uso dalla società e restituito alla stessa a seguito del proprio licenziamento, opponendosi al loro ulteriore trattamento; ciò tenuto conto che tali dati non farebbero alcun riferimento all’attività lavorativa prestata, essendo esclusivamente relativi alla propria vita privata (tra essi, ad esempio, il ricorrente cita “numerose foto delle nipotine (…), foto della fidanzata (…) e di altri parenti e amici, le buste paga recapitate dalla società T.E.R. s.r.l. in formato elettronico, (…), e-mail scambiate con familiari, parenti ed amici a mezzo del proprio indirizzo e-mail personale”, per il quale lo stesso ha dichiarato di utilizzare un “client di posta elettronica” distinto da quello utilizzato per la casella di posta attribuitagli dalla società resistente); rilevato che il ricorrente ha chiesto la liquidazione in proprio favore delle spese del procedimento;
VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 9 agosto 2010, con la quale questa Autorità, ai sensi dell’art. 149, comma 1 del Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell’interessato, nonché il verbale dell’audizione del 27 settembre 2010 e la nota del 12 novembre 2010 con la quale è stata disposta, ai sensi dell’art. 149, comma 7, la proroga dei termini del procedimento;
VISTA la memoria inviata via fax il 23 settembre 2010 con la quale la società resistente, nel dichiarare che il computer in questione “non è stato mai riassegnato ad altri, né è stato mai acceso dal momento della consegna da parte del ricorrente a seguito della sospensione dall’attività lavorativa” e che lo stesso sarebbe “conservato in luogo appartato, dedicato e sicuro presso la sede dell’azienda, a disposizione dell’autorità giudiziaria”, ha rappresentato di voler conservare tutti i dati (personali e non) contenuti nel notebook poiché gli stessi, a proprio avviso, sarebbero necessari per far valere e difendere in giudizio i propri diritti, costituendo “gli elementi probatori posti a fondamento delle circostanze che hanno prodotto il licenziamento”; in particolare, la società ha sostenuto che, attraverso “l’account registrato nel computer aziendale (…)” del ricorrente emergerebbe “un preciso intento criminoso che coinvolge” alcuni ex dipendenti e soci della resistente e volto “a creare, attraverso attività di concorrenza sleale, vantaggio illegittimo per sé e per altri e precisamente (…) a spostare le risorse tecniche, economiche ed il know how dell’azienda TER (…) verso un’altra azienda”; rilevato che, alla luce di ciò, la resistente ha rappresentato che “la cancellazione dei dati così come genericamente richiesta creerebbe una inevitabile compressione delle garanzie di difesa dell’azienda che, sul punto, ha già avviato denuncia-querela” e che gli stessi dati comunque evidenzierebbero altresì “l’illegittimo utilizzo da parte del dipendente dello strumento aziendale” alla luce delle disposizioni impartite al riguardo con regolamento di cui la società ha allegato copia;
VISTA la memoria depositata il 27 settembre 2010 con la quale il ricorrente ha insistito nelle richieste formulate e, allegando copia di alcune sue comunicazioni e-mail depositate dalla società in un giudizio attualmente in corso a seguito di opposizione a un decreto ingiuntivo relativo al riconoscimento di indennità da fine rapporto, ha ipotizzato che la stessa abbia già, contrariamente a quanto sostenuto, avuto accesso ai dati conservati nel notebook aziendale; rilevato che il ricorrente ha altresì dichiarato di non aver “attivato formale impugnazione del licenziamento innanzi all’Autorità giudiziaria (…), avviando semplicemente la preliminare e tassativa procedura di conciliazione innanzi alla competente Direzione provinciale del lavoro” e di non vedere la ragione della paventata “compressione del diritto di difesa” della società;
VISTE le note datate 8 ottobre, 4 e 29 novembre 2010 con le quali la resistente ha ribadito di non aver avuto accesso al notebook del ricorrente, ma di aver recuperato le e-mail in questione da altro “hard disk aziendale di back-up lasciato in azienda da uno dei soci” (accusato poi di concorrenza sleale), ora non più disponibile, e di averne verificato “in rete” la provenienza e la destinazione (le stesse sarebbero “partite dal computer aziendale affidato al XY e (…) giunte” al predetto ex socio); rilevato che la resistente ha ribadito di aver operato nel rispetto anche del regolamento aziendale secondo il quale gli strumenti aziendali potevano essere sottoposti “a verifiche e controlli da parte dell’azienda per verificarne il legittimo utilizzo”;
VISTE le memorie del 4 novembre, 17 e 20 dicembre 2010 con le quali il ricorrente ha contestato le argomentazioni della controparte e ha sollevato perplessità in ordine alla liceità della raccolta delle informazioni contenute nelle e-mail depositate dall’azienda nel giudizio per il riconoscimento dell’indennità da fine rapporto, ribadendo le proprie richieste;
RILEVATO che il datore di lavoro può riservarsi anche di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” pubblicate in G. U. n. 58 del 10 marzo 2007 e artt. 2086, 2087 e 2104 cod. civ. );
RITENUTO tuttavia che, nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò tenuto anche conto che tali controlli, indipendentemente dalla loro liceità, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonee a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale;
RILEVATO che, nel caso di specie, la società resistente ha dichiarato di limitarsi a conservare il notebook aziendale che era stato dato in uso al ricorrente e di non aver avuto accesso al suo contenuto e, quindi, ai dati personali che lo riguardano ivi conservati (dichiarazione, questa, della cui veridicità l’autore risponde ai sensi dell’art. 168 del Codice: “Falsità nelle dichiarazioni e notificazioni al Garante”), intendendo solo lasciarlo a disposizione dell’autorità giudiziaria per le eventuali verifiche nell’ambito di procedimenti giudiziari instaurati e instaurandi dalla società;
RILEVATO che, alla luce della documentazione acquisita in atti e delle dichiarazioni rese nel corso del procedimento, risulta comprovato che l’eventuale accesso da parte della società resistente alle directory indicate dal ricorrente contenute nel notebook in questione comporterebbe il conseguente trattamento di dati personali estranei all’attività lavorativa svolta dallo stesso e ciò in assenza dei presupposti di liceità del trattamento previsti dalla legge (cfr. artt. 23, 24 e 26 del Codice) e in violazione dei principi di pertinenza e non eccedenza delle informazioni personali di cui all’art. 11 del Codice (cfr. al riguardo, i principi richiamati da questa Autorità nel provvedimento del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” in G.U. 10 marzo 2007, n. 58, nonché in www.garanteprivacy.it, doc. web. n. 1387522);
RITENUTO pertanto, alla luce di ciò, di dover dichiarare parzialmente fondato il ricorso e, quale misura necessaria a tutela dei diritti del ricorrente ai sensi dell’art. 150, comma 2, del Codice, di dover inibire alla resistente di accedere e di trattare i dati personali del ricorrente contenuti nelle directory dallo stesso indicate nel citato “verbale di riconsegna beni e dati” ed estranei alla sua attività lavorativa; resta salvo il diritto della resistente di conservare intatto l’hard disk in questione per consentire all’autorità giudiziaria di accedervi laddove necessario, fermo restando quanto disposto dall’art. 160, comma 6, del Codice, con riferimento alle autonome determinazioni da parte della stessa in ordine all’utilizzabilità nell’eventuale procedimento penale dei documenti in esso contenuti;
RITENUTO che sussistono giusti motivi per compensare le spese tra le parti alla luce della peculiarità della vicenda esaminata;
VISTA la documentazione in atti;
VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) accoglie parzialmente il ricorso e, ai sensi dell’art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell’interessato, inibisce alla società resistente di accedere e trattare le informazioni personali relative al ricorrente contenute nelle directory dallo stesso indicate nel citato “verbale di riconsegna beni e dati” ed estranei alla sua attività lavorativa;
b) dichiara compensate le spese tra le parti.
Roma, 23 dicembre 2010
IL PRESIDENTE Pizzetti
IL RELATORE Chiaravalloti
IL SEGRETARIO GENERALE De Paoli
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte