Versione HTML di base
[doc. web n. 2149222]
Provvedimento del 18 ottobre 2012
Registro dei provvedimenti
n. 307 del 18 ottobre 2012
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia
Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il ricorso pervenuto al Garante il 28 maggio 2012, presentato da XY (rappresentato e difeso dall'avv. Nicola Caselli) nei confronti di
DNArt s.r.l., con il quale il ricorrente, dopo aver ricevuto una contestazione disciplinare cui ha fatto seguito il licenziamento senza preavviso
anche a causa di una verifica effettuata sul pc datogli in dotazione dalla società, dalla quale sarebbe emersa "un'attività in palese concorrenza
con l'azienda" medesima, ha ribadito la richiesta, già avanzata ai sensi dell'art. 7 del Codice in materia di protezione dei dati personali (d. lgs.
30 giugno 2003, n. 196), volta ad opporsi all'ulteriore trattamento dei dati personali che lo riguardano contenuti nella nota di contestazione
disciplinare e a chiederne la cancellazione; ad avviso del ricorrente gli stessi sarebbero stati illecitamente acquisiti dal datore di lavoro che, in
occasione dell'esecuzione delle operazioni di back up del proprio portatile aziendale, avrebbe indebitamente verificato il contenuto di files
aventi carattere personale ("raggruppati in cartelle a nome "mio" e personale XY"") nonché effettuato "accesso a Skype con l'account" del
ricorrente medesimo; ciò in violazione dei principi di liceità e correttezza, tenuto anche conto che "DNArt s.r.l. non ha prefigurato e
pubblicizzato una policy interna sull'utilizzo degli strumenti informatici aziendali" e che il ricorrente "non è mai stato informato sulle
modalità con cui il datore di lavoro avrebbe potuto controllare il portatile concessogli in uso"; rilevato che il ricorrente ha chiesto la
liquidazione in proprio favore delle spese del procedimento;
VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 30 maggio 2012, con la quale questa Autorità, ai sensi dell'art. 149, comma 1 del
Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché la nota del 20 luglio 2012 con la
quale è stata disposta, ai sensi dell'art. 149, comma 7, la proroga dei termini del procedimento;
VISTA la nota del 18 giugno 2012 con la quale il titolare del trattamento, nel richiamare il contenuto della nota di riscontro inviata al
ricorrente in data 23 maggio 2012 (di cui lo stesso è venuto a conoscenza successivamente all'inoltro del presente ricorso), ha affermato che
"l'operazione di back up dei dati contenuti nei p.c. aziendali dati in dotazione ai propri dipendenti viene eseguita a soli fini aziendali, per
proteggere i dati aziendali e garantire la continuità dell'operatività dell'impresa" e che, come previsto dal "regolamento aziendale affisso in
luogo accessibile e visibile a tutti, (…) ogni utilizzo del sistema informativo dell'azienda diverso da finalità strettamente professionali è
espressamente vietato"; la resistente ha quindi chiarito che nel caso in esame, poiché l'interessato – che aveva in dotazione un p.c. Mac che,
"per motivi di incompatibilità dei sistemi", non consente il salvataggio dei dati in automatico ma solo manualmente – "ometteva spesso di
salvare i dati contenuti nel pc in sua dotazione nelle cartelle appositamente create nel server aziendale", l'azienda lo ha invitato a lasciare il
portatile in sede per consentire alla stessa di provvedere al predetto salvataggio; della necessità di tale operazione, da effettuarsi
"settimanalmente", l'interessato era stato preventivamente informato sin dal 1.1.2011 (data di assunzione), come risulta da apposito
documento predisposto dalla resistente recante le istruzioni agli incaricati del trattamento e sottoscritto per accettazione dall'interessato
medesimo (documenti allegati in copia); nella medesima nota la società resistente ha inoltre aggiunto che per quanto riguarda il lamentato
accesso a Skype, l'azienda "non ne è mai stata a conoscenza e non ha mai avuto accesso all'account skipe del ricorrente";
VISTE le note datate 29 maggio e 30 luglio 2012 con le quali il ricorrente, oltre a sottolineare come non appaia chiaro se la resistente sia
venuta a conoscenza del contenuto della cartella personale tramite il "server aziendale ovvero direttamente dal backup del computer", ha
altresì affermato di "non avere mai firmato alcuna documentazione che spiegasse le modalità con cui viene svolto un backup, tantomeno su
un computer Mac" né di avere mai autorizzato "il backup di miei file personali"; in proposito il ricorrente ha inoltre aggiunto che l'unico
documento, da lui firmato, che specificasse le finalità di utilizzo del bene aziendale è quello relativo al telefono cellulare;
VISTA la nota datata 5 ottobre 2012 con la quale la società resistente, nel ribadire che il computer portatile a disposizione dell'interessato
"doveva essere utilizzato per svolgere solo ed esclusivamente attività legale alla sua mansione in azienda" e che "l'operazione di backup è
stata eseguita esclusivamente per finalità aziendali ed esigenze lavorative", ha precisato che: a) il ricorrente era a conoscenza della necessità
di eseguire un back up del p.c. (come dimostra il documento di nomina ad incaricato del trattamento sottoscritto dall'interessato; b) poiché la
predetta operazione, trattandosi di un p.c. Mac, non può essere eseguita automaticamente tra portatile e server, "l'azienda System Line, che ci
fornisce il supporto informatico, ha dovuto salvare tutti i dati dal p.c. in una memoria e poi salvarli sul nostro server aziendale"; c) il
successivo controllo minuzioso in ordine al buon esito del back up è stato eseguito "solo ed esclusivamente dal server";
RILEVATO che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare
l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086,
2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell'esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché,
con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche
essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11, comma 1, del Codice; ciò,
tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere
sensibile;