Diritti interna

Doveri interna

ricerca avanzata

Controlli sull'utilizzo della rete internet da parte del lavoratore - 1° aprile 2010 [1717799]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1717799
Data:
01/04/10
Tipologia:
Decisione su ricorso

[doc. web n. 1717799]

Controlli sull´utilizzo della rete internet da parte del lavoratore - 1° aprile 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale reggente;

VISTO il ricorso, pervenuto al Garante il 22 dicembre 2010, proposto nei confronti di Banca Popolare di Sviluppo s.c.p.a. con il quale XY, già dipendente della predetta società dal KW al ZY quando gli è stata irrogata la sanzione del licenziamento (poi impugnato dinanzi al Tribunale di Napoli – sezione lavoro, presso il quale il giudizio è tuttora pendente) anche a causa di un indebito utilizzo della rete internet per fini personali durante l´orario di lavoro, ha ribadito le istanze formulate ai sensi dell´art. 7 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), con le quali aveva chiesto di conoscere l´origine dei dati personali che lo riguardano, le finalità, le modalità e la logica del trattamento effettuato, nonché gli estremi identificativi del responsabile del trattamento, se designato, e dei soggetti o categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o di incaricati; ciò con riferimento anche ai dati c.d. "sensibili" che, ad avviso del ricorrente, sarebbero stati indebitamente acquisiti dal datore di lavoro "durante tutto il mese di XX" attraverso "un monitoraggio della sua postazione" con conseguente produzione di una "dettagliata lista cartacea" nella quale sono indicate "le percentuali dei vari accessi" ai siti internet, "riportando in minuzioso dettaglio addirittura l´indicazione della natura e la tipologia dei siti stessi"; rilevato che l´interessato ha ribadito altresì la richiesta di cancellazione di tutti i dati che lo riguardano sia come dipendente che come cliente, in quanto, a suo dire, trattati in violazione di legge (con relativa attestazione di aver portato tale operazione a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi);

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 29 dicembre 2010, con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell´interessato, nonché la nota del 19 febbraio 2010 con la quale è stata disposta, ai sensi dell´art. 149, comma 7, la proroga dei termini del procedimento;

VISTE le note  datate 12 gennaio 2010 con le quali la società resistente, nel fornire alcune indicazioni anche in ordine alle finalità, alle modalità e alla logica del trattamento effettuato, ha rappresentato che i dati personali relativi all´interessato "sono stati utilizzati per il perseguimento delle finalità connesse alla gestione del rapporto di lavoro (…)" nonché, in quanto cliente della banca, "per la gestione del contratto di conto corrente bancario" e che gli stessi non possono essere cancellati "in quanto necessari per ottemperare agli obblighi di legge" e dovranno essere "conservati fino alla decorrenza dei termini di archiviazione legale"; visto che, nelle medesime note, la resistente, nel contestare l´affermazione del ricorrente secondo cui nel corso del 2007 sarebbe stato effettuato "un minuzioso monitoraggio degli accessi ad internet", ha precisato che: a) "le politiche di sicurezza della banca prevedono che i log che registrano gli accessi ad internet vengano acquisiti solo per poter rilevare ed accertare eventuali problemi tecnici alla rete aziendale e intromissioni dall´esterno, legati ad eventuali accessi a siti ritenuti non sicuri. Detti log sono detenuti per 30 giorni (…). Alla scadenza di tale termine i log vengono sovrascritti e non è possibile in alcun modo recuperarli per via informatica"; b) "nel caso in oggetto, nell´ambito dei controlli di sicurezza effettuati nell´arco del 2007, la banca ha avuto modo di rilevare che dall´area Organizzazione e Sistemi Informativi (cui all´epoca dei fatti apparteneva il ricorrente) venivano visitati siti non sicuri e che la rete internet risultava impegnata per un periodo di tempo sproporzionato (….). Gli approfondimenti fatti sull´area (…) evidenziavano, dalla postazione dell´interessato, un non corretto uso degli strumenti affidati sul luogo di lavoro, essendo rilevabili accessi indebiti alla rete (su siti non sicuri) e impropri tempi di collegamento (che arrivavano a 5 ore al giorno). Tali elementi sono stati acquisiti dalla banca unicamente per contestare al ricorrente un uso improprio degli strumenti informatici forniti dalla banca e, in particolare, le percentuali di utilizzo di internet per un uso esclusivamente personale, e per la successiva difesa in giudizio"; c) per quanto attiene i "log di sistema relativi agli accessi ad internet del ricorrente nell´XX (…) essi sono stati sovrascritti e dunque cancellati irreversibilmente (…)", per cui "allo stato attuale, non esiste alcun trattamento informatico legato alle informazioni sui collegamenti internet a suo tempo rilevati dalla postazione del ricorrente"; rilevato che nelle medesime note la banca resistente ha altresì affermato di avere "adottato, in data 20 dicembre 2007, una specifica policy aziendale (di cui ha allegato copia) con cui si informava tutto il personale della banca circa le modalità da adottare nell´utilizzo degli strumenti informatici (…) nel corso dell´attività lavorativa";

VISTE le note datate 15, 19 e 22 gennaio 2010 e la successiva memoria del 2 marzo 2010, con le quali il ricorrente ha ribadito le proprie richieste rilevando che la resistente - come si evince dal documento riferito al 18 aprile 2007, di cui ha allegato copia -  avrebbe posto in essere un monitoraggio degli accessi ad internet effettuati dalla propria postazione di lavoro identificata dall´indirizzo "172.(…) "con il dettaglio dei link in chiaro (…), in violazione dell´art. 4 dello Statuto dei lavoratori e dell´art. 114 del d.lg. n. 196/2003"; rilevato che, nelle medesime note, il ricorrente ha altresì affermato di non avere mai ricevuto alcuna informativa, da parte del datore di lavoro, in ordine al monitoraggio e che non "risulta che ci siano stati, fino alla data in questione, accordi sindacali o una autorizzazione della direzione provinciale del lavoro per poter effettuare controlli e monitoraggi con l´ausilio di software o in forma manuale";

VISTA la nota pervenuta via fax il 16 marzo 2010 con la quale la banca resistente, nel ribadire quanto dichiarato nelle precedenti note del 12 gennaio 2010 anche in ordine all´avvenuto accertamento, a carico del ricorrente, di un "non corretto uso degli strumenti informatici sul luogo di lavoro", ha sostenuto  la liceità del trattamento effettuato affermando, peraltro, che "le informazioni utilizzate per la difesa in giudizio sono dirette ad accertare unicamente l´uso improprio degli strumenti informatici da parte del ricorrente e non sono volte ad accertare abitudini di vita";

VISTA la nota pervenuta via fax il 22 marzo 2010 con la quale il ricorrente, nel sottolineare che l´eventuale "uso improprio del pc poteva essere contestato anche senza catturare ed elaborare l´intera riga del log", ha ribadito come la resistente non abbia provveduto ad informare preventivamente, all´epoca dei fatti contestati, il personale dipendente in ordine "alle modalità e alle tecniche" tramite le quali si sarebbe proceduto all´acquisizione dei log per le finalità di sicurezza dei sistemi informatici della banca;

RILEVATO che il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l´effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.), ma che lo stesso, anche nell´esercizio di tale prerogativa, deve rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare "apparecchiature per finalità di controllo a distanza dell´attività dei lavoratori" (art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell´utente di un sistema di comunicazione elettronica;

RILEVATO inoltre che il datore di lavoro, utilizzando sistemi informativi per esigenze produttive o organizzative (ad es., per rilevare anomalie o per manutenzioni) o, comunque, quando gli stessi si rivelano necessari per la sicurezza sul lavoro, può avvalersi legittimamente, nel rispetto dello Statuto dei lavoratori (art. 4, comma 2), di sistemi che consentono indirettamente un controllo a distanza (c.d. controllo preterintenzionale) e determinano un trattamento di dati personali riferiti o riferibili ai lavoratori; rilevato che ciò può avvenire nel rispetto delle procedure di informazione e di consultazione dei lavoratori e dei sindacati in relazione all´introduzione o alla modifica di sistemi automatizzati per la raccolta e l´utilizzazione dei dati;

RILEVATO che, per ridurre il rischio di usi impropri della "navigazione" in Internet (consistenti in attività non correlate alla prestazione lavorativa quali la visione di siti non pertinenti, l´upload o il download di file, l´uso di servizi di rete con finalità ludiche o estranee all´attività), è opportuno comunque che il datore di lavoro adotti idonee misure che possano prevenire controlli successivi sul lavoratore (quali l´individuazione di categorie di siti correlati o meno con la prestazione lavorativa, la configurazione di sistemi o l´utilizzo di filtri che prevengono determinate operazioni reputate inconferenti con l´attività lavorativa  quali l´upload o l´accesso a determinati siti - inseriti in una sorta di black list); ciò tenuto conto che tali controlli, indipendentemente dalla loro liceità, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonee a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale (cfr. § 5.2 del provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007, di seguito "Linee guida per posta elettronica e Internet");

RILEVATO che, nel caso di specie, la banca resistente ha dichiarato di avere acquisito i "log di sistema relativi agli accessi ad internet del ricorrente nell´XX(…)" allo scopo di contestare al ricorrente medesimo l´uso improprio degli strumenti informatici forniti dalla banca "e per la successiva difesa in giudizio"; rilevato che l´esperimento, con le suddette modalità, di tale controllo informatico ha comportato un monitoraggio dell´attività del lavoratore, dal quale è inevitabilmente scaturito un trattamento diffuso di numerose informazioni personali relative a quest´ultimo (tra cui l´indirizzo di posta elettronica personale dell´interessato), comprensive anche degli specifici contenuti degli accessi ai singoli siti web visitati nel corso delle varie navigazioni e quindi eccedente rispetto alle finalità perseguite, come risulta dalla documentazione in atti (file di log degli accessi relativi al 18 aprile 2007); rilevato che tale trattamento sebbene, allo stato degli atti, non risulta aver interessato anche dati sensibili dell´interessato, appare tuttavia effettuato in violazione dei principi di pertinenza e non eccedenza di cui all´art. 11 del Codice;

RILEVATO che, dalla documentazione acquisita al procedimento, risulta inoltre che la resistente ha esperito gli anzidetti controlli informatici in assenza di una previa informativa all´interessato relativa al trattamento dei dati personali (art. 13 del Codice) e, più specificamente, al trattamento di dati che il datore di lavoro potrebbe effettuare in attuazione di eventuali controlli sugli strumenti informatici affidati ai lavoratori per esclusive finalità professionali, ovvero alle modalità da seguire per gli stessi (ad es., circa la presenza dell´interessato, di rappresentanti sindacali, di personale all´uopo incaricato); rilevato infatti che la resistente ha dichiarato di avere adottato una "specifica policy aziendale" solo in data 20 dicembre 2007 e quindi in un momento successivo rispetto ai fatti contestati nel ricorso in esame;

RILEVATO che la resistente ha dichiarato che i "log di sistema relativi agli accessi ad internet del ricorrente nell´XX (…) sono stati sovrascritti e dunque cancellati irreversibilmente (…)" e che il corrispondente cartaceo è stato depositato nel giudizio pendente dinanzi al Tribunale di Napoli – sezione lavoro;

RITENUTO, alla luce delle considerazioni sopra esposte, che il ricorso deve essere dichiarato fondato e che deve essere disposto, ai sensi dell´art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell´interessato, il divieto per la società resistente di trattare ulteriormente, dalla data di ricezione del presente provvedimento, i dati personali relativi alle navigazioni effettuate dal ricorrente e contenuti nei file di log illecitamente acquisiti nel mese di XX, dando conferma all´interessato e a questa Autorità dell´avvenuto adempimento entro trenta giorni dalla data di ricezione del presente provvedimento; ciò, fermo restando che, ai sensi dell´art. 160, comma 6, del Codice, ogni valutazione sull´utilizzabilità degli atti contenenti i dati personali che siano già stati depositati in giudizio è comunque rimessa esclusivamente all´autorità giudiziaria adita;

RITENUTO che deve essere invece dichiarata infondata la richiesta di cancellazione dei restanti dati personali del ricorrente che non risultano trattati in violazione di legge, in quanto necessari all´adempimento degli obblighi di legge in materia previdenziale e contabile anche riferiti alle operazioni compiute dall´interessato in quanto cliente della banca;

RITENUTO che, alla luce della documentazione in atti, deve essere infine dichiarato non luogo a provvedere sul ricorso, ai sensi dell´art. 149, comma 2, del Codice, in ordine alle istanze proposte ai sensi dell´art. 7, comma 2, avendo la resistente fornito al riguardo un adeguato riscontro, seppure solo a seguito della presentazione del ricorso;

VISTA la documentazione in atti;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie parzialmente il ricorso e dispone, ai sensi dell´art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell´interessato, il divieto per la resistente di trattare ulteriormente i dati personali del ricorrente contenuti nei file di log illecitamente acquisiti nel mese di XX e ordina alla resistente di dare conferma dell´avvenuto adempimento al ricorrente e a questa Autorità entro trenta giorni dalla ricezione del presente provvedimento;

b) dichiara infondata la richiesta di cancellazione degli altri dati personali del ricorrente;

c) dichiara non luogo a provvedere in ordine alle richieste di cui all´art. 7, comma 2, del Codice.

Roma, 1° aprile 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE REGGENTE
De Paoli