Information Society & ICT Law

Il Garante per la protezione dei dati personali ha emanato in data 10 giugno 2010 il provvedimento, di seguito riportato integralmente, con cui ha deciso il ricorso proposto da un lavoratore che lamentava l’illiceità dei controlli fatti eseguire ad un soggetto terzo dal proprio datore di lavoro su file e cartelle presenti su PC aziendale (assegnato in uso al lavoratore).

Il provvedimento è interessante perché affronta temi diversi che si intersecano l’un l’altro: sicurezza informatica aziendale, privacy nel rapporto di lavoro, operazioni di computer forensics (nella parte in cui, ad esempio, i ricorrente aveva contestato le modalità di acquisizione dei file, in sua assenza e alla presenza di un terzo esterno all’azienda, incaricato di eseguire gli accertamenti), regolamenti aziendali, informativa al lavoratore sottoposto al controllo, limiti al potere del datore di lavoro di controllare i contenuti del proprio computer affidato al lavoratore, diritto alla riservatezza,etc.

Fabio Bravo

www.fabiobravo.it

***

Provvedimento del 10 giugno 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il ricorso pervenuto al Garante il 5 marzo 2010, presentato da XY nei confronti di Telepost S.p.A., con il quale il ricorrente, dopo aver ricevuto una contestazione disciplinare cui ha fatto seguito il licenziamento senza preavviso anche a causa di una verifica effettuata sul disco fisso del computer datogli in dotazione dall’azienda e dalla quale è emersa la presenza, nello stesso, di numerosi files contenenti “materiale pornografico”, ha ribadito la richiesta, già avanzata ai sensi dell’art. 7 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), volta ad opporsi all’ulteriore trattamento dei dati personali, anche sensibili, che lo riguardano e a chiederne la cancellazione; ad avviso del ricorrente, gli stessi sarebbero stati illecitamente acquisiti dal datore di lavoro accedendo indebitamente al computer datogli in uso, “in sua assenza e alla presenza di un terzo esterno all’azienda”; ciò, in violazione dei principi di pertinenza e non eccedenza, sottoponendo a verifica il pc aziendale e “portando via fisicamente l’hard disk” al fine di effettuare “un esame tecnico specialistico approfondito dell’apparecchiatura che consenta di individuare tutto il reale contenuto non ancora verificato”; rilevato che, ad avviso del ricorrente, il trattamento dei predetti dati sarebbe avvenuto in violazione dei principi di liceità e correttezza, tenuto anche conto che “la normativa per l’utilizzo dei servizi informatici aziendali è stata inviata per e-mail dal direttore della società il giorno 13.1.2010, appena 24 ore solari prima del controllo individuale (…)” e che, nella stessa, “si esplicitano solo controlli difensivi aziendali relativi ad accessi, indirizzi/siti internet visitati, e-mail in entrata/uscita, non includendo tra essi, quindi, i controlli su file giacenti nel disco fisso (…)”; rilevato che il ricorrente ha chiesto la liquidazione in proprio favore delle spese del procedimento;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 15 marzo 2010, con la quale questa Autorità, ai sensi dell’art. 149, comma 1 del Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell’interessato, nonché la nota del 26 aprile 2010 con la quale è stata disposta, ai sensi dell’art. 149, comma 7, la proroga dei termini del procedimento;

VISTE le note datate 12 e 14 aprile 2010 con le quali la società resistente, nel ricostruire l’accaduto, ha rappresentato che: a) già in data 1 febbraio 2009 la società capogruppo TNT Post Italia (di cui Telepost s.p.a. è parte) ha adottato la “Policy di gruppo relativa alle procedure di sicurezza informatica destinata a tutti i dipendenti, consulenti e terze parti delle società del gruppo”, nella quale è specificato che “il servizio di connessione internet aziendale non deve essere utilizzato per commettere azioni punibili e/o reprensibili quali ad esempio (…) infrangere i diritti di proprietà intellettuale (…) e visitare siti pornografici (…)” e che, successivamente, in data 13 gennaio 2010, la resistente stessa ha “provveduto ad inoltrare nuovamente a tutti i dipendenti la normativa per l’utilizzo dei servizi informatici aziendali” (in cui, alla lett. A), punto 5, è specificato che “non si può scaricare né produrre copie di software e/o file protetti da licenza d’uso, né aziendali né esterni all’azienda” (documentazione di cui ha allegato copia);  b) in data 7 gennaio 2010 Telecom Italia s.p.a., in qualità di fornitore dei servizi di posta elettronica ed accesso ad internet per tutti i computer in uso in Telepost s.p.a, ha inviato “a tutto il personale della resistente due e-mails con le quali informava Telepost della presenza su host ad essa assegnato di materiale presumibilmente coperto da diritto d’autore, chiedendo quindi di procedere alla sua immediata rimozione (…)”; successivamente Telecom Italia s.p.a. ha contattato la resistente “affermando che tali illegittime operazioni di scarico di materiale erano state effettuate dall’user id n. (…)”, che è stato accertato corrispondere a quella del ricorrente; c) in data 14 gennaio 2010, dopo che nel corso della giornata precedente la resistente aveva tentato invano di contattare l’interessato (che aveva richiesto per l’indomani un giorno di ferie) per rappresentargli l’esigenza che lo stesso fosse presente in ufficio a causa di specifiche esigenze di servizio, “il direttore centrale della società Sig. (…), unitamente a personale tecnico del fornitore dell’hardware Sig. (…), hanno proceduto ad aprire la busta sigillata contenente la password di accesso al pc fornito in dotazione esclusiva al ricorrente (…) ed hanno ispezionato alcune cartelle presenti nella memoria del pc ed in particolare una cartella di files denominata “travaso”, nella quale è stata rinvenuta una grande quantità di materiale pornografico (almeno 50 filmati pornografici, nonché centinaia di foto pornografiche) ed altro materiale che è sembrato – ad una prima superficiale analisi – totalmente estraneo all’attività lavorativa”; si è quindi provveduto “a rimuovere e custodire l’unità centrale del pc” e, “una volta depositato formale atto di denuncia-querela nei confronti dell’interessato, a porlo a disposizione della polizia postale per lo svolgimento delle indagini che riterrà opportune”;

VISTA la nota datata 22 aprile 2010 con la quale il ricorrente, nel rilevare  che la richiamata “Policy TNT del 2.2.2009 è stata disattesa da Telepost s.p.a.”, laddove la stessa recita che “non ci saranno controlli individuali sull’uso di internet. In caso siano riscontrati problemi di banda, (…) il gruppo TNT Post ha diritto di monitare anche la singola connessione” e che la stessa “normativa per l’uso dei servizi informatici aziendali in Telepost (pervenuta per e-mail appena 24 ore prima dell’ispezione), nella parte relativa a verifica da parte dell’azienda, nulla specifica sulle modalità da seguire per eventuali controlli sia occasionali che consensuali” (facendo piuttosto riferimento ai “c.d. controlli difensivi che prevedono verifiche su indirizzi/siti internet visitati o e-mail in entrata/uscita ad eccezione dei contenuti delle e-mail e dei relativi allegati”), ha sottolineato come, nella contestazione disciplinare, “nulla mi è stato contestato in proposito e la verifica è stata effettuata sul contenuto del disco fisso”; rilevato che il ricorrente, oltre a lamentare che “non risulta che il tecnico HP intervenuto alla verifica sia un soggetto autorizzato all’assolvimento di tali compiti” (ai sensi della normativa in materia di protezione dei dati personali), ha inoltre rimarcato che, mentre nella memoria di controparte vi sono riferimenti a “connessioni ad internet e al divieto di scaricare e produrre copie di software e/o file protetti da licenza d’uso”, la contestazione di addebito “contiene solo un generico riferimento alla presunta “presenza” di materiale pornografico”;

VISTA la nota datata 5 maggio 2010 con la quale la società resistente ha affermato che “l’indagine condotta era diretta ad accertate la presenza sull’host di materiale coperto da diritto d’autore e non alla verifica della periodicità e continuità degli accessi ad internet” e che “la contestazione effettuata fa esplicito riferimento a filmati presenti nel pc in uso presso la società e quindi a scarico di “file protetti da licenza d’uso”"; rilevato che la resistente ha altresì sottolineato che “al riguardo, la policy aziendale prevede chiaramente al punto 4.3 che il servizio di connessione internet aziendale non deve essere utilizzato per commettere azioni punibili e/o reprensibili, quali ad esempio infrangere diritti o interessi di terze parti, i diritti di proprietà intellettuale ovvero divulgare o reperire materiale osceno, ingiurioso o offensivo di qualsiasi genere (…), visitare siti pornografici (…), scaricare, visionare o usare software e/o informazioni illegali o provenienti da fonti pirata o non correttamente licenziate”; rilevato che la resistente ha altresì affermato che il tecnico che ha ispezionato il pc dell’interessato è dipendente della “società HP, che si occupa della manutenzione del software e hardware in uso presso la società Telepost” e che il trattamento dei dati personali dell’interessato da parte della predetta società è lecito in quanto previsto nell’informativa fornita ai dipendenti il 20 dicembre 2004 (per il trattamento dei dati da parte di società esterne e/o fornitori); visto che, secondo la resistente, la presenza del predetto tecnico “era necessaria, essendo l’unico soggetto in grado sia di verificare sull’hard disk la presenza di materiale coperto da diritto d’autore senza danneggiare o manomettere il contenuto del disco fisso sia di capire quale tipo di file avrebbe potuto avere tale provenienza così evitando il controllo su dati ed elementi che esulavano dall’indagine stessa”;

VISTA la nota datata 17 maggio 2010 con la quale il ricorrente,  nel ribadire quanto già rappresentato nelle memorie precedenti, ha insistito sulle proprie richieste sottolineando, in particolare, che: a) nella contestazione di addebito “non si fa alcuna menzione di avere scaricato file protetti da licenza d’uso, ma solo di presunta generica presenza nel disco fisso di materiale pornografico”; b) nella “policy di gruppo” e nella “normativa per l’uso dei servizi informatici in Telepost” inviata via e-mail il 13.1.2010 non vi è alcuna “specificazione in merito ad un eventuale controllo di tutto il contenuto del disco fisso, come in realtà accaduto”; c) non appare chiaro il collegamento tra l’indagine effettuata e “la segnalazione di Telecom diretta a più di 300 indirizzi mail di ogni parte d’Italia” né se la stessa sia stata intrapresa sulla base di “precise segnalazioni di irregolarità oppure se si sia trattato di controllo a campione come dichiarato nella contestazione e nel provvedimento di licenziamento”;

VISTE le note datate 3 e 10 giugno 2010  con le quali la resistente, nel fornire riscontro a una richiesta di informazioni di questa Autorità, ha ribadito la correttezza e pertinenza del controllo effettuato sul pc del ricorrente, “a prescindere dalle ragioni che hanno condotto a tale controllo”;

RILEVATO che il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.), ma che lo stesso, anche nell’esercizio di tale prerogativa, deve rispettare la libertà e la dignità dei lavoratori nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò tenuto anche conto che tali controlli, indipendentemente dalla loro liceità, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonee a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale (cfr. § 5.2 e 6.1 del provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” pubblicate in G. U. n. 58 del 10 marzo 2007, di seguito “Linee guida per posta elettronica e Internet”);

RILEVATO che, nel caso di specie, la società resistente ha affermato di avere effettuato un controllo sull’hard disk del computer in uso al ricorrente allo scopo di “accertare la presenza sull’host di materiale coperto da diritto d’autore”, dichiarando altresì che il predetto controllo è stato determinato da una segnalazione – non documentata – proveniente da Telecom s.p.a. di “illegittime operazioni di scarico effettuate dall’user id” dell’interessato; considerato che, dalla documentazione acquisita al procedimento, risulta che la resistente ha esperito l’anzidetto controllo informatico in assenza di una previa idonea informativa all’interessato relativa al trattamento dei dati personali (art. 13 del Codice) e, più specificamente, al trattamento di dati che il datore di lavoro potrebbe effettuare in attuazione di eventuali controlli sugli strumenti informatici affidati ai lavoratori per esclusive finalità professionali, ovvero alle modalità da seguire per gli stessi (ad es., circa la presenza dell’interessato, di rappresentanti sindacali, di personale all’uopo incaricato); rilevato infatti che, a tal fine, non possono ritenersi sufficienti le indicazioni che la società ha dichiarato di avere impartito ai propri dipendenti, contenute nella “Policy di gruppo relativa alle procedure di sicurezza informatica” e nella “Normativa per l’uso dei servizi informatici in Telepost” (quest’ultima, peraltro, diramata al personale solo il giorno precedente all’ispezione);

CONSIDERATO che, fermo restando il diritto della società di verificare la violazione da parte del ricorrente degli obblighi a cui lo stesso era soggetto in qualità di prestatore di lavoro (e ciò avendo conservato su uno strumento messo a sua disposizione per l’attività lavorativa file ad essa non attinenti), la società resistente ha effettuato un trattamento di dati eccedente rispetto alle finalità perseguite. Nel caso di specie, stante il divieto, contenuto nella citata “normativa per l’uso dei servizi informatici in Telepost” di “visitare siti e /o memorizzare file che abbiano un contenuto contrario a norme di legge, all’ordine pubblico o al buon costume”, la resistente avrebbe potuto accertare la non conformità del comportamento del ricorrente agli obblighi contrattuali in tema di uso corretto degli strumenti affidati sul luogo di lavoro, limitandosi a constatare l’esistenza, nel computer, di una cartella – “travaso_XY – che già nella denominazione rimandava ad un contenuto di carattere personale, senza la necessità di prendere conoscenza degli specifici “contenuti” della cartella medesima, rispetto ai quali è scaturito un trattamento di informazioni personali eccedenti e non pertinenti (art. 11 del Codice);

RITENUTO, alla luce delle considerazioni sopra esposte, di dover accogliere il ricorso e di dover disporre, ai sensi dell’art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell’interessato, il divieto per la società resistente di trattare ulteriormente le informazioni relative agli specifici file conservati nella cartella “travaso_XY” contenuti nell’hard disk del pc in uso al ricorrente e raccolte nei modi contestati con il ricorso;

RITENUTO che sussistono giusti motivi per compensare le spese tra le parti alla luce della peculiarità della vicenda esaminata;

VISTA la documentazione in atti;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO IL GARANTE

a) accoglie il ricorso e dispone, ai sensi dell’art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell’interessato, il divieto per la società resistente di trattare ulteriormente le informazioni conservate nella cartella “travaso_XY” contenuti nell’hard disk del pc in uso al ricorrente e raccolte nei modi contestati con il ricorso;

b) dichiara compensate le spese tra le parti.

Roma, 10 giugno 2010

IL PRESIDENTE – Pizzetti

IL RELATORE – Chiaravalloti

IL SEGRETARIO GENERALE – De Paoli

(Link al provvedimento sul sito del Garante)