Provvedimento del 17 luglio 2014 [3405174]
Provvedimento del 17 luglio 2014 [3405174]
Condividi[doc. web n. 3405174]
Provvedimento del 17 luglio 2014
Registro dei provvedimenti
n. 370 del 17 luglio 2014
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il ricorso presentato al Garante in data 9 aprile 2014 nei confronti di Veneto Sviluppo S.p.A., con il quale XY, rappresentato e difeso dall´avv. Antonio Forza, dirigente della predetta società, essendo stato sospeso in via cautelare dal servizio (26 febbraio 2014) "con effetto immediato per un grave illecito" per cui si rendeva necessario "procedere ad alcuni accertamenti e verifiche", nonché contestualmente privato della disponibilità di alcuni strumenti aziendali (pc, I-phone e I-pad) con relativa disattivazione delle schede sim e dell´account di posta elettronica attivato sul dominio della società, ha ribadito le istanze previamente avanzate ai sensi degli artt. 7 e 8 d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice") volte ad avere accesso a tutti i dati personali che lo riguardano, anche di carattere sensibile, contenuti nei documenti conservati nei dispositivi informatici a sua disposizione e nella corrispondenza elettronica intrattenuta con il proprio account aziendale, nonché ai dati relativi alla navigazione internet effettuata con il proprio profilo utente; rilevato che il ricorrente, sostenendo che i predetti dati sarebbero stati illecitamente acquisiti dal datore di lavoro, si è altresì opposto al loro ulteriore trattamento, sollecitandone la cancellazione; a suo avviso infatti, la società resistente, sostenendo di dover "accertare l´esistenza di eventuali anomalie circa l´utilizzo della posta elettronica da parte dell´interessato", ha posto in essere un´attività di verifica "sorretta da un intento vagamente ispettivo ed esplorativo, alla ricerca di non precisate eventuali anomalie (…)", che si è sostanziata in un accesso "generico e indiscriminato" a tutti i contenuti del pc aziendale; ciò in violazione non solo dei principi di liceità e correttezza, tenuto conto che la policy aziendale contempla eventuali verifiche del datore di lavoro sul corretto utilizzo della posta elettronica solo "al manifestarsi di situazioni anomale", ma anche di pertinenza e di non eccedenza, giacché le operazioni di acquisizione ed estrazione dei dati hanno coinvolto "la totalità dei dati contenuti nei supporti", nei quali "sono conservati in maniera indistinguibile, accanto ad informazioni strettamente attinenti all´attività di lavoro del ricorrente, contenuti di natura personale e riservata, alcuni anche di carattere sensibile"; rilevato che il ricorrente ha chiesto la liquidazione in proprio favore delle spese del procedimento;
VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 10 aprile 2014 con la quale questa Autorità, ai sensi dell´art. 149 comma 1 del Codice, ha invitato la società resistente a fornire riscontro alle richieste dell´interessato, nonché la nota del 5 giugno 2014 con cui è stata disposta, ai sensi dell´art. 149 comma 7 del Codice, la proroga del termine per la decisione sul ricorso;
VISTE le note pervenute per e-mail il 22, 28 e 30 aprile 2014, con le quali la società resistente, nel rappresentare che il procedimento disciplinare avviato con la nota di contestazione di addebito del 28 marzo 2014 si è concluso in data 29 aprile 2014 con il licenziamento del ricorrente per giusta causa ex art. 2119 c.c., ha precisato che: a) in data 25 febbraio, venuta a conoscenza di una e-mail dal contenuto "denigratorio e diffamante nei confronti dei vertici aziendali" inviata dall´interessato nel febbraio 2013 ad un organo istituzionale, ne ha disposto la sospensione cautelare dal servizio "al fine di evitare la commissione di ulteriori attività denigratorie e dannose per la società e la sua immagine e per scongiurare la cancellazione di eventuali dati aziendali nel tempo necessario ad effettuare le verifiche indispensabili di quanto emerso"; le predette verifiche sarebbero state effettuate nel rispetto di quanto stabilito nel regolamento contenente la policy aziendale sul trattamento dei dati personali, adottato dal Consiglio di amministrazione in data 20 aprile 2011 e revisionato nel marzo 2012; in particolare, "nel consegnare la comunicazione di sospensione cautelare (…), la società sottoponeva al ricorrente la mail anzidetta spiegandogli che sarebbero state svolte indagini allo scopo di verificare se la stessa fosse davvero partita dal computer aziendale in dotazione allo stesso e di verificare l´eventuale esistenza di altre mail sullo stesso tema (…)"; contestualmente la società, nella persona dell´amministratore di sistema, provvedeva al "ritiro delle dotazioni aziendali e a disabilitare l´utenza "active directory" utilizzata per l´accesso ai sistemi informativi aziendali", invitando il ricorrente a "rientrare in azienda in un giorno concordato per assistere alle operazioni dirette ad accertare, tramite accesso al computer in sua dotazione, l´esistenza di eventuali anomalie circa l´utilizzo da parte sua della posta elettronica"; successivamente, a seguito della nota con cui il ricorrente manifestava l´esigenza di farsi assistere da un tecnico informatico, la società resistente, respingendo la sua richiesta, lo invitava a "nominare un suo fiduciario scelto tra i dipendenti dell´azienda", avvertendolo al tempo stesso che, in mancanza di tale designazione, si sarebbe provveduto alle attività di verifica alla presenza di un "fiduciario aziendale"; la resistente ha quindi affermato di avere proceduto alle attività di verifica in data 5 marzo 2014 e ancora il 20 marzo 2014 - sempre previa comunicazione all´interessato - tramite "l´inserimento di alcune parole chiave individuate dal direttore generale, riferite sia al destinatario diretto che al destinatario per conoscenza che all´oggetto del messaggio"; all´esito della ricerca sarebbero state "individuate 7 e-mail che venivano aperte, riprodotte in file salvati in un supporto informatico (...)"; quindi, Veneto Sviluppo S.p.A. inviava all´interessato la nota di contestazione di addebiti; b) le attività di verifica, svolte nel rispetto di tutti i requisiti di liceità del trattamento, hanno riguardato "solo ed esclusivamente l´indirizzo di posta elettronica aziendale dato in dotazione, per scopi di servizio, all´interessato; indirizzo che per la policy aziendale poteva essere utilizzato solo per scopi istituzionali"; le stesse sono state effettuate "con modalità trasparenti, informandone il ricorrente e invitandolo a partecipare personalmente o a nominare un proprio fiduciario (…), per uno scopo determinato esplicito e legittimo, ovvero al fine di verificare la riferibilità allo stesso di una mail dai contenuti diffamatori e allarmanti (…), tramite la ricerca di e- mail contenenti parole chiave precise e determinate, volte a ricercare mail di contenuto prettamente istituzionale, con una ricerca del tutto circostanziata che ha portato al rinvenimento di pochissime mail, le sole ad essere state lette ed estratte"; la società resistente ha quindi sostenuto la piena liceità del trattamento effettuato, aggiungendo che i dati contenuti nelle mail rinvenute sono "dati aziendali, gestiti dal ricorrente nell´esercizio delle funzioni dirigenziali che attualmente (…) non svolge più" e che, in ogni caso, quegli stessi dati devono ritenersi sottratti all´esercizio dei diritti di cui all´art. 7 del Codice per il periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l´esercizio di diritti in sede giudiziaria (art. 8 comma 2 lett. e) del Codice); nelle medesime note la resistente ha d´altra parte manifestato la propria disponibilità a fornire all´interessato o a cancellare, "in contraddittorio con il direttore, l´amministratore di sistema e il fiduciario aziendale, i file e le cartelle con intestazione non inerente l´attività sociale, nonché le comunicazioni e-mail aventi destinatario estraneo all´attività aziendale";
VISTA la nota datata 15 maggio 2014 con la quale il ricorrente, nel contestare la ricostruzione della vicenda come rappresentata dalla controparte, ha evidenziato che: a) è inveritiera l´affermazione secondo cui la mail che è poi stata oggetto della contestazione di addebito formalizzata dalla società in data 27.3.2014 fosse stata mostrata al ricorrente il 26 febbraio 2014 in occasione della comunicazione con cui veniva disposta la sospensione cautelare dal servizio; la predetta affermazione sembra piuttosto, ad avviso del ricorrente, un "maldestro tentativo di far apparire già dall´inizio circoscritta l´area di indagine sulle mail, mentre la ricerca sulla corrispondenza è avvenuta con modalità non comunicate preventivamente, da "pesca a strascico"; b) non corrisponde altresì al vero che la resistente abbia inviato formale comunicazione all´interessato prima dell´accesso eseguito il 20 marzo 2014 (e, in ogni caso, un avviso inviato tramite a/r "in data 19 marzo sarebbe stato totalmente inidoneo a consentire al destinatario di esercitare qualsivoglia iniziativa (…)"); c) non sono state rese note preventivamente le modalità di ricerca delle mail né sono stati comunicati i verbali delle attività di verifica, neppure con la contestazione di addebito (mentre gli stessi "li conosciamo soltanto oggi"); d) nei predetti verbali non viene specificato, in particolare, "quali software – se certificati o meno - siano stati utilizzati per compiere l´accesso e per l´analisi dei contenuti del pc e se sia stato utilizzato un blocco hardware (…)"; le stesse "modalità di ricerca attraverso l´uso di parole chiave non sono previste nel documento di policy in via astratta, né sono nominate nella contestazione di addebito in cui invece ci si sarebbe dovuti aspettare una piena discovery da parte dell´azienda"; e) suscita perplessità la stessa designazione del fiduciario aziendale, dal momento che la persona che la resistente ha affermato essere stata indicata da tutti i lavoratori è "l´amministratore di sistema "storico" della società, il quale ricopriva ancora tale ruolo al momento dei fatti";
VISTE le note pervenute per e-mail il 28 maggio, il 16 e il 20 giugno 2014 con le quali la società resistente ha replicato alle osservazioni formulate dal ricorrente osservando che: a) ai fini dell´accertamento di un eventuale trattamento illecito di dati, "è del tutto indifferente che il ricorrente conoscesse o meno, prima della verifica, il contenuto della segnalazione che aveva dato il via alla procedura (di verifica), rilevando esclusivamente che egli sia stato informato delle intenzioni di procedere con la suddetta verifica e messo nelle condizioni di parteciparvi e che questa sia stata pertinente e non eccedente"; b) la comunicazione della verifica del 20 marzo 2014 è stata preventivamente trasmessa all´interessato tramite raccomandata spedita "il 19 marzo 2014 e recapitata presso la residenza del ricorrente nella mattinata del 20 marzo 2014, quindi in termine perché lo stesso potesse partecipare alle operazioni di accesso" (la stessa è poi stata restituita al mittente per compiuta giacenza); c) in ordine alle osservazioni dell´interessato circa la non rispondenza delle modalità di accesso utilizzate (tramite parole chiave) ai principi stabiliti nella policy aziendale, appare evidente come nel rispetto dei principi generali stabiliti nella policy anzidetta, "i datori di lavoro potranno decidere di volta in volta lo strumento di indagine più adeguato alla finalità dichiarata (…). Nel caso in esame, alla società è apparso che (…) nulla di più garantista per il lavoratore vi fosse se non quello di limitare l´indagine all´ambito nel quale era stata riscontrata l´esistenza di un comportamento illecito"; d) quanto, infine, alla nomina del fiduciario aziendale nella persona del dott. (…), quest´ultimo "non è amministratore di sistema ma semplicemente sostituto eventuale in caso di impedimento del titolare dell´incarico";
VISTA la nota pervenuta per e-mail il 16 giugno 2014 con la quale il ricorrente, nel ribadire che il "limitatissimo preavviso circa la verifica del 20 marzo e il mezzo di comunicazione prescelto dall´azienda non gli hanno consentito di esercitare alcuni diritti come, ad esempio, essere assistito dalle organizzazioni sindacali dei dirigenti e/o decidere di sostituire il fiduciario aziendale con uno di propria nomina", ha evidenziato "alcune anomalie che sorgono dalla lettura dei verbali di verifica – e annessi allegati – relativi agli accessi al pc del 5 e 20 marzo"; in particolare il ricorrente ha rilevato come nel corso del primo accesso siano state utilizzate un cospicuo numero di parole chiave che avrebbero portato all´individuazione ed estrazione di n. 7 file, mentre nel corso del secondo accesso, "nonostante il ridotto numero di parole chiave (di cui le prime due già utilizzate nella ricerca precedente), i file estratti sono ben 15"; tra questi file si rinvengono ben 4 e-mail che si sarebbero già potute/dovute individuare con il primo controllo";
RILEVATO che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l´effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell´esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all´art. 11 comma 1 del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti o di dati di carattere sensibile;
RILEVATO che, nel caso di specie, sulla base della documentazione acquisita al procedimento, il ricorrente risulta essere stato previamente informato in riferimento al trattamento di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali verifiche e controlli sull´utilizzo del personal computer concessogli in uso per esclusive finalità professionali, con particolare riferimento alle modalità e alle procedure da seguire per gli stessi; considerato infatti che nel documento di "Policy in attuazione del d.lgs. n. 196/2003" adottato dal titolare del trattamento il 20 aprile 2011 ( revisionato il 21-26 marzo 2012) e messo a disposizione dei dipendenti, la società, nel dichiarare espressamente che tutti "i dispositivi informatici devono essere utilizzati per fini professionali evitando utilizzi impropri che possano essere di danno o in contrasto con l´interesse aziendale", ha fornito un´idonea informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui personal computer concessi in uso ai dipendenti e sull´utilizzo della posta elettronica e internet;
RITENUTO quindi che, alla luce delle predette considerazioni, il trattamento dei dati del ricorrente acquisiti dalla società resistente nel corso delle due verifiche effettuate sull´account di posta elettronica del ricorrente medesimo al fine di accertare l´eventuale suo comportamento illecito, anche alla luce di quanto emerge dai verbali delle verifiche stesse, non risulta essere stato effettuato in violazione dei principi di liceità, pertinenza e non eccedenza di cui all´art. 11 del Codice, avendo peraltro la società circoscritto l´ambito dell´attività di accertamento tramite l´utilizzo di parole chiave e avendo la stessa dichiarato, nel corso del procedimento (con dichiarazione della cui veridicità l´autore risponde ai sensi dell´art. 168 del Codice "Falsità nelle dichiarazioni e notificazioni al Garante") che le attività di controllo hanno riguardato "solo ed esclusivamente l´indirizzo di posta elettronica aziendale dato in dotazione, per scopi di servizio, all´interessato"; ritenuto quindi che le richieste formulate con il ricorso, ai sensi dell´art. 7 commi 3 e 4 del Codice, devono essere dichiarate infondate dal momento che, allo stato degli atti, non risulta che la società resistente abbia posto in essere un trattamento di dati personali in violazione di legge;
CONSIDERATO peraltro che, nel caso in esame, l´indirizzo di posta elettronica aziendale utilizzato dal ricorrente (aXY@venetosviluppo.it), essendo un indirizzo individualizzato recante nome e cognome dello stesso - e non un indirizzo condiviso tra più lavoratori – non può non essere considerato quale dato personale del ricorrente medesimo, anche a prescindere dal contenuto della corrispondenza; ritenuto tuttavia che, con specifico riferimento ai soli dati acquisiti nel corso delle verifiche esperite sull´account del ricorrente, la società resistente ha legittimamente invocato il temporaneo differimento del diritto di accesso di cui all´art. 8 comma 2 lett. e) del Codice, fornendo elementi sufficienti a supporto della propria richiesta, rappresentando in particolare l´esistenza di una situazione precontenziosa fra le parti ed evidenziando che i dati in questione sono strettamente pertinenti all´attività lavorativa del ricorrente e alle ragioni che hanno recentemente condotto al suo licenziamento;
RITENUTO quindi che, in ordine alla richiesta di accesso formulata dal ricorrente, il ricorso deve essere solo parzialmente accolto e deve pertanto ordinarsi alla resistente, quale misura a tutela dei diritti dell´interessato ai sensi dell´art. 150 comma 2 del Codice, di consentire al ricorrente, entro il termine di trenta giorni a partire dalla data di ricezione del presente provvedimento, di accedere a tutti i dati personali che lo riguardano contenuti nei documenti conservati nei dispositivi informatici di cui aveva disponibilità e quindi anche nella corrispondenza elettronica intrattenuta tramite il proprio account aziendale e di trasporre eventualmente gli stessi su supporto cartaceo o informatico, alla presenza - a garanzia della corretta esecuzione dell´accesso medesimo - dell´amministratore di sistema e di un fiduciario appositamente designato;
VISTO l´art. 150 comma 5 del Codice, secondo cui se sorgono difficoltà o contestazioni riguardo all´esecuzione del provvedimento del Garante, questo, sentite le parti ove richiesto, dispone le modalità di attuazione dello stesso;
RITENUTO che sussistono giusti motivi per compensare fra le parti le spese del procedimento;
VISTA la documentazione in atti;
VISTI gli artt. 145 e ss. del Codice ;
VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
TUTTO CIÒ PREMESSO IL GARANTE:
a) accoglie parzialmente la richiesta di accesso formulata dal ricorrente e ordina alla resistente, quale misura a tutela dei diritti dell´interessato ai sensi dell´art. 150 comma 2 del Codice, di consentire al ricorrente, anche in eventuale contraddittorio con questa Autorità ai sensi dell´art. 150 comma 5 del Codice, entro il termine di trenta giorni a partire dalla data di ricezione del presente provvedimento, di accedere a tutti i dati personali che lo riguardano contenuti nei documenti conservati nei dispositivi informatici di cui aveva disponibilità e quindi anche nella corrispondenza elettronica intrattenuta tramite il proprio account aziendale e di trasporre eventualmente gli stessi su supporto cartaceo o informatico, alla presenza - a garanzia della corretta esecuzione dell´accesso medesimo - dell´amministratore di sistema e di un fiduciario appositamente designato;
b) rigetta il ricorso limitatamente ai soli dati acquisiti nel corso delle due verifiche (rispettivamente del 5 e 20 marzo 2014) esperite sull´ account del ricorrente per i quali la società resistente ha legittimamente invocato il temporaneo differimento del diritto di accesso di cui all´art. 8 comma 2 lett. e) del Codice;
c) dichiara infondate le richieste formulate ai sensi dell´art. 7 commi 3 e 4 del Codice ;
d) dichiara compensate le spese del procedimento.
Il Garante, nel prescrivere a Veneto Sviluppo S.p.A., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento entro quarantacinque giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice . Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.
Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.
Roma, 17 luglio 2014
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia
