L'Avv.
Giuseppe Briganti è Avvocato in Urbino dal 2001 e mediatore
professionista e formatore nei corsi per mediatori dal 2011. Dal 2001
cura il sito www.iusreporter.it dedicato alla ricerca giuridica sul
Web e al diritto delle nuove tecnologie. Svolge attività di
docenza, è autore di pubblicazioni giuridiche e collabora con
riviste giuridiche
(Copyright Immagine
Maksym Yemelyanov - Fotolia.com)
Provvedimento Garante privacy 7 aprile 2011
Registro dei provvedimenti n. 139 del 7 aprile 2011
« [...] Ciò nonostante, si deve rilevare che il trattamento operato dalla società in relazione ai dati personali dell'interessata non sia comunque lecito per le ragioni che seguono.
4.3. In primo luogo, sul piano sistematico, occorre evidenziare che questa Autorità, pur avendo rammentato più volte che il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l'effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti (artt. 2086, 2087 e 2104 cod. civ.) (cfr., da ultimo, Provv. 10 giugno 2010, doc. web n. 1736780; Provv. 24 febbraio 2010, doc. webn. 1712856; Provv. 23 dicembre 2010, doc. web n. 1786116), ha comunque chiarito che, nell'esercizio di tale prerogativa, debbono essere salvaguardati la libertà e la dignità dei lavoratori, nonché i principi fissati dall'art. 11 del Codice sul trattamento dei dati personali, che impongono, tra l'altro, di rendere note ai lavoratori le caratteristiche essenziali dei trattamenti, soprattutto se effettuati per finalità di controllo (cfr. p. 5.2 e 6.1 delle citate Linee guida).
Nel caso di specie, dalle risultanze istruttorie è emerso che la società ha trattato dati personali riferiti alla reclamante acquisendoli in occasione di una verifica effettuata sui propri sistemi informativi; tale attività, però, risulta compiuta senza che fosse stata fornita ai dipendenti -e quindi neanche all'odierna reclamante- un'idonea e preventiva informativa sul punto (art. 13 del Codice), non potendo a tal fine ritenersi sufficienti le scarne indicazioni contenute nel regolamento del 9 giugno 2008, unico documento avente contenuto informativo posto a conoscenza dell'interessata (l'altro regolamento richiamato dalla società, infatti, risulta predisposto ed entrato in vigore in data successiva al licenziamento della predetta). Difatti, benché il regolamento del giugno 2008 rechi un riferimento all'obbligo di utilizzare gli strumenti elettronici affidati ai lavoratori per esclusive finalità professionali, esso non riporta alcuna indicazione circa la possibilità per la società di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup (cfr. punto 3.2 delle Linee guida del 1° marzo 2007, cit.; cfr. altresì Provv. 2 febbraio 2006, doc. web n. 1229854), né sull'eventualità di trattare tali dati in vista di possibili controlli (anche occasionali), le cui modalità di effettuazione, peraltro, non risultano neanche adombrate.
Ne consegue che il trattamento operato dalla società, alla luce dei principi di correttezza e finalità posti dal Codice (art. 11, comma 1, lett. a) e b)) e richiamati nelle citate Linee guida, non può essere reputato conforme a legge.
Inoltre, il trattamento risulta essere anche eccedente rispetto alla finalità perseguita (art. 11, comma 1, lett. d) del Codice).
Infatti, fermo restando il diritto della società di verificare l'eventuale violazione, da parte della reclamante, degli obblighi cui la stessa era tenuta in qualità di prestatrice di lavoro (stante anche l'esplicito divieto contenuto nel regolamento del 9 giugno 2008 di utilizzare per motivi personali "tutta l'attrezzatura e strumentazione aziendale"), non può non rilevarsi che ai fini di tale accertamento, anziché prendere conoscenza degli specifici contenuti nella directory denominata "XY_personali" (circostanza, questa, non smentita dalla società), sarebbe stato sufficiente constatare l'esistenza della "cartella" stessa, la quale, già in ragione della sua denominazione, lasciava intuire la presenza di informazioni di carattere privato (cfr., in proposito, anche Provv. 10 giugno 2010, doc. web n. 1736780 e Provv. 18 maggio 2006, doc. web n. 1299082) [...] »
Leggi il testo integrale del provvedimento sul sito del Garante privacy
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità