Controlli sui pc dei dipendenti: solo se “mirati” e resi noti

25/02/2013
di roberto

Il datore di lavoro non può controllare il contenuto del computer del dipendente senza averlo preventivamente informato, violando così il rispetto della sua libertà e dignità. A stabilirlo è il Garante per la protezione dei dati personali, a fronte di un ricorso presentato da un dipendente, licenziato senza preavviso dall´azienda presso cui lavorava. Il ricorrente, trovandosi all’improvviso senza lavoro, si era rivolto dapprima alla magistratura ordinaria, sostenendo l´infondatezza dell’accusa a suo carico e contestando il relativo licenziamento e, in seconda istanza, al Garante stesso per presentare la propria obiezione dinnanzi alle modalità impiegate dall’azienda per acquisire e trattare i suoi dati. security_2345390_xl

Le ricerche condotte dall’Autorità hanno evidenziato che vi era una serie di documenti, raccolti e contenuti in una cartella personale presente nel computer portatile del dipendente, sulla base dei quali il datore di lavoro aveva fondato la decisione di licenziarlo; dalla verifica effettuata sul pc in sua dotazione sarebbe emersa un´attività in palese concorrenza con quella della resistente. Essa giustificava il suo operato, e, quindi, le determinazioni che ne seguivano, in quanto conosceva le informazioni oggetto di controversia durante una delle sessioni periodiche stabilite per le operazioni di manutenzione degli strumenti elettronici. Nell´occasione, il dipendente aveva portato il pc in sua dotazione in sede per permettere il salvataggio dei dati aziendali (back up), che di regola doveva avvenire settimanalmente e, in specie, stante l´incompatibilità dei sistemi applicativi utilizzati dal pc in uso al ricorrente e dai server aziendali, era rimesso alla diligenza di questi. Sebbene a conoscenza di ciò il ricorrente non vi provvedeva con la regolarità richiesta e, quindi, la società chiedeva che il pc fosse portato in azienda in modo da consentire le necessarie operazioni di salvataggio nei termini stabiliti e inderogabili.

Diversamente da quanto sostenuto dalla società, il ricorrente non sarebbe stato messo al corrente sui limiti e sulle modalità di utilizzo del bene aziendale, né tantomeno sull’eventualità di operazioni di analisi e di verifica approfonditi, e di controllo delle informazioni contenute nei pc in dotazione dei dipendenti.

L´Autorità regolamentare rilevava, più compiutamente, che: “sulla base della documentazione in atti, il ricorrente  non risulta essere stato previamente informato in riferimento al trattamento di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali controlli sull’utilizzo del personal computer concessogli in uso per esclusive finalità professionali, con particolare riferimento alle modalità e alle procedure da seguire per gli stessi; considerato infatti che nel “regolamento per l’utilizzo delle risorse informatiche e telematiche” adottato dalla resistente il 15 febbraio 2002 e messo a disposizione dei dipendenti, nonché nel “documento recante istruzioni agli incaricati del trattamento” (sottoscritto per accettazione dall’interessato), la società, pur avendo fatto riferimento alla necessità di effettuare – almeno settimanalmente – il salvataggio dei dati su copie di sicurezza con conseguente verifica del buon fine dell’operazione, non ha fornito un’idonea informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in uso ai dipendenti (cfr. al riguardo anche il provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” pubblicate in G. U. n. 58 del 10 marzo 2007, punto 3)”.

Così confermando il principio che il datore di lavoro ha la facoltà di effettuare verifiche finalizzate ad analizzare il corretto svolgimento e adeguamento della prestazione lavorativa e, in casi di necessità, il corretto utilizzo degli strumenti di lavoro, il Garante ha vietato alla società ogni ulteriore utilizzo dei dati personali acquisiti nell’occasione di operazioni di sicurezza per cui corre l´obbligo in base agli artt. 31 e ss. del D.lgs n. 196/2003 e s.m.i..

Nel provvedimento si legge infatti che: “il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l´effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile“.

L´Autorità inibisce alla società resistente di continuare ad utilizzare dei dati personali dell´istante sin dalla decisione presa e dalla ricezione del relativo provvedimento. In applicazione dell´art. 11, comma 1, del D.lgs n. 196/2003 e s.m.i., blocca l´ulteriore trattamento dei dati riconosciuti non pertinenti e trattati per scopi che il titolare non ha reso espliciti e trasparenti attraverso le modalità raccomandate dal Codice ma anche dai provvedimenti con i quali il Garante a più riprese ha ufficializzato le necessità legate ai trattamenti e soprattutto a quelli che interessano i rapporti di lavoro. L´Autorità, infine, ricollegandosi al giudizio in corso davanti l´Autorità Giudiziaria per l´impugnazione del licenziamento da parte del ricorrente, ribadisce che la validità, l’efficacia e l´utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale (art. 160, comma 6 del Codice).

L´ennesimo provvedimento inibitorio e sanzionatorio in materia mette in luce la diffusa reticenza tra i soggetti obbligati in quanto titolari dei trattamenti di organizzarli con la perizia dovuta rispettando le necessità concrete, prima fra tutte quelle informative. Rischiando anche le rigide sanzioni stabilite nel caso di inosservanza dei precetti contenuti nel Codice e per esso coniugati nei provvedimenti generali e di indirizzo dell´Autorità garante. Quel che stupisce non è tanto simile atteggiamento quanto le sue ragioni che fondano il tentativo dei titolari obbligati di adeguarsi alle prescrizioni ma ne garantiscono un parziale rispetto. Ciò probabilmente perché esse non consentono pratiche di osservanza conformi e ordinate secondo i distinti trattamenti, rimanendo invece laconiche e aperte a interpretazioni “instabili” e personali. Creando obblighi eccessivamente scollati e frammentati dalla realtà sostanziale ma anche processuale del caso concreto.

Riproduzione riservata ©

ALTRE NEWS

La riforma del CAD si fa attendere, intanto l’eIDAS è in vigore

Il 1° luglio 2016 sono divenute efficaci le disposizioni dettate dal Regolamento eIDAS n. 910/2014 del Parlamento e del Consiglio entrato in vigore il 17… Leggi Tutto

Regolamento per la tutela del diritto d’autore: crescono i poteri dell’AGCOM

Nuovi scenari normativi nel mondo del diritto d’autore. Dopo una lunga attesa finalmente il Consiglio AGCOM con voto unanime ha dato il via libera all’adozione… Leggi Tutto

Rivoluzione privacy. Verso il Regolamento Europeo

La privacy non sarà più la stessa. La proposta di un nuovo Regolamento Europeo in materia di protezione dei dati personali ha confermato il radicale cambiamento di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.