GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");
VISTA la segnalazione presentata da XY, concernente il trattamento di dati personali a sé riferiti effettuato da Estrogeni s.r.l. con sede legale in Napoli (via Libertà II trav. a sinistra, 3) con riferimento ad asseriti controlli eseguiti sulla propria postazione di lavoro presso la società, in assenza delle condizioni previste dall'art. 4, l. n. 300/1970;
VISTE le Linee guida per posta elettronica e internet, adottate dal Garante con provvedimento n. 13 del 1° marzo 2007 (G.U. n. 58 del 10 marzo 2007 e www.garanteprivacy.it, doc. web n. 1387522);
ESAMINATE le risultanze istruttorie degli accertamenti in loco effettuati in data 22 maggio 2013 presso la sede legale della società in Roma, via Nomentana 222;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini.
PREMESSO
1.1. XY ex dipendente (con mansioni di copywriter) di Estrogeni s.r.l. − società che fornisce servizi di comunicazione e promozione commerciale − ha lamentato la violazione della disciplina in materia di protezione dei dati personali con riguardo all'asserito controllo posto in essere dal datore di lavoro in ordine all'utilizzo dei sistemi di comunicazione elettronica effettuato dalla propria postazione lavorativa. In particolare, a detta del segnalante, la società avrebbe operato ai danni dell'interessato un "monitoraggio" del "traffico in rete"("con il conteggio del tempo trascorso e l'analisi dei siti visitati") nonché delle "attività svolte sui programmi di scrittura (word)" (ad esempio, delle "azioni svolte sul pc" e dei "file salvati sul pc") e sul "contenuto dei messaggi di posta elettronica" ricevuti e inviati dall'account personale (cfr. segnalazione 7 dicembre 2012, pp. 2-4).
1.2. In data 16 aprile 2012 all'interessato veniva recapitata una lettera di licenziamento per giustificato motivo oggettivo dovuto alla necessità di ridurre il personale; successivamente, manifestata dallo stesso l'intenzione di impugnare il licenziamento, la società gli notificava in data 28 maggio 2012 una lettera di contestazione disciplinare per "l'uso improprio e indebito dei mezzi di lavoro […] nonché lo svolgimento di attività […] in concorrenza" con la società (segnatamente l'inserimento del proprio profilo professionale su un sito operante "in palese concorrenza con" la società). In particolare, con la menzionata comunicazione si contestava lo svolgimento "durante l'orario di lavoro" di "una costante e massiccia attività di copywriter e blogger in rete" su siti il cui indirizzo completo veniva espressamente riportato nella nota disciplinare. Più in dettaglio, il datore di lavoro asseriva che, da "una prima e parziale analisi del traffico sulla rete e sul computer di proprietà aziendale affidato alla sua cura", sarebbe emersa "una quantità media giornaliera costante di tempo speso dal suo computer aziendale su domini web che presentano alcuna attinenza con la sua attività lavorativa" e contestava la circostanza che l'interessato avrebbe effettuato "screenshot della [propria] postazione lavorativa riportanti progetti e materiali lavorativi da inserirsi nel nostro flusso produttivo" (cfr. nota del 28 maggio 2012, allegato a)-bis alla segnalazione). A tale comunicazione faceva seguito, in data 13 giugno 2013, provvedimento di licenziamento per giusta causa nei confronti dell'interessato (cfr. all. d) alla segnalazione).
1.3. Il segnalante lamenta che le operazioni di controllo sopra descritte sarebbero avvenute in assenza delle garanzie previste dall'art. 4 l. n. 300/70 (cfr. altresì, le precisazioni del rappresentante CGIL-SLC Roma Est contenute nel "processo verbale" redatto ai sensi dell'art. 7, comma 2, l. n. 300/1970, all. c) alla segnalazione). La società si sarebbe limitata a comunicare ai propri dipendenti l'installazione, a seguito di attacchi alla rete da parte di hacker stranieri, di un sistema di proxy che avrebbe "monitor[ato] e te[nuto] traccia per 24 ore di tutto il traffico entrante e uscente dalla rete" aziendale con esclusivo riferimento all'"attività delle singole macchine" (cfr., all. e) alla segnalazione).
2. Al fine di verificare la fondatezza dei comportamenti ascritti alla società e l'osservanza dei principi e delle disposizioni in materia di protezione dei dati personali con specifico riguardo all'utilizzo dei sistemi di comunicazione elettronica, il 22 maggio 2013 sono stati effettuati dal Nucleo speciale privacy della Guardia di Finanza – su delega conferita da questa Autorità – accertamenti presso la sede operativa della società, titolare del trattamento (ai sensi ai sensi degli artt. 4, comma 1, lett. f) e 28 del Codice), nell'ambito dei quali sono state acquisite informazioni dal legale rappresentante e dall'amministratore di sistema, nonché l'ulteriore documentazione attinente al caso.
3.1 Quanto all'asserito controllo delle caselle di posta elettronica, di servizio e personale, lamentato dal segnalante, le dichiarazioni acquisite nel corso dell'istruttoria hanno consentito di escludere la fondatezza delle affermazioni in questione; secondo l'amministratore di sistema, infatti:
- "ogni utente (che "utilizza il servizio gratuito gmail associato al nome del nostro dominio estrogeni.net") è dotato di una propria casella di posta elettronica cui accede tramite web o client" (cfr., pp. 4 e 5 verbale in atti);
- la società non ha effettuato controlli in ordine all'utilizzo della posta elettronica dei propri dipendenti, atteso che "le credenziali di autenticazione della macchina e della posta elettronica sono ad esclusiva conoscenza dell'incaricato" (cfr., p. 5 verbale cit.);
- non è mai stato effettuato alcun controllo su account di posta elettronica di tipo personale, "non essendo quell'account di posta presente sulla rete aziendale" (cfr., p. 6 verbale cit.).
Non sono emersi, poi, elementi tali da poter confutare le dichiarazioni predette, in relazione alla veridicità delle quali i dichiaranti hanno assunto piena responsabilità penale ai sensi dell'art. 168 del Codice.
3.2. Quanto, invece, al monitoraggio del traffico in rete, si ritiene che lo stesso presenti alcuni profili di violazione di legge, discostandosi, altresì, dalle indicazioni fornite dal Garante nelle Linee guida per posta elettronica e internet, cit., adottate con provvedimento confermato da Trib. Roma, sez. I., 10 dicembre 2012, n. 12826.
In primo luogo, il trattamento in esame è stato posto in essere in assenza di un'informativa completa circa le effettive caratteristiche del sistema ai sensi dell'art. 13 del Codice, nonché di una policy volta a disciplinare in modo puntuale l'utilizzo degli strumenti elettronici affidati in dotazione ai lavoratori ed in particolare con riguardo alla navigazione web degli stessi. Non può infatti ritenersi a tal fine esaustiva la comunicazione ai dipendenti del 24 maggio 2011 (cfr. all. e) alla segnalazione, cit.), che non recava gli elementi essenziali del trattamento, né informava in merito all'eventualità di controlli anche su base individuale volti a verificare il corretto uso degli strumenti di lavoro e alle modalità degli stessi, limitandosi a specificare che il sistema fosse idoneo a tracciare la navigazione effettuata dalle "singole macchine".
3.3. In base a quanto verificato, altresì, in ordine alle specifiche caratteristiche del sistema, deve ritenersi che questo, configurato con funzionalità tali da permettere la memorizzazione sistematica dell'indirizzo di dettaglio delle singole pagine web (c.d. URL) richieste e visitate dagli utenti (dipendenti e collaboratori della società), sia idoneo a consentire un controllo della navigazione web individualmente effettuata da soggetti identificabili. Come avvenuto nel caso di specie, infatti, il datore di lavoro ha la possibilità di risalire in ogni momento all'identità dell'utilizzatore della singola macchina. La specifica ed accertata funzionalità del sistema, configurata in modo da consentire la registrazione, con una significativa profondità temporale, dei dati relativi alla navigazione web effettuata dalla singola macchina (IP) e quindi dal lavoratore cui la stessa è stata attribuita in via esclusiva, consente agevolmente, infatti − come avvenuto nel caso di specie generando report su base individuale per il tramite dell'amministratore di sistema (cfr. nota della società del 5 giugno 2013) −, di estrapolare i dati di dettaglio relativi a "URL visitata, IP sorgente e orario di connessione" (cfr. altresì, pp. 3, 4 e 5 verbale cit.; all. 5 verbale cit., recante "report e screenshot proxy").
Per tali ragioni il descritto trattamento risulta, anche sotto questo diverso profilo, in contrasto con il principio di liceità per violazione della rilevante disciplina di settore che vieta l'impiego di apparecchiature idonee al controllo a distanza dell'attività dei lavoratori (artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, l. 20 maggio 1970, n. 300). Tra queste sono ricomprese anche le strumentazioni hardware e software che, se configurate in modo da trattare dati di dettaglio in ordine alla risorsa internet visitata (URL) ed in presenza di un collegamento univoco tra i dati relativi alla connessione e la persona utilizzatrice, consentono di ricostruirne l'attività (cfr., par. 4 Linee guida cit.; nonché, Provv. 21 luglio 2011 doc. web n. 1829641, confermata da Trib. Roma, sez. I, 21 marzo 2013 n. 4766; cfr. anche Provv.ti 2 aprile 2009, doc. web n. 1606053 e 1° aprile 2010 doc. web n. 1717799).
TUTTO CIÒ PREMESSO IL GARANTE
1. dichiara illecito il trattamento effettuato da Estrogeni s.r.l. in violazione degli artt. 11, comma 1, lett. a), 13, 114 del Codice nonché dell'art. 4 l. n. 300/1970 con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensi dell'art. 11, comma 2 del Codice;
2. ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, dispone, con effetto immediato dalla data di ricezione del presente provvedimento, il divieto dell'ulteriore trattamento su base individuale dei dati personali riferiti alla navigazione internet dei dipendenti, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell'autorità giudiziaria;
3. dispone che sia data comunicazione al Garante, entro 90 giorni dalla data di comunicazione del presente provvedimento, dell'avvenuta attuazione dello stesso.
Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 5 febbraio 2015
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
FONTE GARANTE PRIVACY