g-docweb-display Portlet

Provvedimento dell'8 gennaio 2015 [3810659]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3810659]

Provvedimento dell´8 gennaio 2015

Registro dei provvedimenti
n.11  dell´8 gennaio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 6 ottobre 2014 nei confronti di TUV Italia S.r.l. con cui XY, rappresentata e difesa dall´avv. Bruna Ronconi, in qualità di ex dipendente della società resistente, ha chiesto, ribadendo le richieste già avanzate ai sensi degli artt. 7 e 8 d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), di ottenere "l´accesso, l´estrazione e la successiva cancellazione" dei dati personali che la riguardano contenuti nei dispositivi aziendali ( precisamente, computer portatile e telefono cellulare), affidati all´interessata dalla società resistente all´atto dell´assunzione per lo svolgimento delle proprie mansioni e restituiti al datore di lavoro contestualmente all´avvenuta sospensione del rapporto medesimo, preliminare al successivo licenziamento "per giustificato motivo oggettivo" avvenuto il 30 luglio 2014; la ricorrente ha in particolare chiesto di avere accesso  alle "e-mail (quali, ad esempio, quelle relative alle retribuzioni, alle pratiche di adozione di minorenni, ecc.) inviate e ricevute tramite Outlook Express e nell´Archivio PST successivamente salvate nella cartella denominata "XY"; 2) i file di natura personale (quali ad es. foto con i colleghi, documenti di analisi cliniche ed altri dati sensibili) salvati nella cartella Documenti, presente sul disco C, denominata "XY", sottocartella "XY" e sottocartella "timesheet2014" e "spesetimesheet2014"; 3) gli sms personali e le fotografie presenti nel telefono cellulare"", lamentando di non aver "avuto modo di estrarre nessuno dei dati personali salvati nei suddetti dispositivi", tenuto conto della "perentorietà della richiesta di riconsegna", e di non aver ricevuto alcun riscontro alle diverse richieste avanzate al riguardo al titolare del trattamento; l´interessata ha infine eccepito l´illegittimità della perdurante detenzione dei propri dati personali "di assoluta delicatezza e di natura estremamente personale" da parte di TUV Italia S.r.l., chiedendo altresì la liquidazione in proprio favore delle spese sostenute per il procedimento;

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota dell´8 ottobre 2014 con la quale questa Autorità, ai sensi dell´art. 149 comma 1 del Codice, ha invitato la società resistente a fornire riscontro alle richieste dell´interessata, il verbale dell´audizione svoltasi presso la sede dell´Autorità in data 29 ottobre 2014, nonché  la nota del 4 dicembre 2014 con cui, ai sensi dell´art. 149 comma 7 del Codice, è stata disposta la proroga del termine per la decisione sul ricorso;

VISTE le note del 23 e del 24 ottobre 2014 con cui la società resistente, rappresentata e difesa dall´avv. Federico Fedeli, fornendo riscontro alle richieste dell´interessata, ha eccepito, in primo luogo, che gli strumenti informatici vengono rilasciati ai dipendenti "esclusivamente per fini professionali, in relazione alle mansioni assegnate e non per scopi personali"", circostanza della quale questi ultimi, compresa la ricorrente, sono stati informati mediante pubblicazione della policy aziendale nella rete intranet, come documentato da apposito "modulo per la presa in carico di materiale informatico e di telecomunicazione di TUV Italia", fatto sottoscrivere dai dipendenti  e contenente un rinvio alla predetta informativa; il titolare del trattamento ha inoltre rappresentato che la stessa dipendente avrebbe dato atto della violazione commessa, sino a quel momento ignorata da TUV Italia S.r.l., comunicando, all´atto della restituzione dei beni aziendali, "di aver salvato (genericamente) alcuni dati personali nel pc aziendale" senza tuttavia mai precisare le modalità con cui "avrebbe inteso acquisire" i predetti dati, tenuto conto del fatto che gli strumenti assegnati alla medesima contenevano comunque anche dati aziendali; la società resistente ha dichiarato di aver provveduto, successivamente alla riconsegna degli strumenti di lavoro, "a resettare il dispositivo blackberry restituito dalla ricorrente e il personal computer previo backup dei dati in esso presenti", assicurando che "il backup del personal computer è conservato presso l´azienda e le relative cartelle non sono mai state aperte, duplicate, né rese accessibili a terzi dipendenti della società"; il titolare del trattamento ha infine manifestato la propria disponibilità a consentire all´interessata "l´accesso alle asserite cartelle personali, nonché (…) l´estrazione di copia su supporto mobile dei soli file" che la riguardano, precisando che l´accesso dovrà svolgersi, previo accordo tra le parti, "presso i locali della società (…) alla presenza dell´IT Manager (…), del sig. (…), allora diretto superiore gerarchico della dipendente, e della sig.ra (…) HR & Legal Manager" al fine di "discernere i contenuti di effettivo interesse aziendale da quelli esclusivamente personali", di autorizzare il trasferimento di questi ultimi "su supporto mobile" e di disporre la successiva cancellazione dal server aziendale;

VISTA la nota del 28 ottobre 2014 con cui la ricorrente, nel contestare quanto dedotto dalla controparte, ha eccepito di aver sempre richiesto, sin dal giorno "in cui è stata data comunicazione (…) della sospensione immediata dal rapporto di lavoro" con contestuale intimazione di restituzione degli strumenti aziendali, di poter estrarre i propri dati personali in essi contenuti e di aver successivamente reiterato tale istanza sia in forma scritta che con comunicazioni di posta elettronica, aventi analogo contenuto, indirizzate ai responsabili degli uffici competenti; l´interessata ha inoltre rilevato come fosse circostanza nota al datore di lavoro il fatto che "nel pc e nel telefono (…) di tutti i dipendenti venivano salvati anche dati personali", senza con ciò dovervi desumere che tali strumenti venissero impiegati per finalità diverse da quelle lavorative, negando altresì di aver mai preso visione dei documenti aziendali contenenti le regole sull´utilizzo dei sistemi informatici; la ricorrente, pur eccependo l´illegittimità dell´avvenuta cancellazione dei dati contenuti nel telefono cellulare ben prima del licenziamento della medesima, ovvero "immediatamente dopo la restituzione da parte della lavoratrice" senza il preventivo salvataggio dei suoi dati, ha preso atto della disponibilità manifestata dalla resistente in ordine all´accesso e alla successiva estrazione dei dati di contenuto personale, manifestando la propria parziale opposizione in ordine alle modalità individuate dal titolare del trattamento e chiedendo che le relative operazioni si svolgano innanzi ad uno solo dei soggetti indicati dal medesimo tenuto conto della natura riservata dei dati contenuti nelle cartelle personali;

VISTA l´audizione svoltasi presso la sede dell´Autorità in data 29 ottobre 2014 in cui la ricorrente, nel ribadire di non aver mai preso visione del regolamento contenente la disciplina relativa all´utilizzo dei beni aziendali, ha evidenziato che i file a cui è stato chiesto di accedere, pur archiviati in una cartella personale, risultano connessi con l´attività lavorativa (citando ad esempio copie di buste paga e fatture delle quali si chiedeva il rimborso in quanto emesse a fronte di spese sostenute per ragioni di servizio) o comunque implicanti una partecipazione del datore di lavoro (quali le dichiarazioni rese dalla società con riguardo alla pratica di adozione avviata dall´interessata); la società resistente ha replicato affermando che il regolamento aziendale, essendo pubblicato sulla intranet aziendale, è messo a conoscenza di tutti i dipendenti che non sono dunque chiamati a sottoscrivere lo stesso, ma solo il modulo attestante l´avvenuta consegna degli strumenti informatici; il titolare del trattamento ha inoltre ribadito la propria disponibilità a consentire l´accesso e l´estrazione dei dati personali della ricorrente conservati nel server aziendale situato a Milano, indicando quest´ultima come località idonea per lo svolgimento delle operazioni anche al fine di procedere, a completamento delle stesse, alla eliminazione dei file in presenza dell´interessata e dei soggetti incaricati già indicati dalla società; la ricorrente ha eccepito l´impossibilità di recarsi presso la sede legale di TUV Italia S.r.l. ed ha chiesto che i dati che la riguardano, unitamente "a tutta la cartella di backup del computer in uso" alla medesima, siano salvati su un supporto esterno messo a disposizione dell´interessata presso gli uffici della resistente situati presso la sede di Roma per poi essere successivamente cancellati, unitamente alla firma digitale alla stessa assegnata ed ancora detenuta dal datore di lavoro;

VISTA la nota del 20 novembre 2014 con cui la società  resistente ha ribadito la necessità che la procedura di accesso si svolga presso la sede legale di TUV Italia S.r.l. situata a Milano, rappresentando alcune difficoltà tecniche, evidenziate dall´IT Manager della società, connesse all´eventuale trasferimento dei dati su altro supporto esterno al server, soluzione quest´ultima che peraltro assicurerebbe minori garanzie sia per la ricorrente, in ordine ad esempio alla certezza dell´avvenuta cancellazione dei dati personali che la riguardano successivamente all´estrazione degli stessi, che per il titolare del trattamento che resterebbe esposto a possibili, future contestazioni;

VISTA la nota del 27 novembre 2014 con cui la ricorrente ha contestato quanto comunicato dalla resistente, ribadendo le difficoltà legate ad un eventuale trasferimento a Milano ed insistendo nella richiesta che tali dati vengano consegnati presso gli uffici di Roma;

RILEVATO che negli strumenti lavorativi (quali computer portatile e telefono cellulare) consegnati alla ricorrente all´atto dell´assunzione risultano essere stati archiviati, unitamente a dati aziendali, anche dati personali della medesima, pur in parte connessi, secondo le dichiarazioni rese dall´interessata, con l´attività lavorativa; rilevato pertanto che ai sensi dell´art. 7 del Codice deve esserle garantito il diritto di accedere e di estrarre tali dati attualmente detenuti dalla società presso i propri server situati nella sede legale di Milano, ad esclusione di quelli conservati nel telefono cellulare che risultano essere stati cancellati dalla resistente immediatamente dopo la restituzione del dispositivo; rilevato altresì che, pur avendo il titolare del trattamento manifestato la propria disponibilità a garantire alla ricorrente di accedere e di copiare i dati che la riguardano, tale operazione non  è ancora stata effettuata a causa del mancato accordo tra le parti in ordine al luogo in cui ciò dovrebbe verificarsi; rilevato infine che, in un´ottica di leale collaborazione tra le parti, le modalità di accesso e di estrazione indicate dal titolare del trattamento risultano idonee a fornire adeguata tutela alla posizione di entrambe le parti, tenuto conto che all´interno del server sito presso la sede legale della società sono contenuti sia la copia di backup dei dati contenuti nelle cartelle personali create nel pc in dotazione alla ricorrente che gli archivi delle e-mail dalla stessa inviate e ricevute nel corso di svolgimento del rapporto di lavoro, rendendo dunque più agevole la consultazione e l´estrazione dei file personali e conferendo maggiore certezza alla successiva cancellazione dei predetti dati;

RITENUTO pertanto di dover accogliere il ricorso e per l´effetto di dover ordinare alla resistente, quale misura a tutela dei diritti dell´interessata ai sensi dell´art. 150 comma 2 del Codice, di consentire alla ricorrente, o a persona di fiducia della medesima appositamente delegata al fine di superare le difficoltà di trasferimento dalla stessa rappresentate, entro il termine di trenta giorni a partire dalla data di ricezione del presente provvedimento, di accedere a tutti i dati personali che la riguardano contenuti nei documenti conservati nei dispositivi informatici di cui aveva disponibilità, trasponendo gli stessi su supporto cartaceo o informatico ed effettuandone la successiva cancellazione, alla presenza - a garanzia della corretta esecuzione dell´accesso medesimo – dei soggetti indicati dal titolare del trattamento ovvero l´amministratore di sistema, il diretto superiore gerarchico dell´interessata in costanza del rapporto di lavoro e la responsabile delle risorse umane; ritenuto peraltro che la società resistente dovrà altresì disporre la cancellazione della firma digitale assegnata all´interessata se ancora detenuta dal datore di lavoro nonostante la cessazione del relativo rapporto;

RITENUTO  che sussistono giusti motivi per compensare fra le parti le spese del procedimento;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie il ricorso e, per l´effetto, ordina a TUV Italia S.r.l. di consentire alla ricorrente, o a persona di fiducia della medesima appositamente delegata al fine di superare le difficoltà di trasferimento dalla stessa rappresentate, entro il termine di trenta giorni a partire dalla data di ricezione del presente provvedimento, di accedere, in data da concordare ed in orario di ufficio, a tutti i dati personali che la riguardano contenuti nei documenti conservati nei dispositivi informatici di cui aveva disponibilità, trasponendo gli stessi su supporto cartaceo o informatico ed effettuandone la successiva cancellazione, alla presenza - a garanzia della corretta esecuzione dell´accesso medesimo – dei soggetti indicati dal titolare del trattamento ovvero l´amministratore di sistema, il diretto superiore gerarchico dell´interessata in costanza del rapporto di lavoro e la responsabile delle risorse umane, disponendo altresì la cancellazione della firma digitale assegnata all´interessata se ancora detenuta dal datore di lavoro nonostante la cessazione del relativo rapporto;

b) dichiara compensate fra le parti le spese del procedimento.

Il Garante, nel chiedere a TUV Italia S.r.l., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento, e di fornire comunque riscontro entro quarantacinque giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 8 gennaio 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia