g-docweb-display Portlet

Provvedimento del 27 novembre 2014 [3718714]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3718714]

Provvedimento del 27 novembre 2014

Registro dei provvedimenti
n. 551 del 27 novembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 8 luglio 2014 nei confronti di Iras s.r.l. con cui XY, rappresentato e difeso dall´avv. Salvatore Italia ha chiesto, ribadendo le richieste già avanzate ai sensi degli artt. 7 e 8 d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), la disattivazione dell´account di posta elettronica KW@iras.it attribuito dalla società resistente all´interessato per il periodo, di "circa undici anni dal 2003 al 14 gennaio 2014", in cui lo stesso ha  ricoperto l´incarico di Presidente del Consiglio di Amministrazione di Iras s.r.l., chiedendo altresì "la predisposizione di misure idonee ad informare i mittenti delle comunicazioni" inviate al predetto indirizzo di posta elettronica "della prossima disattivazione dello stesso", nonché  "la trasmissione  (…) della corrispondenza acquisita ed indirizzata" al medesimo "nel periodo dal 17.1.2014 ad oggi" con contestuale cancellazione dei dati trattati in violazione di legge; il ricorrente ha infatti lamentato che "nonostante le formali dimissioni avvenute ed accettate, dal mese di gennaio ad oggi continuano ad arrivare messaggi diretti all´indirizzo mail aziendale", a suo tempo assegnato al medesimo, "essendo l´account di posta elettronica KW@iras.it ancora formalmente attivo senza che (…) il ricorrente vi abbia più la disponibilità, data l´iniziativa unilaterale della società di procedere alla modifica della password di accesso", traendo dunque in errore anche "coloro che inviano messaggi (di qualunque contenuto, privato o lavorativo) che possono ritenere che il destinatario degli stessi sia esclusivamente un´altra persona"; il ricorrente ha inoltre chiesto la liquidazione in proprio favore delle spese sostenute per il procedimento;

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 14 luglio 2014 con la quale questa Autorità, ai sensi dell´art. 149 comma 1 del Codice, ha invitato la società resistente a fornire riscontro alle richieste dell´interessato, nonché la nota del 13 ottobre 2014 con cui, ai sensi dell´art. 149 comma 7 del Codice, è stata disposta la proroga del termine per la decisione sul ricorso;

VISTA la nota trasmessa il 31 ottobre 2014 con cui la società resistente, fornendo riscontro alle richieste dell´interessato, ha dichiarato di aver "provveduto alla disattivazione della casella di posta elettronica relativa all´utente XY con e-mail KW@iras.it" e di aver altresì verificato alla data 30 ottobre 2014 che "è attivo sulla casella (…) un risponditore automatico che in caso di ricezione di posta provvede ad avvisare il mittente" dell´avvenuta disattivazione; il titolare del trattamento ha inoltre comunicato di aver provveduto ad inoltrare al ricorrente un CD-Rom con un file in formato testo contenente "la posta eventualmente ricevuta comprese le e-mail in arrivo sulla casella di posta" indicata nell´atto di ricorso; 

VISTA la nota del 13 novembre 2014 con cui il ricorrente, nel dichiararsi insoddisfatto del riscontro ricevuto, ha rilevato in primo luogo che "disattivare significa letteralmente "rendere inattivo, impedendone il funzionamento"" mentre "è cosa ben nota che un risponditore automatico non impedisce che i messaggi inviati all´account siano scaricati e, quindi, letti dal ricevente, né comporta la cancellazione automatica dei messaggi stessi", ma "si limita ad informare il mittente che la casella di posta non è attiva"; l´interessato ha aggiunto che "il risponditore automatico consente di acquisire l´identificativo dei mittenti e quindi consente alla Iras di conoscere" i suoi contatti personali e professionali, questione non irrilevante anche alla luce "delle dispute commerciali in corso tra le parti", eccependo altresì che "la mancata eliminazione della casella comporta il rischio che la medesima sia impropriamente utilizzata nella funzione di invio di messaggi, oltre che in quella di ricezione"; il ricorrente ha infine rappresentato di non aver mai ricevuto, contrariamente a quanto dichiarato dalla resistente, il CD- Rom contenente i messaggi diretti alla propria casella di posta elettronica dalla data delle sue dimissioni fino alla data in cui il predetto indirizzo è rimasto attivo;

VISTA la comunicazione trasmessa per posta elettronica certificata il 18 novembre 2014 con cui l´Autorità ha chiesto alla società resistente di far pervenire le proprie osservazioni in ordine alle eccezioni sollevate dal ricorrente in relazione alle modalità con cui sarebbe stata effettuata l´affermata disattivazione della casella di posta elettronica aziendale ad esso assegnata;

RILEVATO che lo scambio di corrispondenza elettronica (estranea o meno all´attività lavorativa) tra il ricorrente e soggetti esterni o interni alla struttura aziendale configura un´operazione idonea a rendere conoscibili talune informazioni personali relative all´interessato, si pensi (anche a prescindere dal contenuto della corrispondenza che certamente può contenere dati personali che lo riguardano) al trattamento dei nominativi dei mittenti e/o dei destinatari delle e-mail, già di per sé stessi in grado di fornire, come i dati di traffico telefonico, indicazioni rilevanti in ordine ai contatti e alle relazioni dello stesso ricorrente e, quindi, essere considerati dati personali ad esso relativi (cfr., al riguardo, provv. del Garante 2 aprile 2008, disponibile sul sito www.garanteprivacy.it, doc. web n. 1519703); rilevato che, nel caso di specie, ciò è reso ancora più evidente dal fatto che si tratta di un indirizzo di posta elettronica individualizzato e non di un account condiviso tra più lavoratori, utilizzato dal ricorrente in via esclusiva per l´intero periodo di svolgimento della sua attività presso l´Iras s.r.l. (dal 2003 al 2014);

RILEVATO altresì che, in generale, secondo quanto espressamente enunciato anche nel provvedimento contenente le "Linee guida del Garante per posta elettronica e Internet" (adottato dall´Autorità il 1° marzo 2007 e pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007), "il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati- riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali" (punto 5.2 lett. b)) e che ciò, trasposto in ambito lavorativo, comporta la necessità che l´eventuale trattamento dei dati riferiti a comunicazioni di posta elettronica inviate e ricevute dal dipendente presso l´account di posta elettronica aziendale debba essere garantito da un elevato livello di tutela atto ad impedire, in un´ottica di bilanciamento con i contrapposti interessi del datore di lavoro e in attuazione dei principi di necessità, correttezza, pertinenza e non eccedenza, "un´interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata"; rilevato che tali considerazioni valgono anche nell´ipotesi in cui, per qualunque causa, venga a cessare il rapporto di lavoro e/o collaborazione tra le parti rendendo di fatto non più legittimamente utilizzabile dal datore di lavoro un account di posta elettronica aziendale riconducibile ad un soggetto che non fa più parte dell´organizzazione e rendendo altresì necessaria l´adozione di misure idonee ad informare i terzi estranei della disattivazione dell´indirizzo medesimo, con contestuale indicazione di un diverso indirizzo di posta elettronica aziendale cui inviare le comunicazioni attinenti la sfera lavorativa;

RILEVATO che, nel caso in esame, il titolare del trattamento ha dichiarato di aver provveduto a disattivare l´account di posta elettronica aziendale facente capo all´interessato, senza peraltro specificare quando ciò sarebbe avvenuto, e di aver altresì predisposto un risponditore automatico per avvisare di tale circostanza gli eventuali mittenti di messaggi di posta elettronica; rilevato che la società resistente non ha tuttavia specificato le modalità attraverso le quali la predetta disattivazione sarebbe stata effettuata tenuto conto che, come rilevato anche dal ricorrente, tale affermazione non presuppone  l´avvenuta rimozione dell´account di posta e dunque l´esclusione della possibilità che eventuali messaggi pervenuti successivamente possano essere stati scaricati sul server aziendale e successivamente consultati da soggetti non autorizzati e che, comunque, possano essere conosciuti dal datore di lavoro i dati identificativi dei mittenti dei predetti messaggi;

RITENUTO altresì sussistente, alla luce di quanto sopra esposto, il diritto del ricorrente di accedere alle e-mail pervenute presso l´account di posta elettronica aziendale a sé riferibile a partire dalla data di decorrenza delle rassegnate dimissioni e sino alla data dell´effettiva rimozione dello stesso; ritenuto altresì che tale diritto deve essere esercitato secondo modalità tali da consentire all´interessato di visionare i messaggi pervenuti presso la predetta casella di posta elettronica, estraendo quelli eventualmente aventi contenuto personale o comunque non connessi all´attività aziendale ed ordinando al datore di lavoro la cancellazione, ad accesso avvenuto, degli stessi; ritenuto che tali criteri non risultano soddisfatti dalla comunicazione della resistente in ordine all´affermata avvenuta trasmissione all´interessato di un CD-Rom contenente i predetti messaggi, che peraltro il ricorrente ha dichiarato di non aver mai ricevuto, tenuto conto del fatto che l´estrapolazione dei dati personali dagli archivi che li contengono e la loro registrazione su supporto, oltre a non fornire idonee garanzie in ordine all´integrità dei suddetti dati, implica comunque il rischio di una violazione dei principi di pertinenza e non eccedenza nel trattamento degli stessi da parte del datore di lavoro che potrebbe così venire  a conoscenza anche di dati (del ricorrente e di terzi) non pertinenti all´attività lavorativa;

RITENUTO pertanto, alla luce di quanto sopra esposto, di dover accogliere il ricorso e di dover ordinare alla società resistente di disattivare , qualora questa non abbia già provveduto in tal senso alla data della decisione, nel termine di trenta giorni dalla ricezione del presente provvedimento, l´indirizzo di posta elettronica aziendale KW@iras.it secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali, con contestuale utilizzo, in conformità a quanto previsto dalle sopra citate "Linee guida del Garante per posta elettronica e Internet" (punto 5.2 lett. b)), di un risponditore automatico che avvisi gli utenti dell´avvenuta disattivazione nei trenta giorni successivi a quest´ultima, indicando altresì un indirizzo di posta elettronica aziendale alternativo cui inviare i messaggi attinenti l´attività svolta dall´azienda; ritenuto altresì di dover ordinare, entro il medesimo termine, quale ulteriore misura necessaria a tutela dei diritti dell´interessato ai sensi dell´art. 150 comma 2 del Codice, di consentire al medesimo di accedere, recandosi presso la sede lavorativa, al contenuto dei messaggi indirizzati alla predetta casella di posta dal 17 gennaio 2014, data di dimissioni del ricorrente, sino all´effettiva disattivazione, nel senso sopra chiarito, della casella medesima e di trasporre su supporto cartaceo o informatico i dati personali che lo riguardano contenuti nella corrispondenza in tal modo conservata e ciò, a garanzia della corretta esecuzione dell´accesso medesimo, in presenza dell´amministratore di sistema o di personale di fiducia appositamente incaricato dalla resistente; ritenuto di dover infine ordinare alla resistente, terminate le operazioni di accesso, di cancellare i messaggi di posta elettronica di carattere personale dell´interessato o comunque non aventi alcuna attinenza con l´attività lavorativa svolta;

VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell´ammontare delle spese da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l´ammontare delle spese inerenti l´odierno ricorso nella misura di euro 500 considerati gli adempimenti connessi, in particolare, alla presentazione del medesimo e ritenuto di porli a carico di Iras s.r.l. nella misura di euro 400, previa compensazione della residua parte per giusti motivi;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie il ricorso proposto e, per l´effetto, ordina a Iras s.r.l. di disattivare, qualora questa non abbia già provveduto in tal senso alla data dell´odierno provvedimento, l´indirizzo di posta elettronica aziendale KW@iras.it entro il termine di trenta giorni dalla ricezione della presente decisione secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali, con contestuale utilizzo di un risponditore automatico che avvisi gli utenti dell´avvenuta disattivazione nei trenta giorni successivi a quest´ultima, indicando altresì un indirizzo di posta elettronica aziendale alternativo cui inviare i messaggi attinenti l´attività svolta dall´azienda; ordina altresì di consentire al ricorrente, entro il medesimo termine quale ulteriore misura necessaria a tutela dei diritti dell´interessato ai sensi dell´art. 150 comma 2 del Codice, di accedere, recandosi presso la sede lavorativa, al contenuto dei messaggi indirizzati alla predetta casella di posta dal 17 gennaio 2014, data di dimissioni del ricorrente, sino all´effettiva disattivazione della casella medesima e di trasporre su supporto cartaceo o informatico i dati personali che lo riguardano contenuti nella corrispondenza in tal modo conservata e ciò, a garanzia della corretta esecuzione dell´accesso medesimo, in presenza dell´amministratore di sistema o di personale di fiducia appositamente incaricato dalla resistente, nonché di provvedere, terminate le operazioni di accesso, alla cancellazione dei predetti messaggi di posta elettronica di carattere personale dell´interessato o comunque non aventi alcuna attinenza con l´attività lavorativa svolta;

b) determina nella misura forfettaria di euro 500 l´ammontare delle spese e dei diritti del procedimento che vengono posti, nella misura di 400 euro, a carico di Iras s.r.l. la quale dovrà liquidarli direttamente a favore del ricorrente; compensa tra le parti la residua porzione delle spese.

Il Garante, nel prescrivere a Iras s.r.l., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento entro quarantacinque giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 27 novembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia