[doc. web n. 9441579]

Provvedimento del 19 maggio 2020

Registro dei provvedimenti
n. 91 del 19 maggio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 17 ottobre 2018, da XX, nei confronti de “Il Copistaro di XX” in qualità di titolare del trattamento, con il quale sono state lamentate presunte violazioni del Regolamento con riferimento ad operazioni di trattamento di dati personali effettuate mediante l’account di posta elettronica individualizzato affidato al reclamante nell’ambito del rapporto di lavoro e alla inibizione dell’accesso allo stesso account;

CONSIDERATO che il reclamante ha altresì lamentato di non aver ricevuto alcuna specifica informativa sull’utilizzo dell’account di posta elettronica aziendale, in particolare in merito alla natura esclusivamente lavorativa dello stesso;

VISTO che il reclamante ha rappresentato di aver inviato al titolare del trattamento, in data 15 gennaio e 3 ottobre 2018, richieste di spiegazioni in merito alla sospensione della possibilità di accesso all’account di posta elettronica aziendale individualizzato e di non avere ricevuto risposta alle stesse;

VISTA la nota del 4 dicembre 2018, inviata di nuovo il 29 marzo 2019, con la quale l’Autorità ha invitato il titolare del trattamento a fornire riscontro sui fatti oggetto di reclamo;

VISTA la nota di riscontro del 20 maggio 2019 con la quale il titolare del trattamento ha dichiarato che:

- “come da informativa privacy [che è stata allegata] le password aziendali, vengono modificate ogni 4 (quattro) mesi” (v. nota 20.05.2019 cit., p. 1);

- "il [reclamante nel periodo compreso tra il 19.09.2018 e il 23.11.2018] era in malattia e quindi non era autorizzato all’accesso del computer aziendale al di fuori del posto di lavoro. […] Dopo varie e pressanti richieste telefoniche [effettuate dal reclamante] la ditta in persona del suo titolare comunicava che al suo rientro in Azienda, finita la malattia, avrebbe potuto in tutta libertà accedere con le nuove [password]” (v. nota cit., p. 1);

- in base alla policy aziendale “era inibito l’utilizzo della mail aziendale per scopi e fini personali al di fuori dei locali aziendali e degli orari di lavoro […] pertanto, ancorché la presente impresa non abbia mai avuto accesso al contenuto e/o a qualunque email fornita al [reclamante], la stessa non poteva contenere alcun dato sensibile riferito alla persona del [reclamante]” (v. nota cit., p. 1);

- in merito alla modalità [di trattamento] dei dati contenuti nell’account e sulla modalità d’uso della posta elettronica e dotazioni di servizio, veniva stilato, in data aprile 2018 apposito documento informativo […], che veniva comunicato tramite riunione, affisso nei locali aziendali e consegnato […] a tutti i dipendenti” (nota cit., p. 2); 

- “si [è proceduto] alla disattivazione dell’account [attribuito al reclamante]” (v. nota cit., p. 2);

VISTA la nota del 2 luglio 2019, con la quale l’Autorità ha invitato il titolare del trattamento a fornire ulteriori chiarimenti sui fatti oggetto di reclamo;

VISTA la nota di riscontro dell’8 agosto 2019 con la quale il titolare del trattamento ha fornito copia del “Regolamento aziendale per l’utilizzo di internet e della posta elettronica ed istruzioni operative agli incaricati del trattamento di dati”, datato 9 aprile 2015 e firmato esclusivamente dal titolare del trattamento;

VISTO che il 30 settembre 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al titolare del trattamento delle presunte violazioni del Regolamento riscontrate; visto altresì che con le memorie difensive del 25 ottobre 2019 “Il Copistaro di XX” ha rappresentato che:

- “l’art. 4 del Modello Informativa Privacy, “Periodo di conservazione dei dati” cita espressamente: “… Le password di accesso dei programmi software in ditta con accordi con il consulente informatico, saranno variate ogni 4 mesi per questioni di sicurezza”” (v. nota 25.10.2019, cit., p. 1);

- “è di tutta evidenza […] come il lavoratore ben sapesse della possibilità che le password [potessero] cambiare. Nel caso di specie, il periodo di malattia e di assenza dal posto di lavoro, coincideva con il periodo entro il quale le password venivano cambiate” (v. nota cit., p. 1);

- con riferimento al modello di informativa privacy allegato al riscontro inviato all’Autorità “si precisa che […] è stato inoltrato […] il Modello più aggiornato della Informativa Privacy, in ottemperanza al Reg. Europeo n. 679 del 27 aprile 2019. In ogni caso anche il modello precedente prevedeva le disposizioni di sicurezza di cui [agli] artt. 4 e 5 [relativi al periodo di conservazione dei dati e all’ambito di comunicazione e diffusione dei dati]” (nota cit., p. 2);

- si ritiene dimostrata “la totale correttezza e buona fede [del titolare del trattamento]” (nota. cit., p. 2);

- “copia del [Regolamento aziendale del 9.4.2015] viene affissa e pubblicata nei locali aziendali, letta e consegnata a ciascun dipendente per presa visione all’atto di assunzione ed a ciascun collaboratore ad inizio attività” (nota cit., p. 2);

- “il fatto per cui il […] titolare del trattamento possa cambiare le password […] si inserisce nel […] concetto di controllo che, per le sole improrogabili necessità di sicurezza, si trovi costretto ad operare l’Amministratore di Sistema, in caso di assenza improvvisa o prolungata dell’utente o, comunque, non programmata; come può essere, per l’appunto, un’assenza dal posto di lavoro per malattia” (nota cit., p. 2);

- “al ritorno in azienda al fine del periodo di comporto, le password venivano comunicate al dipendente” (nota cit., p. 2);

VISTO, infine, che in sede di audizione richiesta dal titolare del trattamento e tenutasi il 20 novembre 2019, quest’ultimo ha dichiarato che:

- “l’accesso al pc aziendale avviene previo inserimento di una password personale da parte di ciascun dipendente”;

- “l’accesso alla posta elettronica è possibile previo inserimento di una password (diversa per ciascun dipendente) che viene modificata ogni 4 mesi ad opera del web agent e [dal titolare del trattamento] comunicata ad [ogni dipendente]”;

- “con riferimento al caso specifico oggetto di reclamo la scadenza della password del reclamante è coincisa, per due volte, con il periodo di malattia del dipendente”;

- “in considerazione dello stato di malattia del dipendente, non [si è] ritenuto opportuno comunicare [al reclamante] la password modificata”;

- l’attività lavorativa del reclamante consisteva “nella predisposizione di preventivi che comunque [erano] sottoposti alla […] approvazione [da parte del responsabile], e al successivo invio al cliente”;

- “Il Copistaro di XX” è “una piccola azienda individuale con tre dipendenti [con la sede posta all’interno di] una struttura molto piccola”;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RILEVATO che all’esito dell’attività istruttoria è emerso che il titolare del trattamento, in base a quanto dichiarato all’Autorità (e come confermato dalla conversazione via skype tra il reclamante ad il referente per la gestione della posta elettronica aziendale, avvenuta il 4.1.2018, allegata in copia al reclamo), ha proceduto alla modifica della password di accesso all’account di posta elettronica di tipo individualizzato assegnato al reclamante nell’ambito del rapporto di lavoro (XX); ciò risulta essere avvenuto nel gennaio e nel settembre del 2018;

RILEVATO che nessuno dei documenti informativi relativi ai trattamenti di dati personali predisposti dal titolare e presenti in atti contiene alcun riferimento alla necessità di una “autorizzazione” per accedere alla posta elettronica in costanza di malattia, della facoltà del datore di lavoro di provvedere – anche per mezzo del web agent - al cambio di password di accesso all’account di posta elettronica ogni quattro mesi e delle regole generali sul funzionamento dell’account;

RILEVATO infatti che l’“Informativa ai sensi dell’art. 13 del Testo Unico sulla Privacy” datata 10.4.2015 e sottoscritta dal datore di lavoro e dal reclamante, il “Modello Informativa Privacy ai sensi dell’art. 13 del Regolamento UE 2016/679” datato 27.4.2018 (successivo, in ogni caso, al primo fatto oggetto di reclamo) − che reca tra i destinatari anche il reclamante, ma è privo della sottoscrizione da parte dello stesso e degli altri lavoratori −, e il “Regolamento aziendale per l’utilizzo di internet e della posta elettronica ed istruzioni operative agli incaricati del trattamento dei dati” datato 9.4.2015, recante la sola sottoscrizione del datore di lavoro, non costituiscono idoneo adempimento da parte della società dell’obbligo informativo che l’ordinamento pone in capo al titolare del trattamento, considerato che in nessuno di tali documenti vi è cenno alle prassi adottate dal titolare sulla complessiva gestione della posta elettronica aziendale;

RITENUTO che il titolare del trattamento è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro, ciò anche in applicazione del principio di correttezza (v. artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, criteri peraltro confluiti negli artt. 5, par. 1, lett. a) e 12 e 13 del Regolamento; v. sul punto Provv. 4.12.2019, n. 216, in www.garanteprivacy.it, doc. web n. 9215890);

RITENUTO che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42);

RILEVATO altresì che nel provvedimento contenente le "Linee guida del Garante per posta elettronica e Internet" (adottato dall’Autorità il 1° marzo 2007 e pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007), il Garante ha fornito indicazioni e chiarimenti sui trattamenti effettuati nel contesto del rapporto di lavoro attraverso gli account di posta elettronica;

RITENUTO che il titolare del trattamento ha l’obbligo di garantire un’adeguata sicurezza dei dati personali trattati mediante misure tecniche ed organizzative idonee al fine di garantire un livello di sicurezza adeguato al rischio e volte a tutelare la legittima aspettativa di riservatezza su talune forme di comunicazione del lavoratore e di terzi coinvolti;

RITENUTO che nel caso di utilizzo di account di posta elettronica aziendale tale obbligo può estrinsecarsi nella predisposizione di modalità di impostazione di password di accesso all’account tali da garantire la conoscenza della stessa password solo al titolare dell’account – in caso di account individualizzato - oppure ricorrendo ad account – non individualizzati - condivisi tra più lavoratori (v. "Linee guida del Garante per posta elettronica e Internet" cit.);

PRESO ATTO, con riguardo alle richieste del reclamante di “imporre il divieto di trattamento” consistente nella impossibilità di accedere all’account a lui riferito e di “ripristinare l’utilizzo della mail arbitrariamente negato”, che il titolare ha dichiarato di aver comunicato al dipendente le password di accesso al ritorno in azienda successivamente al periodo di malattia e di avere disattivato l’account di posta elettronica aziendale intestato al reclamante successivamente all’interruzione del rapporto di lavoro, in una data non meglio precisata (v. nota del 25.10.2019, cit., p. 2, e nota 20.5.2019, cit., p.2);

RITENUTO pertanto che, relativamente a tali istanze, non vi siano i presupposti per l’adozione di provvedimenti correttivi da parte dell’Autorità;

RITENUTO che relativamente alla richiesta di “comunicare le modalità di raccolta e di trattamento dei dati personali dei dipendenti”, essendo state fornite le indicazioni richieste, non vi siano i presupposti per l’adozione di provvedimenti da parte dell’Autorità;

RITENUTO che il reclamo sia fondato in relazione alla prospettata illiceità del trattamento, allo stato non più in essere, consistente nel non avere fornito idonea informativa al reclamante in merito all’utilizzo dell’account di posta elettronica aziendale, anche durante i periodi di malattia, e che, relativamente al caso in esame, occorra ammonire il titolare del trattamento ai sensi degli art. 57, par. 1, lett. f) e 58, par. 2 del Regolamento;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi    dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE  la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO, IL GARANTE

a. ai sensi dell’art. 57, par. 1, lett. f) del Regolamento dichiara illecito il trattamento effettuato da “Il Copistaro di XX” descritto nei termini di cui in motivazione, consistente nel non avere fornito idonea informativa al reclamante in merito all’utilizzo dell’account di posta elettronica aziendale individualizzato, anche durante i periodi di malattia;

b. ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce “Il Copistaro di XX” sulla necessità di conformare i trattamenti effettuati sugli account di posta elettronica aziendale durante il rapporto di lavoro alle disposizioni ed ai principi in materia di protezione dei dati personali indicati in motivazione;

c. ritiene ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 19 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia