g-docweb-display Portlet

Provvedimento del 20 dicembre 2012 [2359009]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2359009]

Provvedimento del 20 dicembre 2012

Registro dei provvedimenti
n. 440 del 20 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso regolarizzato il 9 agosto 2012, presentato da XY nei confronti di Parma Gestione Entrate S.p.A., con il quale il ricorrente, dipendente della predetta società, dopo aver ricevuto nel maggio 2011 una contestazione disciplinare cui ha fatto seguito la sanzione di un giorno di sospensione dal lavoro e dalla retribuzione poiché nel corso di una verifica periodica di "maintenance information security" sarebbero emersi accessi al sito www.ctunnel.com (come ad altri proxy web) da parte dell´indirizzo IP identificativo del pc aziendale allo stesso assegnato, non avendo ricevuto idoneo riscontro alle istanze previamente avanzate ai sensi dell´art. 7 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), ha ribadito le proprie richieste volte ad avere conferma dell´esistenza di dati personali che lo riguardano e ad ottenere la loro comunicazione in forma intellegibile, a conoscerne l´origine, le finalità, le modalità e la logica applicata al loro trattamento, nonché l´indicazione degli estremi identificativi del titolare e del/i responsabile/i eventualmente designato/i e dei soggetti o categorie di soggetti ai quali i dati possono essere comunicati; ciò con specifico riferimento ai dati relativi all´interessato eventualmente contenuti "nei messaggi di posta elettronica aventi lo stesso per oggetto o dallo stesso ricevuti o spediti", nelle "pagine web memorizzate e riprodotte la cui visualizzazione sia stata allo stesso imputata" e in "qualsiasi altra documentazione inerente il sottoscritto relativa a comunicazioni e/o relazioni di altri colleghi"; rilevato che il ricorrente, sostenendo che i predetti dati sarebbero stati illecitamente acquisiti dal datore di lavoro che, in occasione di un intervento di manutenzione e di aggiornamento della sicurezza informatica, avrebbe indebitamente raccolto "i dati della cache dei proxy aziendali" senza la previa informativa e comunque in assenza di un suo consenso, ha anche chiesto la cancellazione, la trasformazione in forma anonima o il blocco dei dati personali acquisiti in asserita violazione di legge, nonché l´attestazione che tali operazioni siano state portate a conoscenza di coloro ai quali i dati sono stati comunicati; rilevato che il ricorrente ha chiesto infine di porre a carico della controparte le spese sostenute per il procedimento;

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 10 agosto 2012, con la quale questa Autorità, ai sensi dell´art. 149, comma 1 del Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell´interessato, nonché la nota del 12 novembre 2012 con la quale è stata disposta, ai sensi dell´art. 149, comma 7, la proroga dei termini del procedimento;

VISTE le note datate 13 settembre 2012 e 17 settembre 2012 con le quali la società resistente (rappresentata e difesa dall´avv. Antonio Giovati), nel richiamare il contenuto della nota di riscontro inviata al ricorrente in data 6 giugno 2011, ha affermato che le "informazioni aggiuntive" che saranno formulate nel corso del presente procedimento sono già in possesso del ricorrente in quanto contenute nella memoria con la quale la medesima società si è costituita nel giudizio dallo stesso promosso dinanzi al Tribunale di Parma – sezione lavoro al fine di vedere dichiarata, tra l´altro, l´illegittimità della sanzione disciplinare inflittagli; la società resistente ha quindi fornito ulteriori precisazioni in ordine alle richieste di accesso formulate dal ricorrente affermando, tra l´altro: a) di "non essere in possesso di alcun dato inerente a messaggi di posta elettronica eventualmente presenti sull´account di posta aziendale, da lei spediti e/o ricevuti, diversi da quelli strettamente attinenti alla sua attività lavorativa (…). La società non compì allora e non ha compiuto dopo alcuna verifica sull´eventuale presenza, nel server aziendale, di messaggi privati (…). I messaggi di posta, tra l´altro, si trovano sul server aziendale, non nella "scatola nera" (…), quindi, non sono mai stati minimamente interessati dalle attività di verifica che la società fu costretta a compiere nel maggio 2011 a seguito dell´emersione delle sue illegittime attività, posto che tali attività non ebbero ad oggetto quanto era presente sul server aziendale (…)"; b) di "non disporre di dati concernenti le sue navigazioni  "internet" e che non aveva e non ha effettuato indagini sull´abuso dell´utilizzo di internet stesso, diverse rispetto a quelle che hanno generato l´avvio della procedura disciplinare (…). I dati di cui ora dispone e che sta trattando, in forma di conservazione, sono quelli che si rinvengono nell´elaborato peritale prodotto in copia nel giudizio pendente dinanzi al Tribunale di Parma (…), vale a dire i dati personali contenuti nei log di sistema (peraltro anonimi) e nei supporti che sono stati periziati. Gli stessi sono ora conservati, su supporto tecnologico, nella cassaforte di Parma Gestione Entrate s.p.a., a disposizione delle varie Autorità che potrebbero essere chiamate a giudicare quanto è accaduto (…) e in quanto necessari per l´esercizio del diritto di difesa della società medesima in giudizio"; c) di "non disporre nemmeno di dati inerenti alle attività che l´interessato potrebbe aver compiuto, coperto dall´anonimato, nei periodi in cui il sistema ha cancellato la tracciabilità dell´utilizzo, da parte sua, del proxy anonimo CTunnel"; nelle medesime note la resistente ha rappresentato che, essendo dotata di un sistema di sicurezza informatico "(denominato "PCS Total Secure)" di tipo "perimetrale" ("che serve a prevenire, controllare e valutare intrusioni (dall´esterno all´interno) ed evasioni (dall´interno all´esterno) non autorizzate nel e dal perimetro della piattaforma di sicurezza") gestito da un soggetto terzo abilitato, la DataConSec s.r.l., quest´ultima, in occasione di una delle periodiche attività di aggiornamento dei sistemi e di analisi dei log ("maintanance information security") rilevò che "nelle date del 28 e 29 marzo 2011 un computer in uso ad un utente della resistente, corrispondente all´indirizzo IP (…) (che la società medesima, in quel momento, non sapeva corrispondere alla postazione del ricorrente, essendo il dato in possesso dell´amministratore di sistema) aveva "loggato" un accesso al sito www.ctunnel.com. In seguito (…) fu possibile appurare che l´indirizzo IP era associato inequivocabilmente al computer aziendale assegnato all´interessato e che gli orari di utilizzo del proxy (…) erano riconducibili agli orari e ai giorni in cui lo stesso risultava al lavoro e collegato alla sua postazione"; appurato quindi che "un utente della rete interna aveva compiuto un´operazione di evasione della difesa perimetrale del sistema, forzando il sistema medesimo ed esponendolo a pericoli (di importazione di virus, di attività di phishing da parte di terzi, ecc.) ma anche e soprattutto per la tipologia e la pericolosità potenziale del sito visitato, che è un proxy anonimo (…), che non è ancora stato inserito nella black list (…) ", la società resistente decise (…) di "acquisire la prova di quel che era avvenuto, per poter compiere le più approfondite verifiche del caso (…)"; il giorno 27 aprile 2011 furono compiute le operazioni di "acquisizione dei file di log del sistema di webfiltering", senza accedere al computer del ricorrente ma lavorando soltanto sulla "scatola nera" e sul "firewall" (…)"  e il successivo 2 maggio 2011 fu compiuto l´accesso fisico alla postazione dell´interessato con asportazione del disco fisso, previa "operazione di blocco del computer, che congela ed attesta il dato identificativo dell´utente in quel momento connesso (…)". Sul punto la società resistente ha precisato che "né l´attività di estrazione dei log, né l´attività di asporto del disco fisso hanno mai comportato alcun accesso od alcun asporto dei dati personali che, eventualmente (la società non dispone dell´informazione), il ricorrente poteva avere conservato sul suo indirizzo di posta elettronica, posto che la posta stessa (…) è depositata su un server che non è mai stato oggetto di alcuna verifica"; visto che la resistente, nel sostenere l´infondatezza delle richieste formulate dal ricorrente ai sensi dell´art. 7, comma 3, del Codice, ha sottolineato come l´interessato fosse stato preventivamente informato, fin dalla data della sua assunzione (risale al 9 maggio 2006 la sua nomina quale incaricato del trattamento) "dell´estrema rilevanza di un uso corretto, pertinente, lecito ed appropriato delle attrezzature informatiche aziendali come della gestione oggettivamente e soggettivamente riservata delle informazioni", attraverso l´adozione di diversi atti i cui contenuti sono stati comunicati a tutti i dipendenti (ivi compreso l´interessato) nonché attraverso l´espletamento di appositi corsi di formazione ai quali l´interessato medesimo ha partecipato. In particolare, la società resistente ha allegato copia: a) del "Modello di gestione e di organizzazione ex d.lg.vo n. 231/2001", portato a conoscenza del ricorrente con ordine di servizio n. 12 del 24 marzo 2010 che, oltre a contenere una parte dedicata ai reati informatici, contempla un codice etico nel quale è riportato, tra l´altro, che "i beni aziendali possono essere usati esclusivamente per scopi connessi e strumentali all´esercizio dell´attività lavorativa"; b) del "Regolamento relativo all´accesso e all´uso del sistema informativo aziendale" anch´esso "diffuso tra i dipendenti" nel quale si rappresenta chiaramente che "l´utilizzo di internet e della posta elettronica è strettamente legato all´attività lavorativa" e si descrivono le relative modalità di controllo da parte del datore di lavoro; c) del verbale di un corso di formazione in materia di protezione dei dati personali tenutosi il 14 aprile 2011 (al quale ha partecipato lo stesso ricorrente come risulta dal "foglio rilevazione presenze riunione") in cui è stata richiamata l´attenzione sul corretto utilizzo dei beni aziendali, con particolare riferimento alle dotazioni ed applicazioni informatiche le quali devono essere utilizzate anche "seguendo attentamente le politiche di sicurezza e riservatezza aziendali";

VISTE le note datate 22 e 28 settembre 2012 con le quali il ricorrente, nel sottolineare che la perizia cui ha fatto riferimento la controparte non risulta allegata alla memoria da lui ricevuta tramite raccomandata, ha rilevato che resistente, oltre a non averne fatto menzione nelle precedenti comunicazioni intercorse (e tanto meno in occasione del riscontro del 6 giugno 2011), persevera nel non comunicare i dati in essa contenuti dichiarando che tale documento è "a sua disposizione", eventualmente anche nel fascicolo processuale; nella medesima nota il ricorrente, rilevando di essere stato sottoposto a "controlli prolungati, costanti e indiscriminati", ha lamentato l´illiceità del trattamento dei propri dati in quanto gli stessi sarebbero stati acquisiti senza effettuare una "graduazione dei controlli" e, in particolare, senza "un controllo preliminare su dati aggregati", al quale eventualmente avrebbe dovuto fare seguito un "avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali (…)";

VISTO il verbale dell´audizione tenutasi il 28 settembre 2012 nel corso della quale la società resistente ha ribadito quanto già affermato nelle memorie precedenti confermando che non ha trattato, e non sta trattando, dati personali dell´interessato relativi ad eventuali messaggi privati di posta elettronica sull´account aziendale o dati relativi a navigazioni internet non attinenti all´attività lavorativa; la stessa ha peraltro precisato che "i dati acquisiti tramite l´attività di verifica descritta nelle note precedenti sono soltanto quelli strettamente pertinenti alle finalità di controllo, vale a dire alla necessità di accertare l´esistenza della violazione, il contenuto dell´autore della stessa e l´esistenza o inesistenza di attività infedeli che potessero comportare la violazione del diritto alla riservatezza della società e di tutti gli utenti i cui dati la società stessa tratta";

VISTA la nota pervenuta via e-mail il 26 novembre 2012 con la quale il ricorrente, nel sottolineare il ritardo con cui la controparte ha fornito riscontro alle proprie richieste di accesso (affermando di essere venuto in possesso della documentazione prodotta solo in data 5 ottobre 2012), ha ribadito le osservazioni già formulate nelle memorie precedenti in ordine all´illiceità del trattamento effettuato dalla resistente, così rinnovando le richieste di cancellazione e di blocco dei dati personali acquisiti dalla stessa nel corso delle indagini espletate e contenuti  nella documentazione depositata nel giudizio attualmente pendente dinanzi al giudice del lavoro;

RILEVATO che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l´effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell´esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all´art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile;

RILEVATO che, sulla base della documentazione in atti, il ricorrente  risulta essere stato previamente informato in riferimento al trattamento di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali controlli sull´utilizzo del personal computer concessogli in uso per esclusive finalità professionali, con particolare riferimento alle modalità e alle procedure da seguire per gli stessi; considerato infatti che nel "modello di organizzazione, gestione e controllo ex d.lgs. n. 231/2001" adottato dalla resistente nell´ottobre 2009 e portato a conoscenza dell´interessato il 24 marzo 2010, nonché nel "regolamento relativo all´accesso e all´uso del sistema informativo aziendale" adottato nel marzo 2008 e oggetto di corsi di formazione rivolti ai dipendenti (ivi compreso l´interessato), la società ha fornito una sufficiente informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in uso ai dipendenti e sull´utilizzo della posta elettronica ed internet; rilevato peraltro che le prescrizioni contenute nell´art. 7 del predetto "regolamento relativo all´accesso e all´uso del sistema informativo aziendale", laddove si fa riferimento a "controlli e correttezza nel trattamento" e alla gradualità dei controlli stessi (che devono preliminarmente essere "anonimi" e che solo in presenza di ripetute anomalie prevedono controlli su base individuale), riguardano il rischio di usi impropri della navigazione in internet (consistenti in attività non correlate alla prestazione lavorativa quali la visione di siti non pertinenti, l´upload o il download di file, l´uso di servizi di rete con finalità ludiche od estranee all´attività) e non operazioni che possono essere definite "di attacco" al sistema di sicurezza quali sono state, nel caso di specie, quelle poste in essere dal pc in uso al ricorrente; trattandosi infatti di operazioni di "evasione della difesa perimetrale del sistema di sicurezza informatico" finalizzate ad aprire un varco (c.d. tunnel) nel sistema medesimo (con conseguente possibile veicolazione all´esterno di informazioni o, al contrario, rischio di possibili accessi abusivi alla rete interna), l´attività di accertamento e verifica espletata dalla società resistente, anche in ragione della delicatezza dell´attività di esazione di imposte svolta dalla stessa, deve ritenersi rispondente ai principi di pertinenza e non eccedenza, essendo la stessa tenuta a monitorare continuamente l´efficacia e l´efficienza del proprio sistema di protezione delle informazioni trattate;

RITENUTO quindi che le richieste formulate con il ricorso ai sensi dell´art. 7, commi 3 e 4 del Codice, devono essere dichiarate infondate dal momento che, allo stato degli atti, non risulta che la società resistente abbia posto in essere un trattamento di dati personali in violazione di legge;

RITENUTO inoltre che, alla luce della documentazione in atti, deve essere dichiarato non luogo a provvedere sul ricorso, ai sensi dell´art. 149, comma 2, del Codice, in ordine alla richiesta di accesso e alle altre richieste di tipo conoscitivo formulate ai sensi dell´art. 7 del Codice, avendo la società resistente fornito un sufficiente riscontro in merito nel corso del procedimento;

RILEVATO, comunque, che resta fermo quanto previsto dall´art. 160, comma 6, del Codice con riferimento alle autonome determinazioni da parte dell´autorità giudiziaria in ordine all´utilizzabilità nel procedimento civile della documentazione eventualmente già acquisita in tale sede;

RITENUTO congruo compensare integralmente le spese fra le parti in ragione della peculiarità della vicenda esaminata e dell´infondatezza delle richieste del ricorrente;

VISTA la documentazione in atti;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara infondate le richieste formulate ai sensi dell´art. 7, commi 3 e 4;

b) dichiara non luogo a provvedere in ordine alle restanti richieste;
c)    dichiara compensate fra le parti le spese del procedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma,  20 dicembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia