[doc. web n. 7659059]

Provvedimento del 30 novembre 2017

Registro dei provvedimenti
n. 512 del 30 novembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 7 luglio 2017 da XX, rappresentato e difeso dagli avv. Carlo Bendin e Carla Raggi, nei confronti di Europam S.p.A., con cui il ricorrente - ex dipendente della resistente - contestando l´idoneità del riscontro da questi ottenuto e ribadendo le istanze già avanzate ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), ha chiesto:

- di ottenere la conferma o meno dell´esistenza dei dati personali che lo riguardano e la loro eventuale comunicazione in forma intelligibile;

- di conoscere l´origine dei dati, le finalità, le modalità e la logica del trattamento effettuato con strumenti elettronici, gli estremi identificativi del titolare e dei responsabili del trattamento, nonché i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o di incaricati o di rappresentante designato nel territorio dello Stato;

- di ottenere la rettifica e l´integrazione dei dati, il blocco dei dati trattati in violazione di legge e l´attestazione che tale intervento sui dati è stato portato a conoscenza, anche nel contenuto, di coloro ai quali i dati sono stati comunicati o diffusi;

- di accogliere la sua opposizione al trattamento per motivi legittimi;

- di ottenere la liquidazione in proprio favore delle spese sostenute per il procedimento;

CONSIDERATO che il ricorrente ha precisato che le richieste avanzate con l´interpello preventivo e ribadite nel ricorso hanno ad oggetto tutti i dati personali trattati dalla resistente mediante qualsiasi strumento, elettronico e non, e per qualsiasi finalità, "inclusi a titolo meramente esemplificativo e non tassativo", quelli contenuti nelle comunicazioni di posta elettronica inviate e ricevute sul proprio indirizzo e-mail aziendale, nelle comunicazioni telefoniche, sms e whatsapp effettuate o ricevute sull´utenza telefonica cellulare utilizzata nel corso del rapporto di lavoro o infine contenuti nel pc aziendale a lui assegnato, "nei server (...) o in documenti cartacei, o in altri dispositivi elettronici (quali ad esempio chiavette, supporti di memorizzazione, ecc.) nessuno escluso";

PRESO ATTO che il ricorrente ha altresì rappresentato che:

- in data 3 febbraio 2017, a seguito della sospensione disciplinare dal servizio, la resistente disattivava la sua casella di posta elettronica aziendale impedendogli pertanto di consultare la corrispondenza sulla stessa pervenuta;

- durante l´assenza per malattia, immediatamente precedente al provvedimento disciplinare, si sarebbero comunque verificati alcuni accessi illeciti alla propria casella di posta elettronica aziendale ed al pc a lui assegnato, violazioni queste dallo stesso prontamente segnalate alla società resistente;

- in data 9 marzo 2017 veniva invece disattivata dal fornitore del servizio telefonico, su richiesta della resistente, la scheda Sim assegnatagli dall´azienda per lo svolgimento delle mansioni lavorative ma anche per esigenze personali, con attribuzione ad un altro dipendente dell´utenza telefonica da lui utilizzata da oltre dieci anni (e che dopo la sua assunzione in Europam S.p.A. nel 2008 aveva accettato di intestare a tale società) rimanendo priva di seguito la sua richiesta di ripristinare come privata l´utenza legata al numero telefonico in questione;

- di non aver mai ricevuto un´informativa o una specifica regolamentazione interna diretta a disciplinare le modalità di utilizzo degli strumenti elettronici da parte del dipendente per l´espletamento delle proprie mansioni, con particolare riguardo alla posta elettronica ed internet;

- che la resistente avrebbe installato sistemi di videosorveglianza senza rendere ai dipendenti informative di sorta, né ottemperando a quanto previsto dal provvedimento generale del Garante in materia di videosorveglianza o da eventuali accordi sindacali o autorizzazioni del Dipartimento Territoriale del Lavoro;

VISTI gli ulteriori atti d´ufficio e, in particolare, a) la nota del 27 luglio 2017 con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell´interessato, b) il verbale dell´audizione svoltasi in data 18 ottobre 2017 presso la sede dell´Autorità, nonché c) la nota 19 ottobre 2017 con la quale è stata disposta, ai sensi dell´art. 149, comma 7, del Codice, la proroga del termine per la decisione sul ricorso;

VISTE la nota dell´8 agosto e la successiva memoria dell´11 agosto 2017 con le quali, richiamandosi a quanto già comunicato con nota del 4 maggio 2017 in risposta all´interpello preventivo, la resistente, rappresentata e difesa dall´avv. Raffaele Greco, ha:

- dichiarato che il ricorrente, assunto nel 2008, è stato licenziato per giusta causa con effetto dal 18 febbraio 2017 a seguito della contestazione disciplinare con la quale era stato dapprima sospeso dal servizio e dalla retribuzione;

- fornito un elenco dei documenti attinenti al rapporto di lavoro intercorso con l´interessato, rendendosi disponibile a trasmetterli a quest´ultimo mediante posta raccomandata o eventualmente a consentirgli l´accesso al fascicolo personale nel corso di un apposito incontro in data da destinarsi;

- indicato i beni personali riconducibili al ricorrente rinvenuti nei locali aziendali dopo la cessazione del rapporto di lavoro e non ancora ritirati dal medesimo, nonostante i ripetuti inviti in tal senso;

- chiarito l´origine dei dati e le finalità del trattamento, comunicando gli estremi identificativi del titolare;

- precisato che i dati possono essere comunicati o venire a conoscenza della responsabile dell´ufficio del personale, nell´esercizio delle proprie funzioni, nonché degli eventuali consulenti esterni, legati da rapporti di collaborazione con previsioni specifiche sulla riservatezza dei dati, per finalità amministrative e contabili;

- dichiarato, con riferimento alle modalità ed alla logica del trattamento, che i dati cartacei attinenti al rapporto di lavoro "sono conservati nell´archivio dell´Ufficio del Personale, chiusi a chiave, non accessibili a terzi e, nella esclusiva disponibilità della Responsabile dell´Ufficio e della Direzione aziendale", mentre i dati detenuti su supporto elettronico sono conservati esclusivamente nel pc di tale responsabile, non collegato ad un server centralizzato e protetto da credenziali conosciute solo da quest´ultima, nonché da "un sistema di controlli e di archiviazione che ne rende impossibile l´accesso da parte di terzi";

- dichiarato di non avere installato in azienda alcun sistema di videosorveglianza diretto al controllo a distanza dei dipendenti;

CONSIDERATO che la resistente ha inoltre rappresentato:

- di aver assegnato al ricorrente la casella di posta elettronica in questione esclusivamente per lo svolgimento delle mansioni lavorative, negando di aver mai avuto accesso ad eventuali comunicazioni dallo stesso effettuate per uso personale, tenuto conto che le comunicazioni di posta elettronica aziendale non sono sottoposte ad alcuna forma di controllo o di "archiviazione centralizzata" e che in ogni caso, stante la cessazione del rapporto di lavoro, "l´indirizzo di posta elettronica è stato disattivato e tutti i relativi dati (a prescindere dalla loro natura) non sono più disponibili";

- che i dati contenuti nel pc, anch´esso assegnato al ricorrente per finalità strettamente attinenti al rapporto di lavoro, non erano sottoposti ad alcuna forma di controllo né erano oggetto di "archiviazione centralizzata" ad esclusione dei dati di contenuto lavorativo che lo stesso ricorrente archiviava sul server aziendale, ribadendo di aver provveduto, alla cessazione del rapporto, alla "disattivazione" dell´account al pc aziendale sul quale non sono stati rilevati dati personali del ricorrente;

- di non aver assegnato al ricorrente alcun altro dispositivo elettronico (quali ad esempio chiavette, supporti di memorizzazione o altro);

- di essere subentrata, dopo l´assunzione del ricorrente, nel contratto di abbonamento riferito all´utenza telefonica cellulare in questione divenuta pertanto aziendale, senza mai effettuare in seguito alcun controllo sulla Sim e sul telefono assegnati al ricorrente, nonché di aver provveduto, dopo la cessazione del rapporto, a far disattivare la scheda Sim e ad assegnarne una nuova collegata all´utenza telefonica cellulare in questione, al dipendente che ha sostituito il ricorrente, precisando che "neppure i dati presenti nella Sim sono, ad oggi, disponibili";

- l´accesso alla casella di posta elettronica ed al pc assegnati al ricorrente erano protetti da credenziali nella esclusiva disponibilità del ricorrente;

CONSIDERATO che la resistente ha pertanto sostenuto la liceità del trattamento dei dati personali svolto in relazione al rapporto di lavoro intercorso con il ricorrente, rilevando l´inammissibilità delle richieste riferite ai dati personali attualmente detenuti dalla società in relazione all´utilizzo degli strumenti di lavoro al medesimo assegnati, e ciò non solo in ragione della genericità delle stesse ma anche perché prive, con particolare riferimento alle richieste di blocco e di opposizione al trattamento, degli elementi posti a fondamento della domanda;

VISTA la nota dell´8 agosto 2017 con la quale il ricorrente, nel contestare in particolare l´adeguatezza delle informazioni ottenute con riguardo ad alcune delle istanze avanzate, ha sostenuto che:

- la resistente avrebbe omesso di indicare gli estremi identificativi dei responsabili del trattamento ed i soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, non avendo fatto alcun cenno alla nomina di un eventuale amministratore di sistema, quale incaricato interno o eventuale responsabile esterno e fornendo informazioni estremamente generiche rispetto agli stessi "consulenti esterni" cui i dati possono essere eventualmente comunicati;

- nessun riscontro sarebbe stato fornito circa la conservazione dei log di navigazione Internet, nonché dei dati riferiti all´uso della posta elettronica o detenuti sui pc o server aziendali;

- la resistente non poteva non essere al corrente degli accessi illeciti alla propria casella di posta elettronica aziendale compiuti, durante la sua assenza per malattia, da un´altra dipendente, tenuto conto che alcune delle comunicazioni e-mail oggetto di contestazioni risultavano trasmesse in copia anche ai vertici aziendali;

- la resistente, contrariamente a quanto dichiarato, avrebbe installato, presso alcune sedi, le telecamere di cui ha prodotto evidenze fotografiche;

VISTA l´ulteriore nota del 27 ottobre 2017 con la quale il ricorrente, nel rilevare di non aver ancora ricevuto i beni personali di cui sarebbe stata offerta la restituzione, ha precisato che all´interno del proprio pc aziendale era presente una cartella nella quale erano conservate fotografie, documenti bancari, fiscali e sanitari, oltre ad altre informazioni personali, dichiarando di voler accedere a tutte le e-mail trasmesse o ricevute attraverso la casella di posta elettronica aziendale;

VISTE le note del 7 e 8 novembre 2017 con le quali la resistente ha precisato:

- che la contestazione disciplinare ed il conseguente licenziamento del ricorrente sono basati su circostanze in nessuno modo desunte dall´accesso al pc e alla casella di posta elettronica assegnati al ricorrente;

- che le telecamere fotografate dal ricorrente sono utilizzate per la sorveglianza delle cisterne poste al di fuori dei locali aziendali e non per il controllo sulle attività dei dipendenti;

- che tutti i documenti attinenti al rapporto di lavoro con il ricorrente, riassunti nella precedente nota dell´8 agosto 2017, sono già in possesso del ricorrente che li ha già prodotti nell´ambito del giudizio di lavoro intrapreso nei suoi confronti;

- gli estremi identificativi della Responsabile IT la quale "svolge (…) compiti di manutenzione ed assistenza qualora si renda necessario e su richiesta degli interessati (autorizzata dalla Società e per essa dalla Direzione Generale)", senza effettuare alcun controllo sui pc dei singoli dipendenti;

- di aver offerto la massima disponibilità per la riconsegna dei beni personali del ricorrente, tuttora presenti nei locali aziendali, che conta di poter presto finalizzare;

- che i contestati accessi alla casella di posta elettronica sarebbero stati effettuati da una collaboratrice del ricorrente il quale, prima di assentarsi, le avrebbe comunicato le credenziali per l´accesso al suo pc ed alla posta elettronica autorizzandola espressamente all´utilizzo di tali strumenti di lavoro al fine di farle "visionare tuti i documenti aziendali rilevanti ed evadere la corrispondenza";

- di non aver rilevato in relazione all´utenza telefonica cellulare in questione, attualmente utilizzata da un´altra dipendente, alcuna foto, contatto o messaggio riconducibile al ricorrente, come da relazione redatta da una società terza in data 7 novembre 2017 di cui ha prodotto copia;

- di non aver rinvenuto la cartella indicata da quest´ultimo, essendo peraltro disponibile a far visionare allo stesso, con l´ausilio di tecnico indicato dalle parti, il pc collocato nella postazione in precedenza utilizzata dal ricorrente, nonché a fargli ascoltare, in contraddittorio, le dichiarazioni della dipendente che avrebbe avuto accesso alla casella di posta elettronica aziendale a lui assegnata;

VISTA la nota dell´11 novembre 2017 con la quale il ricorrente nel ribadire di non aver mai autorizzato l´accesso al proprio account ed alla propria casella di posta elettronica ha sostenuto come quanto riferito da controparte circa i contestati accessi comprovi la violazione da parte della resistente delle norme del Codice e delle indicazioni previste nelle Linee Guida del Garante per posta elettronica e internet (Delib. n. 13 del 1°marzo 2007 doc. web n. 1387522);

VISTE le note del 22 novembre 2017 con la quale la resistente ha confermato di aver consegnato al ricorrente, in data 15 novembre 2017, tutti i beni personali allo stesso riconducibili ancora conservati in azienda manifestando comunque la propria disponibilità, a fronte delle eccezioni del ricorrente circa la presenza di ulteriori beni personali non ancora consegnati, a far verificare a quest´ultimo i locali aziendali allo scopo di dimostrare la veridicità delle proprie dichiarazioni;

CONSIDERATO in via preliminare che il ricorso può essere validamente preso in esame solo in relazione alle richieste che rientrano in quelle esercitabili ai sensi degli artt. 7 e 8 del Codice;

RILEVATO che, dall´esame della copiosa documentazione in atti, risulta che la resistente abbia provveduto – sia pure nel corso del procedimento – a fornire un sufficiente riscontro all´interessato a buona parte delle richieste da questi presentate, con particolare riguardo:

- agli estremi identificativi del titolare del trattamento, all´origine dei dati, alle finalità e alla logica del trattamento, alle modalità di archiviazione dei dati dei dipendenti ed ai soggetti cui questi possono essere comunicati o che possono venirne a conoscenza;

- alla conferma, con dichiarazione della cui veridicità l´autore risponde anche ai sensi dell´art. 168 del Codice ("Falsità nelle dichiarazioni e notificazioni al Garante") di aver disattivato, per effetto della cessazione del rapporto di lavoro, la casella di posta elettronica e la scheda Sim assegnate al ricorrente oltre che la sua utenza di accesso al pc aziendale, non effettuando, in relazione ai predetti strumenti di lavoro, alcun trattamento di dati personali al medesimo riconducibili;

- all´ulteriore documentazione attinente lo svolgimento del rapporto di lavoro;

RITENUTO pertanto che, in ordine a tali profili, debba essere dichiarato non luogo a provvedere sul ricorso ai sensi dell´art. 149, comma 2 del Codice;

RILEVATO, invece, che non risulta essere stato fornito un riscontro sufficiente con particolare riguardo:

alla richiesta di indicazione degli estremi identificativi dei soggetti designati responsabili interni ed esterni del trattamento, nonché delle categorie dei soggetti incaricati del trattamento;

all´individuazione, nell´ambito delle modalità del trattamento, dei tempi di conservazione dei dati personali dei dipendenti detenuti su supporti cartacei e con strumenti elettronici;

RITENUTO, inoltre, quanto alla opposizione al trattamento, che il numero di utenza cellulare utilizzato dal ricorrente per le comunicazioni private ed aziendali durante la sua attività lavorativa in Europam S.p.A., compreso l´utilizzo a fini di messaggistica whatsapp, era stato da questi conferito alla società dopo la sua assunzione nel 2008 e che era stato in precedenza utilizzato dal medesimo per oltre dieci anni quale numero esclusivamente personale;

RITENUTO, pertanto, che detto numero telefonico presenta ormai una inscindibile connessione con la persona del ricorrente, tanto che ad esso non potranno più essere associate utenze whatsapp appartenenti ad altri soggetti senza visualizzare automaticamente anche i messaggi video, audio, fotografici nonché gli eventuali link web o i documenti diretti al medesimo fino a quando tutti i suoi contatti non ne avranno preso conoscenza ed avranno opportunamente modificato le relative impostazioni;

RILEVATO che, nelle more del predetto aggiornamento da parte di un numero imprecisato di soggetti, l´utilizzo da parte di terzi dell´utenza cellulare in questione potrebbe arrecare al ricorrente un serio danno alla riservatezza, all´identità personale ed alla dignità del medesimo;

RITENUTO pertanto, alla luce di tutto quanto appena esposto, di dover accogliere parzialmente il ricorso e, per l´effetto, di dover ordinare al titolare del trattamento ai sensi dell´art. 150, comma 2, del Codice:

a) di comunicare al ricorrente, entro venti giorni dalla ricezione del presente provvedimento, le informazioni di carattere conoscitivo non ancora fornite, anche ad eventuale integrazione di quelle già in parte comunicate nel corso del procedimento;

b) di sospendere immediatamente qualunque utilizzo dell´utenza telefonica cellulare n. XX in modo da consentire al ricorrente, entro dieci giorni dalla ricezione del presente provvedimento, di ottenere l´intestazione a proprio nome dell´utenza in questione;

VISTE le decisioni dell´Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 200,00 a carico di Europam S.p.A. in considerazione degli adempimenti connessi alla presentazione del ricorso, compensando la restante parte per giusti motivi e, in particolare, in ragione del parziale riscontro fornito nel corso del procedimento;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie parzialmente il ricorso e, per l´effetto, ordina al titolare del trattamento, ai sensi dell´art. 150, comma 2, del Codice:

1) di comunicare al ricorrente, entro venti giorni dalla ricezione della presente decisione, le informazioni di carattere conoscitivo sulle quali, secondo quanto indicato in premessa, non è stato fornito un adeguato riscontro;

2) di sospendere immediatamente qualunque utilizzo dell´utenza telefonica cellulare n. XX in modo da consentire al ricorrente, entro dieci giorni dalla ricezione del presente provvedimento, di ottenere l´intestazione a proprio nome dell´utenza in questione;

b) dichiara non luogo a provvedere in ordine ai restanti profili;

c) determina l´ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 200,00 da addebitarsi al titolare del trattamento, che dovrà liquidarli direttamente a favore del ricorrente; compensa la restante parte per giusti motivi.

Il Garante, nel chiedere ad Europam S.p.A., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150 avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia