Provvedimento del 24 febbraio 2010

vedi anche [Linee guida per posta elettronica e Internet]

PROVVEDIMENTO DEL 24 FEBBRAIO 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale reggente;

VISTO il ricorso presentato al Garante il 17 novembre 2009 nei confronti di Metal's S.p.A. (rappresentata e difesa dall'avv. Alvise Fontanin) con il quale XY (rappresentato e difeso dagli avv.ti Maria Luisa Miazzi e Francesco Rossi), dopo essere stato licenziato dalla resistente per aver scaricato dalla rete internet, senza autorizzazione, sul computer datogli in dotazione dall'azienda, un software per la condivisione di files (Utorrent) e alcuni files, ha ribadito la richiesta, già avanzata ai sensi dell'art. 7 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), volta ad opporsi all'ulteriore trattamento dei dati che lo riguardano relativi alle "informazioni scaricate" e a chiederne la cancellazione; ad avviso del ricorrente, le stesse sarebbero state acquisite dal datore di lavoro accedendo indebitamente al computer datogli in uso, "approfittando della sua assenza per ferie e della mancanza di una password iniziale", in violazione del principio di correttezza, tenuto conto dell'assenza di una previa informativa circa "le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette" e la possibilità di effettuare controlli, nonché di "un disciplinare interno che precisasse che lo scarico di software o di file dalla rete – nonché la loro conservazione sul disco rigido – non erano consentiti"; rilevato che il ricorrente ha chiesto la liquidazione in proprio favore delle spese del procedimento;

VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 25 novembre 2009, con la quale questa Autorità, ai sensi dell'art. 149, comma 1 del Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché la nota del 23 dicembre 2009 con la quale è stata disposta, ai sensi dell'art. 149, comma 7, la proroga dei termini del procedimento;

VISTE le memorie datate 4, 9 e 17 dicembre 2009 con le quali la società resistente, nel precisare che il ricorrente, "in ragione della particolare attività lavorativa che egli doveva svolgere", era uno dei pochi lavoratori cui era stata data la possibilità di accedere a internet, ha negato la cancellazione dei dati, dichiarando di aver acquisito le informazioni circa il download del programma e di alcuni files a seguito di un controllo sulla rete operato, il 10 aprile 2009, dopo che era stata riscontrata, in ambito aziendale, "un'estrema lentezza nell'accesso alle pagine internet": in tale occasione, con l'intervento di un tecnico, sarebbe stato appurato "sul firewall (…) un eccessivo utilizzo della banda internet da parte del pc del signor XY (…) per un totale di circa 15GB. Tale utilizzo era sicuramente eccessivo e sproporzionato per lo svolgimento di qualunque attività lavorativa" ed era il risultato dell'utilizzo del programma Utorrent per il download di files, poi rinvenuti nel disco fisso del pc del ricorrente, rimasto acceso anche in sua assenza; secondo la resistente, i dati sarebbero stati acquisiti dunque in modo lecito, essendosi la società attenuta "a criteri di pertinenza e non eccedenza limitandosi di fatto a verificare il comportamento anomalo idoneo a determinare un evento dannoso ai suoi danni e solo quello" ed avendo provveduto a rimuoverne le cause;

VISTE le note datate 17 e 18 dicembre 2009 e la memoria del 15 gennaio 2010 con le quali il ricorrente ha contestato la ricostruzione dell'accaduto proposta dalla resistente e ha insistito sulle proprie richieste, rilevando che la società avrebbe "effettuato il controllo (in assenza di ogni regola) solo per acquisire dati (…) utili per effettuare la contestazione di addebito"; a parere del ricorrente, la società avrebbe dovuto "limitarsi a rimuovere la causa del rallentamento tramite l'elementare chiusura dell'applicazione ovvero la sua disinstallazione" e non ricercare "all'interno dell'hard disk del terminale (…) informazioni dettagliate sull'attività svolta dallo stesso, pervenendo a "scoprire" il giorno e l'ora esatti in cui il programma era stato installato nel pc (6 aprile, ore 9.27), nonché il tipo e le dimensioni dei files scaricati";

VISTA la memoria del 12 febbraio 2010 con la quale la resistente ha dichiarato di aver informato il ricorrente della necessità di utilizzare internet e la posta elettronica solo per ragioni lavorative nel momento in cui venne abilitato al loro utilizzo e che lo stesso "era a conoscenza del fatto che la Metal's era dotata (ed è tuttora) di un sistema di filtro che impedisce ai lavoratori di entrare in siti particolari" e che "l'accesso ai computer dei dipendenti era possibile da parte del responsabile della manutenzione (CED) per risolvere i problemi tecnici, come quello che si era verificato il 10.4.2009 (…) e che, per i casi di necessità e urgenza, ciò era possibile anche in assenza del lavoratore"; rilevato che la resistente ha ribadito di essere intervenuta solo per risolvere il problema di rete verificatosi, tanto da averlo risolto "disabilitando l'accesso ad internet del computer del sig. XY"; rilevato che la società ha dichiarato altresì che il computer del ricorrente "non è più utilizzato dalla Metal's ed è tenuto, scollegato e spento, nel magazzino aziendale", mentre la società ha "conservato la prova dell'esistenza del programma con cui venivano scaricati i film e dei film stessi e ciò al solo fine di poter provare gli addebiti mossi al lavoratore in caso di impugnazione del licenziamento, o per il caso in cui controlli degli organi competenti, verificando il comportamento illegittimo di scarico di film da internet" portino ad "agire contro la Metal's (per potersi poi rivalere nei confronti del XY)";

RILEVATO che il datore di lavoro, per ridurre il rischio di usi impropri della "navigazione" in Internet (consistenti in attività non correlate alla prestazione lavorativa quali la visione di siti non pertinenti, l'upload o il download di file, l'uso di servizi di rete con finalità ludiche o estranee all'attività), è tenuto ad adottare opportune misure che possano prevenire controlli successivi sul lavoratore; ciò tenuto conto che tali controlli, indipendentemente dalla loro liceità, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonee a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale (cfr. provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007, di seguito "Linee guida per posta elettronica e Internet");

RILEVATO che nel caso in cui, come accaduto nella specie, un evento dannoso non sia stato impedito con preventivi accorgimenti tecnici, il datore di lavoro può adottare eventuali misure che consentano la verifica di comportamenti anomali e intervenire per ripristinare le funzionalità della propria struttura lavorativa anche effettuando controlli mirati (cfr. le citate "Linee guida per posta elettronica e Internet"); rilevato inoltre che lo stesso può riservarsi anche di controllare (direttamente o attraverso la propria struttura) l'effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.);

RITENUTO tuttavia che, nell'esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11, comma 1, del Codice;

RILEVATO che, nel caso di specie, la società è intervenuta con lo scopo di risolvere un'anomalia tecnica riscontrata nel funzionamento della propria rete informatica e che, a tal fine, ha effettuato un controllo sulla banda di rete utilizzata al momento dai propri dipendenti e sulla quantità e qualità del flusso medesimo, verificando così lecitamente l'uso anomalo della banda di rete da parte del computer del ricorrente e le ragioni di tale anomalia;

RILEVATO che, per la soluzione del problema così accertato, la resistente ha provveduto, come dalla stessa dichiarato, a disabilitare l'accesso a internet del ricorrente; rilevato che, per effettuare tale disabilitazione, la società non aveva però necessità di accedere ai contenuti conservati nel terminale del ricorrente e considerato pertanto che l'ulteriore verifica operata presso il computer in questione, rimasto acceso in sua assenza, appare piuttosto volta a verificare la violazione da parte del ricorrente degli obblighi a cui lo stesso era soggetto in qualità di prestatore di lavoro (e ciò avendo raccolto e conservato su uno strumento posto a sua disposizione per l'attività lavorativa file ad essa non attinenti); rilevato che, a tal fine, la resistente ha esperito alcuni accertamenti in assenza di una previa informativa relativa al trattamento dei dati personali (art. 13 del Codice) e in difformità dall'art. 11 del Codice;

RILEVATO infatti che il ricorrente, assente all'atto della ricerca, dell'individuazione e della visione del contenuto dei file scaricati e conservati sul proprio computer, non risulta, sulla base della documentazione in atti, essere stato informato previamente dell'eventuale svolgimento di tali tipi di controllo. A tal fine, non possono ritenersi sufficienti le indicazioni orali che la società dichiara di aver impartito al proprio dipendente: il riferimento all'obbligo di utilizzare gli strumenti elettronici affidati ai lavoratori per esclusive finalità professionali non risulta sufficiente laddove non sia contestualmente fornita un'informativa specifica in riferimento al trattamento di dati personali che il datore di lavoro potrebbe effettuare in attuazione di eventuali controlli su tali strumenti, ovvero alle modalità da seguire per gli stessi (ad es., circa la presenza dell'interessato, di rappresentanti sindacali, di personale all'uopo incaricato);

RILEVATO che, fermo restando il diritto della società di acquisire prova dell'utilizzo anomalo della banda internet e della qualità di tale flusso (l'utilizzo di un software non necessario per lo svolgimento dell'attività lavorativa), con la visione e l'acquisizione della "prova dell'esistenza" dei contenuti dei file effettivamente scaricati sul disco fisso del ricorrente, la società ha effettuato un trattamento di dati eccedente rispetto alle finalità perseguite. Nel caso di specie, stante il divieto di utilizzare il computer per motivi non strettamente professionali, la resistente avrebbe potuto dimostrare la non conformità del comportamento del ricorrente agli obblighi contrattuali in tema di uso corretto degli strumenti affidati sul luogo di lavoro, limitandosi a constatare l'installazione sul computer di un programma non autorizzato e il suo impiego non corretto (effettuato, tra l'altro, lasciando il terminale acceso anche in sua assenza), senza la necessità di prendere conoscenza degli specifici "contenuti" e delle tipologie di file scaricati (ad esempio, facendo riferimento alla sola "dimensione" informatica del flusso e dello spazio di memoria occupato sull'hard disk);

RITENUTO, alla luce delle considerazioni sopra esposte, di dover accogliere per questa parte il ricorso e di dover disporre, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente, le informazioni relative agli specifici file scaricati dal ricorrente, raccolte nei modi contestati con il ricorso;

RILEVATO comunque che resta fermo quanto previsto dall'art. 160, comma 6, del Codice con riferimento alle autonome determinazioni da parte dell'autorità giudiziaria in ordine all'utilizzabilità nel procedimento civile della documentazione medesima;

RITENUTO che sussistono giusti motivi per compensare le spese tra le parti alla luce della peculiarità della vicenda esaminata;

VISTA la documentazione in atti;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie parzialmente il ricorso e dispone, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente, le informazioni relative agli specifici file scaricati dal ricorrente sul proprio hard disk, raccolte nei modi contestati con il ricorso;

b) dichiara compensate le spese tra le parti.

Roma, 24 febbraio 2010

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli