Controlli sui pc dei dipendenti: solo se “mirati” e resi noti

Il datore di lavoro non può controllare il contenuto del computer del dipendente senza averlo preventivamente informato, violando così il rispetto della sua libertà e dignità. A stabilirlo è il Garante per la protezione dei dati personali, a fronte di un ricorso presentato da un dipendente, licenziato senza preavviso dall´azienda presso cui lavorava. Il ricorrente, trovandosi all’improvviso senza lavoro, si era rivolto dapprima alla magistratura ordinaria, sostenendo l´infondatezza dell’accusa a suo carico e contestando il relativo licenziamento e, in seconda istanza, al Garante stesso per presentare la propria obiezione dinnanzi alle modalità impiegate dall’azienda per acquisire e trattare i suoi dati. 

Le ricerche condotte dall’Autorità hanno evidenziato che vi era una serie di documenti, raccolti e contenuti in una cartella personale presente nel computer portatile del dipendente, sulla base dei quali il datore di lavoro aveva fondato la decisione di licenziarlo; dalla verifica effettuata sul pc in sua dotazione sarebbe emersa un´attività in palese concorrenza con quella della resistente. Essa giustificava il suo operato, e, quindi, le determinazioni che ne seguivano, in quanto conosceva le informazioni oggetto di controversia durante una delle sessioni periodiche stabilite per le operazioni di manutenzione degli strumenti elettronici. Nell´occasione, il dipendente aveva portato il pc in sua dotazione in sede per permettere il salvataggio dei dati aziendali (back up), che di regola doveva avvenire settimanalmente e, in specie, stante l´incompatibilità dei sistemi applicativi utilizzati dal pc in uso al ricorrente e dai server aziendali, era rimesso alla diligenza di questi. Sebbene a conoscenza di ciò il ricorrente non vi provvedeva con la regolarità richiesta e, quindi, la società chiedeva che il pc fosse portato in azienda in modo da consentire le necessarie operazioni di salvataggio nei termini stabiliti e inderogabili.

Diversamente da quanto sostenuto dalla società, il ricorrente non sarebbe stato messo al corrente sui limiti e sulle modalità di utilizzo del bene aziendale, né tantomeno sull’eventualità di operazioni di analisi e di verifica approfonditi, e di controllo delle informazioni contenute nei pc in dotazione dei dipendenti.

L´Autorità regolamentare rilevava, più compiutamente, che: “sulla base della documentazione in atti, il ricorrente  non risulta essere stato previamente informato in riferimento al trattamento di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali controlli sull’utilizzo del personal computer concessogli in uso per esclusive finalità professionali, con particolare riferimento alle modalità e alle procedure da seguire per gli stessi; considerato infatti che nel “regolamento per l’utilizzo delle risorse informatiche e telematiche” adottato dalla resistente il 15 febbraio 2002 e messo a disposizione dei dipendenti, nonché nel “documento recante istruzioni agli incaricati del trattamento” (sottoscritto per accettazione dall’interessato), la società, pur avendo fatto riferimento alla necessità di effettuare – almeno settimanalmente – il salvataggio dei dati su copie di sicurezza con conseguente verifica del buon fine dell’operazione, non ha fornito un’idonea informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in uso ai dipendenti (cfr. al riguardo anche il provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” pubblicate in G. U. n. 58 del 10 marzo 2007, punto 3)”.

Così confermando il principio che il datore di lavoro ha la facoltà di effettuare verifiche finalizzate ad analizzare il corretto svolgimento e adeguamento della prestazione lavorativa e, in casi di necessità, il corretto utilizzo degli strumenti di lavoro, il Garante ha vietato alla società ogni ulteriore utilizzo dei dati personali acquisiti nell’occasione di operazioni di sicurezza per cui corre l´obbligo in base agli artt. 31 e ss. del D.lgs n. 196/2003 e s.m.i..

Nel provvedimento si legge infatti che: “il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l´effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile“.

L´Autorità inibisce alla società resistente di continuare ad utilizzare dei dati personali dell´istante sin dalla decisione presa e dalla ricezione del relativo provvedimento. In applicazione dell´art. 11, comma 1, del D.lgs n. 196/2003 e s.m.i., blocca l´ulteriore trattamento dei dati riconosciuti non pertinenti e trattati per scopi che il titolare non ha reso espliciti e trasparenti attraverso le modalità raccomandate dal Codice ma anche dai provvedimenti con i quali il Garante a più riprese ha ufficializzato le necessità legate ai trattamenti e soprattutto a quelli che interessano i rapporti di lavoro. L´Autorità, infine, ricollegandosi al giudizio in corso davanti l´Autorità Giudiziaria per l´impugnazione del licenziamento da parte del ricorrente, ribadisce che la validità, l’efficacia e l´utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale (art. 160, comma 6 del Codice).

L´ennesimo provvedimento inibitorio e sanzionatorio in materia mette in luce la diffusa reticenza tra i soggetti obbligati in quanto titolari dei trattamenti di organizzarli con la perizia dovuta rispettando le necessità concrete, prima fra tutte quelle informative. Rischiando anche le rigide sanzioni stabilite nel caso di inosservanza dei precetti contenuti nel Codice e per esso coniugati nei provvedimenti generali e di indirizzo dell´Autorità garante. Quel che stupisce non è tanto simile atteggiamento quanto le sue ragioni che fondano il tentativo dei titolari obbligati di adeguarsi alle prescrizioni ma ne garantiscono un parziale rispetto. Ciò probabilmente perché esse non consentono pratiche di osservanza conformi e ordinate secondo i distinti trattamenti, rimanendo invece laconiche e aperte a interpretazioni “instabili” e personali. Creando obblighi eccessivamente scollati e frammentati dalla realtà sostanziale ma anche processuale del caso concreto.