[e-privacy] Illecito monitorare il contenuto della navigazione in internet del dipendente

[Avv. Barbara Gualtieri]

http://www.altalex.com/index.php?idnot=4036   
Di Alessandro Tognetti 


Illecito monitorare il contenuto della navigazione in internet del
dipendente 
Garante Privacy , provvedimento 02.02.2006 



Il datore di lavoro non può “spiare” la navigazione in Internet del
dipendente, ma il controllo può essere limitato ai tempi di collegamento.

Il Garante privacy ha vietato a una società l'uso dei dati relativi alla
navigazione in Internet di un lavoratore che, pur non essendo autorizzato,
si era connesso alla rete da un computer aziendale consultando siti
(fornendone l'elenco dettagliato) a contenuto religioso, politico etc.

Con il provvedimento del 2 febbraio 2006 l’Autorità ha affermato che per
contestare gli addebiti, sarebbe stato sufficiente verificare gli avvenuti
accessi a Internet e i tempi di connessione, senza indagare sui contenuti
degli stessi.

Occorre tener presente che il rilevamento dei siti visitati può rivelare
dati delicatissimi della persona: convinzioni religiose, opinioni politiche,
appartenenza a partiti, sindacati o associazioni, stato di salute.

Tutti i dati sopra citati possono contribuire a comporre il quadro dei
“dati” dell’interessato relativi alle attitudini, alle tendenze alle
convinzioni, alle indicazioni sulla vita sessuale.

Dopo aver richiamato alcuni provvedimenti ( es:autorizzazione n. 1/2004), il
Garante ha precisato che il trattamento dei dati dell’interessato per essere
lecito nel caso di specie doveva essere:

*	indispensabile (art. 26, comma 4, lett. c), del Codice; 
*	necessario per far valere o difendere in giudizio un diritto di
rango pari a quello dell'interessato ovvero consistente in un diritto della
personalità o in un altro diritto o libertà fondamentale e inviolabile.

Tali principi non ricorrevano nel caso in esame e pertanto il trattamento
effettuato dalla società non era conforme alla normativa sulla privacy .

Il Garante ha riscontrato che la società aveva operato un trattamento
diffuso di numerose altre informazioni indicative anche degli specifici
"contenuti" degli accessi dei singoli siti web visitati nel corso delle
varie navigazioni, operando - in modo peraltro non trasparente - un
trattamento di dati eccedente rispetto alle finalità perseguite.

L'uso indebito del computer da parte della società, doveva essere dunque
contestato senza indagare sui siti visitati dal lavoratore.

In conclusione del provvedimento l’Autorità ha precisato che la decisione
lascia impregiudicati i diritti delle parti in ordine alla liceità o meno
dei comportamenti addebitati al ricorrente (lavoratore).

 



Garante per la protezione dei dati personali 

Provvedimento 2 febbraio 2006

Internet: proporzionalità nei controlli effettuati dal datore di lavoro 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott.
Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott.
Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY, rappresentato e difeso dagli avv.ti
Alfredo Sigillò Massara e Vincenzo Sigillò presso il cui studio ha eletto
domicilio

nei confronti di

ZK S.p.A. rappresentata e difesa dall'avv. Maurizio Maggio presso il cui
studio ha eletto domicilio;

Visti gli articoli 7, 8 e 145 ss. del Codice in materia di protezione dei
dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

Il ricorrente ha ricevuto dalla casa di cura resistente, presso cui prestava
servizio come addetto all'accettazione e al banco referti, una contestazione
disciplinare relativa ad accessi ad Internet non autorizzati effettuati sul
luogo di lavoro.

Il ricorrente ha chiesto il blocco e la cancellazione dei dati personali che
lo riguardano relativi a tali accessi, ai sensi dell'art. 7 Codice. La
resistente li aveva documentati producendo numerose pagine -allegate alla
contestazione disciplinare- recanti, in particolare, informazioni relative
ai "file" temporanei e ai "cookie" originati, sul computer utilizzato dal
ricorrente, dalla navigazione in rete avvenuta durante sessioni di lavoro
avviate con la password del ricorrente medesimo.

Non avendo ricevuto riscontro, il ricorrente ha presentato ricorso al
Garante ai sensi degli art. 145 e s. del Codice, ritenendo illecito il
trattamento.

Il ricorrente ha sostenuto che tra i dati in questione comparivano anche
alcune informazioni di carattere sensibile idonee a rivelare, in
particolare, convinzioni religiose, opinioni sindacali, nonché gusti e
tendenze sessuali posto che numerosi file fanno riferimento a siti Internet
a contenuto pornografico. La resistente avrebbe trattato tali dati senza
alcun consenso e senza informare preventivamente circa la possibilità di
effettuare controlli sui terminali d'ufficio né l'interessato, né il
"sindacato interno all'azienda (
), in aperto spregio all'articolo 4 dello
Statuto dei lavoratori che prevede che tale attività può avvenire solo
previo consenso del sindacato o dell'ispettorato del lavoro". Il ricorrente
ha pertanto ribadito le sue precedenti istanze chiedendo anche di porre a
carico del soccombente le spese sostenute per il procedimento.

A seguito dell'invito ad aderire formulato da questa Autorità in data 7
novembre 2005 ai sensi dell'art. 149, comma 1, del Codice, la resistente ha
risposto con memoria del 29 novembre 2005 con la quale, considerando il
ricorso inammissibile (dal momento che il ricorrente, contestando
"fermamente di avere mai operato le azioni oggetto della contestazione
disciplinare", non sarebbe legittimato a proporlo), ha ritenuto lecito il
trattamento citando casi analoghi di controllo dei lavoratori ritenuti
leciti in giurisprudenza e dichiarando, in particolare, che:

	* "i fatti su cui si fonda il ricorso (
) traggono origine dal
licenziamento per giusta causa intimato" al ricorrente "a seguito
dell'accertamento (
) di alcune gravi violazioni poste in essere dal
lavoratore e che, per la parte che interessa questo procedimento, ha
riguardato l'illecito accesso ad Internet dai computer aziendali in uso allo
stesso (
), l'appropriazione indebita del materiale cartaceo utilizzato per
stampare i risultati della navigazione, nonché il danneggiamento della rete
aziendale a causa dei virus informatici introdottisi, fatti per i quali si è
provveduto a proporre relativa querela";

	* il ricorrente non è stato preventivamente informato di possibili
controlli informatici in considerazione del fatto che gli accessi ad
Internet, "in virtù delle mansioni affidate al lavoratore, non sarebbero
dovuti avvenire";

	* ZK S.p.A. è comunque "dotata di un manuale della qualità
accessibile a tutti i dipendenti della clinica che hanno in uso i terminali
aziendali (
), essendo consultabile dal computer cliccando su apposita
icona"; il manuale avverte i lavoratori sia della circostanza che "per la
salvaguardia dei dati si procederà a backup periodici ed all'installazione e
manutenzione di opportuni programmi antivirus", sia del fatto che "gli
elaboratori sono da considerarsi beni aziendali affidati al lavoratore per
lo svolgimento delle sue mansioni; ogni utilizzo per fini privati deve
essere evitato";

	* la società non era obbligata a raccogliere il consenso che non è
richiesto (art. 24 del Codice) quando il trattamento, come nel caso di
specie, nasce dalla "legittima esigenza di far valere i propri diritti,
anche ai fini della loro tutela in giudizio. E ciò, sia rispetto al rapporto
di lavoro con il XY ed alla sua risoluzione, sia rispetto alla tutela di
patrimonio ed attività aziendale, nonché alla finalità di quest'ultima,
rilevante sotto il profilo sociale, operando la ZK S.p.A. nel campo della
sanità accreditata (
) e, quindi, inserita nell'ampio sistema previsto dal
nostro ordinamento per garantire il diritto, di rilevanza costituzionale,
alla salute del cittadino";

	* gli artt. 2, 3 e 4 dello Statuto dei lavoratori non farebbero
"venire meno il potere dell'imprenditore, ai sensi degli artt. 2086 e 2104
c.c., di controllare direttamente o mediante propria organizzazione
gerarchica l'adempimento delle prestazioni cui sono tenuti i lavoratori, e
così di accertare eventuali mancanze specifiche dei dipendenti medesimi già
commesse o in corso di esecuzione"; per poter applicare il divieto di
controllo a distanza dei lavoratori di cui all'art. 4 della l. n. 300/1970,
"è necessario che il controllo riguardi (direttamente o indirettamente)
l'attività lavorativa, mentre devono ritenersi certamente fuori dall'ambito
di applicazione della norma i controlli diretti ad accertare condotte
illecite del lavoratore (cd. controlli difensivi)" (cfr. Cass. n.
4746/2002), quali quelli messi in atto nel caso di specie;

	* "l'utilizzo privato dell'elaboratore aziendale costituisce
illecito contrattuale a carico del lavoratore"; pertanto, la società poteva
porre lecitamente in essere i necessari controlli difensivi volti a far
valere i propri diritti.

Nell'audizione del 6 dicembre 2005 il ricorrente ha rilevato che dalla
motivazione delle sentenze citate dalla controparte risulta che nei predetti
casi il controllo dei lavoratori è stato considerato lecito in quanto il
trattamento di dati personali sarebbe "stato breve e non eccedente, ovvero
effettuato limitatamente ai tempi di connessione e non ai contenuti".

Con memoria del 13 gennaio 2006 (successiva alla proroga del termine per la
decisione sul ricorso disposta da questa Autorità, ai sensi dell'art. 149,
comma 7, del Codice, il 6 dicembre 2005), la resistente ha ribadito di
ritenere lecito il trattamento ed ha comunicato che, su richiesta del
ricorrente, è stata fissata la data di convocazione delle parti per il
tentativo obbligatorio di conciliazione ai sensi degli artt. 410 e ss.
c.p.c.; ciò, confermerebbe la volontà del ricorrente "di adire l'autorità
giudiziaria al fine di far valere l'illegittimità del licenziamento".

Nella memoria pervenuta il 25 gennaio 2006, il ricorrente ha ribadito le
proprie richieste ed ha rilevato in particolare che:

	* l'unica password utilizzata dal ricorrente era la "password
utente" che consente di avviare la sessione di lavoro sul computer, mentre
nessuna password era prevista per entrare nella rete Internet, liberamente
accessibile mediante l'icona relativa al browser Explorer di Windows;

	* nel "manuale della qualità della ZK (
) non si fa alcun
riferimento ai controlli degli accessi ad Internet"; comunque non sono stati
trattati file di backup poiché dalla stringa contenuta nelle "pagine sui
dati sulle navigazioni riferite" al ricorrente "(c:\copia\documents and
settings\x-y\impostazioni locali\temporary internet files\) emerge che c'è
stata un'operazione manuale di copia della "directory temporary internet
files" contenuta nella cartella "x-y""; analoga operazione sarebbe stata
effettuata sulla "cronologia delle navigazioni, non riferibile ad un backup
automatico";

	* tra i dati trattati compaiono anche alcune informazioni idonee a
rivelare la vita sessuale il cui trattamento, se effettuato senza il
consenso scritto dell'interessato, è consentito (art. 26, comma 4, lett. c)
del Codice) solo per far valere in giudizio un diritto "di rango pari a
quello dell'interessato"; i diritti fatti valere dalla resistente
(risoluzione del rapporto di lavoro, tutela del patrimonio aziendale,
asserita finalità sociale perseguita dall'azienda per tutelare la salute del
cittadino), non consisterebbero "in diritti di pari grado a quelli che il
sig. XY (
) si appresta a proteggere";

	* il trattamento effettuato dal datore di lavoro sarebbe pertanto
eccedente, dal momento che lo stesso è "durato ad libitum, ovvero almeno dai
primi giorni del mese di gennaio 2005".

Con memoria pervenuta il 27 gennaio 2006, la società resistente ha ribadito
la liceità del trattamento effettuato.

CIÒ PREMESSO, IL GARANTE OSSERVA

Il ricorso verte sulla liceità e correttezza del trattamento di dati
relativi alle navigazioni in Internet contestate ad un dipendente dal datore
di lavoro.

Il ricorso è fondato.

Va in primo luogo rigettata l'eccezione di inammissibilità del ricorso.

La resistente ha contestato l'indebito utilizzo di strumenti aziendali per
fini privati, imputando al ricorrente le "navigazioni" effettuate sul web
durante sessioni di lavoro avviate con l'uso della sua password. Considerato
il collegamento diretto ed univoco che la società ha rappresentato (ai fini
della contestazione disciplinare, del licenziamento per giusta causa e della
querela sporta) tra la persona del ricorrente e i dati desunti sia dai file
temporanei, sia dai cookie prodotti in giudizio, il ricorrente stesso assume
la qualità di "interessato" (art. 4, comma 1, lett. a), del Codice, secondo
cui è tale "la persona fisica (
) cui si riferiscono i dati personali") ed
è, pertanto, legittimato ad esercitare i diritti di cui all'art. 7 del
Codice e a presentare ricorso al Garante.

Per ciò che concerne il merito va rilevato che la società, per dimostrare un
comportamento illecito nel quadro del rapporto di lavoro, ha esperito
dettagliati accertamenti in assenza di una previa informativa
all'interessato relativa al trattamento dei dati personali, nonché in
difformità dall'art. 11 del Codice nella parte in cui prevede che i dati
siano trattati in modo lecito e secondo correttezza, nel rispetto dei
principi di pertinenza e non eccedenza rispetto alle finalità perseguite.

Dalla documentazione in atti si evince che la raccolta da parte del datore
di lavoro dei dati relativi alle navigazioni in Internet è avvenuta mediante
accesso al terminale in uso all'interessato (con copia della cartella
relativa a tutte le operazioni poste in essere su tale computer durante le
sessioni di lavoro avviate con la sua password, come si desume dalla stringa
riportata in apice all'elenco dei file prodotti dalla resistente
"c:\copia\Documents and settings\x-y\"), anziché mediante accesso a file di
backup della cui esistenza il personale della società è informato mediante
il "manuale della qualità " accessibile agli stessi sul proprio terminale.

A parte la circostanza che l'interessato non era stato, quindi, informato
previamente dell'eventualità di tali controlli e del tipo di trattamento che
sarebbe stato effettuato, va rilevato sotto altro profilo che non risulta
che il ricorrente avesse necessità di accedere ad Internet per svolgere le
proprie prestazioni. La resistente avrebbe potuto quindi dimostrare
l'illiceità del suo comportamento in rapporto al corretto uso degli
strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo
l'esistenza di accessi indebiti alla rete e i relativi tempi di
collegamento. La società ha invece operato un trattamento diffuso di
numerose altre informazioni indicative anche degli specifici "contenuti"
degli accessi dei singoli siti web visitati nel corso delle varie
navigazioni, operando -in modo peraltro non trasparente- un trattamento di
dati eccedente rispetto alle finalità perseguite.

La raccolta di tali informazioni ha comportato, altresì, il trattamento di
alcuni dati sensibili idonei a rivelare convinzioni religiose, opinioni
sindacali, nonché gusti attinenti alla vita sessuale (ciò, stante l'elevato
numero di informazioni valutate in rapporto ad un lungo arco di tempo, gli
specifici contenuti risultanti da alcuni indirizzi web e il contesto
unitario in cui il complesso di tali dati è stato valutato), rispetto ai
quali la disciplina in materia di dati personali pone peculiari garanzie che
non sono state integralmente rispettate nel caso di specie (art. 26 del
Codice; aut. gen. del Garante n. 1/2004).

Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti
nell'ambito di controlli informatici volti a verificare l'esistenza di un
comportamento illecito (che hanno condotto a sporgere una querela, ad una
contestazione disciplinare e al licenziamento), le informazioni di natura
sensibile possono essere trattate dal datore di lavoro senza il consenso
quando il trattamento necessario per far valere o difendere un diritto in
sede giudiziaria sia "indispensabile" (art. 26, comma 4, lett. c), del
Codice; autorizzazione n. 1/2004 del Garante). Tale indispensabilità, anche
alla luce di quanto precedentemente osservato, non ricorre nel caso di
specie.

Inoltre, riguardando anche dati "idonei a rivelare lo stato di salute e la
vita sessuale", il trattamento era lecito solo per far valere o difendere in
giudizio un diritto di rango pari a quello dell'interessato ovvero
consistente in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile. Anche tale circostanza non ricorre nel caso di
specie, nel quale sono stati fatti valere solo diritti legati allo
svolgimento del rapporto di lavoro (cfr. art. 26, comma 4, lett. c), del
Codice; punto 3, lett. d), della citata autorizzazione; cfr. Provv. Garante
9 luglio 2003).

Alla luce delle considerazioni sopra esposte e considerato l'art. 11, comma
2, del Codice secondo cui i dati trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali non possono essere
utilizzati, l'Autorità dispone quindi, ai sensi dell'art. 150, comma 2, del
Codice, quale misura a tutela dei diritti dell'interessato, il divieto per
la società resistente di trattare ulteriormente i dati personali raccolti
nei modi contestati con il ricorso.

La presente decisione lascia impregiudicati i diritti delle parti in ordine
alla liceità o meno dei comportamenti addebitati al ricorrente.

Sulla base della determinazione generale del 19 ottobre 2005 relativa alla
misura forfettaria dell'ammontare delle spese e dei diritti da liquidare per
i ricorsi, l'ammontare delle spese e dei diritti inerenti all'odierno
ricorso e posto a carico della resistente è determinato nella misura
forfettaria di euro 500, di cui euro 150 per diritti di segreteria,
considerati gli adempimenti connessi, in particolare, alla presentazione del
ricorso.

PER QUESTI MOTIVI IL GARANTE

	a) dichiara fondato il ricorso e, per l'effetto, vieta alla società
resistente il trattamento dei dati personali dell'interessato oggetto del
ricorso;

	b) determina nella misura forfettaria di euro 500 l'ammontare delle
spese e dei diritti del procedimento posti a carico di ZK S.p.A., che dovrà
liquidarli direttamente a favore del ricorrente.

Roma, 2 febbraio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli

__________________
Avv. Barbara Gualtieri