Sentenza integrale:
[doc. web n. 1812154]
Vietato il trattamento di dati personali del dipendente ricavati da file e documenti acquisiti nell’ambito di operazioni di backup effettuate sul server aziendale – 7 aprile 2011
Registro dei provvedimenti
n. 139 del 7 aprile 2011
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);
VISTO il provvedimento del 1° marzo 2007, recante le Linee guida per posta elettronica e internet, pubblicato in G.U. 10 marzo 2007, n. 58;
VISTO il reclamo del 6 febbraio 2010 formulato ai sensi degli artt. 142 e ss. del Codice da XY nei confronti di JJ S.p.A.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
PREMESSO
1. Il reclamo.
1.1. XY, dipendente di JJ S.p.A., in data 8 aprile 2009 ha ricevuto una lettera di contestazione disciplinare con la quale le veniva ascritto, tra l’altro, un indebito utilizzo degli strumenti aziendali volti all’espletamento delle funzioni lavorative.
Secondo quanto riferito, tale uso si sarebbe concretizzato nell’impiego del computer –sin dalla data di assunzione dell’interessata e durante l’orario di lavoro– per finalità non riconducibili all’attività istituzionale della società e, più precisamente, per svolgere attività di consulenza a vantaggio di terzi. Di tale attività la società sarebbe venuta a conoscenza nell’ambito di un presunto “controllo” che alcuni esponenti aziendali avrebbero effettuato “in modo assolutamente occulto e con modalità non dichiarate” sul computer in uso all’interessata e sui file ivi contenuti, presenti in una cartella che la stessa reclamante aveva qualificato come “personale”.
Considerato che tra i file oggetto dell’ipotizzato accesso figurerebbero anche “prenotazioni alberghiere, foto dei […] bambini e di famiglia ed anche dati sensibili quali referti medici”, l’istante ha chiesto all’Autorità di disporre il blocco o il divieto del trattamento dei dati personali illecitamente acquisiti dalla società (con contestuale declaratoria di inutilizzabilità degli stessi), prescrivendole, al contempo, di adottare misure opportune o necessarie per conformare le operazioni di trattamento alle disposizioni vigenti.
1.2. Secondo la reclamante, l’accesso al computer e ai file ivi contenuti –in precedenza già oggetto, secondo quanto riferitole da alcuni colleghi, di un altro tentativo di accesso da parte dei medesimi esponenti aziendali– non sarebbe avvenuto “accidentalmente” (come dichiarato dalla società in un pregresso scambio epistolare con l’interessata) nell’ambito di “ordinarie operazioni di gestione del server” aziendale (cfr. all. 6 al reclamo), bensì tramite un intervento “diretto” sullo strumento; inoltre, la reclamante ha sostenuto che, in considerazione della natura dichiaratamente “personale” della cartella denominata “XY_personali”, contenuta nel disco locale “C” (originariamente “condiviso” di default), la stessa avrebbe dovuto essere espunta dalle operazioni di backup effettuate periodicamente dalla società. Infine, la XY ha sostenuto che tale intervento sarebbe stato effettuato nonostante il fatto che la società, a dispetto del divieto formalmente imposto ai dipendenti circa un’utilizzazione a fini personali degli strumenti aziendali, avesse comunque sempre manifestato tolleranza nei confronti di tale uso.
A tale riguardo, la reclamante ha precisato che la società non avrebbe adottato alcuna specifica policy volta a disciplinare, in forma chiara e puntuale, l’utilizzo degli strumenti elettronici affidati in dotazione ai dipendenti, ma si sarebbe limitata a redigere un regolamento interno contenente alcune “norme di comportamento” da osservare ai fini del “corretto e regolare svolgimento dell’attività” lavorativa. L’omessa adozione di tale policy, a detta dell’istante, avrebbe determinato un trattamento illecito dei suoi dati, perché acquisiti, oltre che in violazione dell’art. 11, comma 1, lett. a) e b) del Codice, anche in difetto delle indicazioni impartite da questa Autorità con le Linee guida per posta elettronica e internet (Provv. 1° marzo 2007, doc. web n. 1387522) che, tra l’altro, prevedono l’onere, a carico dei titolari dei trattamenti, di disciplinare e rendere note agli interessati anche le modalità di eventuali controlli posti in essere per verificare l’utilizzo degli strumenti aziendali.
Tale trattamento, inoltre, sarebbe avvenuto in assenza di preventiva informativa all’interessata e in difetto del relativo consenso (anche scritto, in relazione ai propri dati sensibili), con conseguente violazione degli artt. 13, 23, 24 e 26 del Codice.
Infine, la reclamante ha lamentato che le credenziali di accesso al computer affidatole in dotazione, “fino alla prima metà di febbraio 2009”, non sarebbero state conformi alle prescrizioni di cui all’allegato “B” al Codice, con relativa violazione anche delle misure minime di sicurezza di cui agli artt. 31 e ss. dello stesso Codice.
1.3. A sostegno delle proprie deduzioni, la reclamante ha prodotto copia:
a) di una comunicazione inviata dalla società, nella quale si afferma che “i files rinvenuti sul computer utilizzato dalla [reclamante] (trattasi di documenti di monitoraggio, proposte di rinnovo contrattuale, mansionari sulla privacy, documenti programmatici sulla sicurezza, fatture, ecc.) sono indubitabilmente da attribuirsi alla [stessa]” (cfr. nota del 26 aprile 2009: all. 3 al reclamo);
b) del riscontro inviato all’interessata in relazione a un’istanza di accesso formulata ai sensi dell’art. 7 del Codice, dal quale risulta che tra i dati personali detenuti dalla società figurano “numerose lettere e documenti estranei alla […] attività lavorativa [della società], ma […] elaborati [dall’istante] durante l’orario di lavoro […]. Tali documenti –comprovanti lo svolgimento da parte [della reclamante] di un’attività di consulenza […] nei confronti di clienti operanti in diversi settori merceologici del tutto estranei alla […] società– possono essere così riassunti: – proposte di rinnovo di contratto di consulenza […]; – documenti di monitoraggio personalizzati […]; – documenti programmatici di sicurezza personalizzati […]; – corrispondenza […] intrattenuta con i clienti […] ignoti [alla società]” (cfr. nota del 28 dicembre 2009, all. 6 al reclamo). “Per quanto attiene questi dati”, prosegue tale ultima nota, “essi sono stati rilevati nei server aziendali nell’ambito delle ordinarie operazioni di gestione del server”;
c) del regolamento interno (datato 9 giugno 2008) relativo alle “norme di comportamento” da osservare ai fini del “corretto e regolare svolgimento dell’attività” lavorativa. Tale regolamento, per quanto concerne l’utilizzo degli strumenti aziendali, prevede il divieto di utilizzo “per scopi e motivi personali di tutta l’attrezzatura e strumentazione aziendale, quale a titolo esemplificativo e non esaustivo: telefono, personal computer, collegamento a internet compreso qualsiasi utilizzo della posta elettronica”.
2. Le osservazioni della società.
2.1. Con comunicazioni del 3 marzo 2010 e del 30 aprile 2010, la società ha fatto pervenire le proprie osservazioni, rappresentando preliminarmente che l’acquisizione dei documenti citati dalla reclamante sarebbe avvenuto “accidentalmente” –e non in forma occulta come sostenuto da quest’ultima– “al momento di eliminare i backup [..] relativi al 2008”; peraltro, la società si sarebbe limitata a trattare i soli dati contenuti in documenti relativi all’attività di consulenza svolta dall’interessata a vantaggio di terzi, senza accedere ad “altri files inerenti documenti personali” a lei riconducibili (cfr. nota del 3 marzo 2010).
In ogni caso, la società ha sostenuto che i dati acquisiti (non riguardanti “argomenti di natura sensibile”) potevano essere lecitamente trattati in difetto del consenso dell’interessata, perché volti a far valere o difendere un diritto in sede giudiziaria (art. 24, comma 1, lett. f), del Codice).Sotto distinto profilo, la società ha poi precisato che il computer affidato alla reclamante, come quelli in dotazione al restante personale, sarebbe stato privo “di capacità di archiviazione autonoma”, in quanto dotato di un “sistema operativo scaricato da un apposito server e condiviso da tutti i pc […]”; più precisamente, “i pc destinati al personale non [sarebbero dotati] di un sistema operativo locale” ma “si connett[erebbero] direttamente ai server aziendali per tutte le funzioni di elaborazione e di registrazione dei dati”, con la conseguenza che gli stessi conterrebbero “solo una copia (cache) locale dei file [direttamente] residenti sul server”. La società ha quindi ribadito che “nessun accesso è mai stato effettuato sul computer in uso alla [reclamante]” e che “tutti i files in questione sono stati reperiti su backup archiviati sui server”.
Inoltre, “tutto il personale era [stato] informato, attraverso un regolamento aziendale, che era fatto assoluto divieto di usare gli strumenti di lavoro aziendale per uso personale”; lo stesso personale era consapevole “che i dati ven[iva]no registrati sul server e [che] pertanto, per motivi di lavoro, [potevano] essere acceduti anche da altri utenti”; ciò anche alla luce del fatto che “a norma di regolamento [gli stessi] non po[teva]no contenere per nessun motivo dati personali” (cfr. nota inviata il 30 aprile 2010).
Diversamente da quanto asserito dalla reclamante, la società ha dichiarato di conservare “in busta chiusa sigillata” le credenziali di accesso al computer già in uso alla stessa, credenziali ritenute conformi “alle prescrizioni minime di cui all’allegato B del Codice” (cfr. nota inviata il 30 aprile 2010).
Con specifico riferimento alle procedure e alle operazioni di controllo effettuate sui computer in dotazione al personale, è stato poi affermato che “vengono effettuati dei controlli saltuari previa comunicazione al personale tramite e-mail” da parte di personale appositamente autorizzato (“responsabile della sicurezza informatica, eventualmente mediante l’ausilio tecnico degli amministratori di sistema”).
Infine, per quanto concerne le “policy di rotazione dei backup in uso”, la società ha dichiarato che “ogni giorno viene effettuato backup notturno dei dati interni, che vengono archiviati a intervalli mensili e cancellati dopo i termini previsti dalla normativa vigente”.
2.2. Tra i documenti prodotti dalla società a suffragio delle proprie dichiarazioni figurano alcuni allegati dai quali risulta, in particolare, che le password utilizzate da un incaricato negli anni 2006 e 2007 (con scadenza, rispettivamente, 31 dicembre 2006 e 30 giugno 2007) erano costituite da parole composte, rispettivamente, da n. 7 e n. 5 caratteri (all. 7 e 8).
Inoltre, è stata prodotta copia di un regolamento aziendale (datato 27 novembre 2009 ed efficace dal 1° dicembre 2009), distinto da quello consegnato a suo tempo anche alla reclamante, recante istruzioni sul corretto utilizzo degli strumenti informatici affidati in dotazione ai dipendenti (all. 14).
Da ultimo, è stata acquisita una comunicazione intercorsa tra la società e un legale (datata 7 aprile 2009), dalla quale si evince che i file relativi alla reclamante sarebbero stati oggetto di reperimento “nel backup di un […] server aziendale” e che il correlato trattamento non presupporrebbe il consenso dell’interessata “anche in considerazione del fatto che i dati rinvenuti non sono di natura sensibile” (all. 11).
3. Ulteriori osservazioni della reclamante.
Con successiva nota del 22 giugno 2010, la reclamante, nel confermare la propria versione dei fatti, ha evidenziato alcune contraddizioni in cui sarebbe incorsa la controparte, sottolineando, tra l’altro, che:
a) gli interventi “per esigenze di manutenzione del sistema informatico aziendale” avrebbero dovuto essere effettuati “in modo tale da escludere l’accesso a dati personali presenti in cartelle o spazi di memoria assegnati ai dipendenti”, sicché la cartella “espressamente qualificata come personale” dall’istante “avrebbe dovuto essere esclusa dalle copie di backup”;
b) a prescindere dalla liceità o meno del trattamento effettuato, la società avrebbe comunque dovuto rendere all’interessata “una preventiva ed esplicita informativa” in ordine alle tipologie e modalità del controllo effettuabile relativamente all’utilizzo degli strumenti informatici, invero mai rilasciata nemmeno al restante personale.
Alla luce di tali ulteriori considerazioni, la reclamante, nel richiamarsi alle conclusioni già formulate nel reclamo, ha chiesto l’accoglimento delle proprie richieste.
4. Profili di illiceità del trattamento.
4.1. Le risultanze istruttorie hanno preliminarmente confermato che la società ha effettivamente trattato dati personali riferiti all’istante desunti da file e documenti concernenti la sua presunta attività di consulenza svolta a vantaggio di terzi; ciò emerge sia dalle dichiarazioni rese dalla società (cfr. nota del 3 marzo 2010, p. 2, e nota inviata il 30 aprile 2010, p. 3) che dalla documentazione acquisita agli atti (cfr. all. 6 al reclamo).
Per contro, non risulta invece provato che tale trattamento abbia interessato anche dati sensibili riferiti all’interessata, stanti le dichiarazioni rese sul punto dalla società (ai sensi e per gli effetti di cui all’art. 168 del Codice, con conseguente assunzione di responsabilità anche penale) e il contenuto del materiale prodotto da quest’ultima (cfr. punti 2.1. e 2.2.).
Circoscritto così il campo di indagine al solo trattamento (dei dati comuni) correlato alla presunta attività di consulenza che la reclamante avrebbe effettuato a vantaggio di terzi, occorre esaminare le modalità con le quali sono stati concretamente acquisiti i dati personali a lei riferiti.
4.2. In proposito, vale anzitutto rilevare che, sulla base degli elementi prodotti, non risulta con certezza che la società abbia concretamente acquisito file e documenti riferiti all’interessata attraverso un intervento “diretto” sul computer affidatole in dotazione.
In primo luogo un accesso diretto non può ritenersi dimostrato dalla semplice affermazione, da parte della sola reclamante, dell’esistenza, in tal senso, di alcune “voci di corridoio” in ambito lavorativo.
Inoltre, la stessa Hi.Tech S.p.A. ha prodotto una nota datata 7 aprile 2009, inviatale per chiarimenti dal proprio legale, da cui risulta espressamente che l’accertamento sulle effettive modalità di utilizzazione del computer aziendale assegnato in uso alla reclamante era dipeso dall’avvenuto “reperimento dei files nel back up del […] server aziendale”; tale specifica circostanza non può ritenersi contraddetta dalla successiva nota del 26 aprile 2009, sottoscritta da altro legale ed inviata al difensore della reclamante, nella quale si fa soltanto un generico riferimento ai “files rinvenuti sul computer utilizzato” dalla XY.
Ciò nonostante, si deve rilevare che il trattamento operato dalla società in relazione ai dati personali dell’interessata non sia comunque lecito per le ragioni che seguono.
4.3. In primo luogo, sul piano sistematico, occorre evidenziare che questa Autorità, pur avendo rammentato più volte che il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti (artt. 2086, 2087 e 2104 cod. civ.) (cfr., da ultimo, Provv. 10 giugno 2010, doc. web n. 1736780; Provv. 24 febbraio 2010, doc. web n. 1712856; Provv. 23 dicembre 2010, doc. web n. 1786116), ha comunque chiarito che, nell’esercizio di tale prerogativa, debbono essere salvaguardati la libertà e la dignità dei lavoratori, nonché i principi fissati dall’art. 11 del Codice sul trattamento dei dati personali, che impongono, tra l’altro, di rendere note ai lavoratori le caratteristiche essenziali dei trattamenti, soprattutto se effettuati per finalità di controllo (cfr. p. 5.2 e 6.1 delle citate Linee guida).
Nel caso di specie, dalle risultanze istruttorie è emerso che la società ha trattato dati personali riferiti alla reclamante acquisendoli in occasione di una verifica effettuata sui propri sistemi informativi; tale attività, però, risulta compiuta senza che fosse stata fornita ai dipendenti –e quindi neanche all’odierna reclamante- un’idonea e preventiva informativa sul punto (art. 13 del Codice), non potendo a tal fine ritenersi sufficienti le scarne indicazioni contenute nel regolamento del 9 giugno 2008, unico documento avente contenuto informativo posto a conoscenza dell’interessata (l’altro regolamento richiamato dalla società, infatti, risulta predisposto ed entrato in vigore in data successiva al licenziamento della predetta). Difatti, benché il regolamento del giugno 2008 rechi un riferimento all’obbligo di utilizzare gli strumenti elettronici affidati ai lavoratori per esclusive finalità professionali, esso non riporta alcuna indicazione circa la possibilità per la società di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup (cfr. punto 3.2 delle Linee guida del 1° marzo 2007, cit.; cfr. altresì Provv. 2 febbraio 2006, doc. web n. 1229854), né sull’eventualità di trattare tali dati in vista di possibili controlli (anche occasionali), le cui modalità di effettuazione, peraltro, non risultano neanche adombrate.
Ne consegue che il trattamento operato dalla società, alla luce dei principi di correttezza e finalità posti dal Codice (art. 11, comma 1, lett. a) e b)) e richiamati nelle citate Linee guida, non può essere reputato conforme a legge.
Inoltre, il trattamento risulta essere anche eccedente rispetto alla finalità perseguita (art. 11, comma 1, lett. d) del Codice).
Infatti, fermo restando il diritto della società di verificare l’eventuale violazione, da parte della reclamante, degli obblighi cui la stessa era tenuta in qualità di prestatrice di lavoro (stante anche l’esplicito divieto contenuto nel regolamento del 9 giugno 2008 di utilizzare per motivi personali “tutta l’attrezzatura e strumentazione aziendale”), non può non rilevarsi che ai fini di tale accertamento, anziché prendere conoscenza degli specifici contenuti nella directory denominata “XY_personali” (circostanza, questa, non smentita dalla società), sarebbe stato sufficiente constatare l’esistenza della “cartella” stessa, la quale, già in ragione della sua denominazione, lasciava intuire la presenza di informazioni di carattere privato (cfr., in proposito, anche Provv. 10 giugno 2010, doc. web n. 1736780 e Provv. 18 maggio 2006, doc. web n. 1299082).
Tutto ciò premesso, stante l’acclarata violazione dei princìpi di correttezza, finalità e proporzionalità del trattamento (art. 11, comma 1, lett. a), b) e d) del Codice), si ritiene di dover disporre nei confronti di JJ S.p.A. il divieto dell’ulteriore trattamento dei dati personali riferiti all’interessata e ritratti dai file e documenti acquisiti in occasione delle operazioni di backup effettuate sul server aziendale.
4.4. Per quanto concerne, invece, la tipologia di password di accesso al computer utilizzate in epoca meno recente per accedere al sistema informatico della società (quantomeno fino al primo semestre del 2007), esse non risultano conformi alle disposizioni contenute nell’allegato “B” al Codice; tale circostanza emerge dallo stesso materiale prodotto dalla società, ove si fa riferimento all’impiego di parole chiave inferiori agli otto caratteri e, comunque, non pari al numero massimo di caratteri consentito dallo strumento (reg. 5 del menzionato allegato “B”).
Al contrario, non risulta provato che la società utilizzi ancora attualmente parole chiave inferiori agli otto caratteri; ciò si desume non solo dal regolamento adottato dalla società il 27 novembre 2009 (ove si afferma che la parola chiave utilizzata “deve essere composta da almeno otto caratteri”) ma, a contrariis, dalle stesse affermazioni della reclamante che, avendo sostenuto la non conformità delle credenziali di accesso “fino alla prima metà di febbraio 2009”, ha lasciato intendere che successivamente sia intervenuta una “regolarizzazione” delle stesse.
Ne consegue che, allo stato, rispetto a tale profilo, non sussistono i presupposti per adottare specifiche prescrizioni nei confronti della società.
4.5. Da ultimo, va rilevato che la società, nell’adottare successivamente al licenziamento della reclamante una più dettagliata policy aziendale sul corretto utilizzo degli strumenti affidati in dotazione ai dipendenti (cfr. regolamento del 27 novembre 2009, all. 14 alla nota inviata il 30 aprile 2010), ha individuato termini e modalità di accesso agli strumenti aziendali non sempre conformi alle indicazioni suggerite da questa Autorità con le richiamate Linee guida del 1° marzo 2007.
In particolare, da un esame di detto regolamento emerge che per ragioni di sicurezza e di salvaguardia del sistema, oltre che per motivi tecnici e manutentivi, il personale “sistemistico” potrà avere accesso “in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica, nonché effettuare verifiche “sui siti internet acceduti dagli utenti […]”; inoltre, “tutti i dati contenuti” nelle caselle di posta elettronica aziendale potranno “essere acceduti da personale della […] azienda per motivi inerenti all’organizzazione del lavoro”, ivi compresi il “superiore gerarchico dell’utente” o altra “persona individuata dall’azienda” per “ogni ipotesi in cui [ciò] si renda necessario”, mentre gli eventuali controlli relativi alla navigazione web da parte dei dipendenti “potranno avvenire mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log” della navigazione svolta”.
In ragione di tali disposizioni, riservati comunque eventuali approfondimenti in relazione ai trattamenti di dati personali dei dipendenti ad esse correlati, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, si ritiene di dover prescrivere a JJ S.p.A. di conformare il contenuto del regolamento adottato il 27 novembre 2009 per disciplinare le modalità di utilizzo degli strumenti elettronici aziendali alle istruzioni fornite da questa Autorità con le già citate Linee guida per posta elettronica e internet del 1° marzo 2007 e con il provvedimento del 27 novembre 2008, recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (doc. web n. 1577499).
TUTTO CIÒ PREMESSO, IL GARANTE
accertata l’illiceità del trattamento svolto:
a) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, dispone nei confronti di JJ S.p.A., perché in contrasto con i princìpi di correttezza e finalità (artt. 11, comma 1, lett. a), e 13 del Codice) e proporzionalità (art. 11, comma 1, lett. d) del Codice), il divieto dell’ulteriore trattamento dei dati personali riferiti all’interessata e ritratti dai file e documenti acquisiti nell’ambito delle operazioni di backup effettuate sul server aziendale;
b) ai sensi dell’art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive a JJ S.p.A. di conformare il contenuto del regolamento adottato il 27 novembre 2009 per disciplinare le modalità di utilizzo degli strumenti elettronici aziendali alle istruzioni fornite da questa Autorità con le Linee guida del 1° marzo 2007 (posta elettronica e internet) e con il provvedimento del 27 novembre 2008 (amministratori di sistema).
Roma, 7 aprile 2011