Trasforma contenuto in PDF

[doc. web n. 2359009]
Provvedimento del 20 dicembre 2012
Registro dei provvedimenti
n. 440 del 20 dicembre 2012
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia
Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il ricorso regolarizzato il 9 agosto 2012, presentato da XY nei confronti di Parma Gestione Entrate S.p.A., con il quale il ricorrente,
dipendente della predetta società, dopo aver ricevuto nel maggio 2011 una contestazione disciplinare cui ha fatto seguito la sanzione di un
giorno di sospensione dal lavoro e dalla retribuzione poiché nel corso di una verifica periodica di "maintenance information security"
sarebbero emersi accessi al sito www.ctunnel.com (come ad altri proxy web) da parte dell'indirizzo IP identificativo del pc aziendale allo
stesso assegnato, non avendo ricevuto idoneo riscontro alle istanze previamente avanzate ai sensi dell'art. 7 del Codice in materia di
protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), ha ribadito le proprie richieste volte ad avere conferma dell'esistenza di dati
personali che lo riguardano e ad ottenere la loro comunicazione in forma intellegibile, a conoscerne l'origine, le finalità, le modalità e la
logica applicata al loro trattamento, nonché l'indicazione degli estremi identificativi del titolare e del/i responsabile/i eventualmente
designato/i e dei soggetti o categorie di soggetti ai quali i dati possono essere comunicati; ciò con specifico riferimento ai dati relativi
all'interessato eventualmente contenuti "nei messaggi di posta elettronica aventi lo stesso per oggetto o dallo stesso ricevuti o spediti", nelle
"pagine web memorizzate e riprodotte la cui visualizzazione sia stata allo stesso imputata" e in "qualsiasi altra documentazione inerente il
sottoscritto relativa a comunicazioni e/o relazioni di altri colleghi"; rilevato che il ricorrente, sostenendo che i predetti dati sarebbero stati
illecitamente acquisiti dal datore di lavoro che, in occasione di un intervento di manutenzione e di aggiornamento della sicurezza informatica,
avrebbe indebitamente raccolto "i dati della cache dei proxy aziendali" senza la previa informativa e comunque in assenza di un suo
consenso, ha anche chiesto la cancellazione, la trasformazione in forma anonima o il blocco dei dati personali acquisiti in asserita violazione
di legge, nonché l'attestazione che tali operazioni siano state portate a conoscenza di coloro ai quali i dati sono stati comunicati; rilevato che
il ricorrente ha chiesto infine di porre a carico della controparte le spese sostenute per il procedimento;
VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 10 agosto 2012, con la quale questa Autorità, ai sensi dell'art. 149, comma 1 del
Codice ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché la nota del 12 novembre 2012
con la quale è stata disposta, ai sensi dell'art. 149, comma 7, la proroga dei termini del procedimento;
VISTE le note datate 13 settembre 2012 e 17 settembre 2012 con le quali la società resistente (rappresentata e difesa dall'avv. Antonio
Giovati), nel richiamare il contenuto della nota di riscontro inviata al ricorrente in data 6 giugno 2011, ha affermato che le "informazioni
aggiuntive" che saranno formulate nel corso del presente procedimento sono già in possesso del ricorrente in quanto contenute nella memoria
con la quale la medesima società si è costituita nel giudizio dallo stesso promosso dinanzi al Tribunale di Parma – sezione lavoro al fine di
vedere dichiarata, tra l'altro, l'illegittimità della sanzione disciplinare inflittagli; la società resistente ha quindi fornito ulteriori precisazioni in
ordine alle richieste di accesso formulate dal ricorrente affermando, tra l'altro: a) di "non essere in possesso di alcun dato inerente a messaggi
di posta elettronica eventualmente presenti sull'account di posta aziendale, da lei spediti e/o ricevuti, diversi da quelli strettamente attinenti
alla sua attività lavorativa (…). La società non compì allora e non ha compiuto dopo alcuna verifica sull'eventuale presenza, nel server
aziendale, di messaggi privati (…). I messaggi di posta, tra l'altro, si trovano sul server aziendale, non nella "scatola nera" (…), quindi, non
sono mai stati minimamente interessati dalle attività di verifica che la società fu costretta a compiere nel maggio 2011 a seguito
dell'emersione delle sue illegittime attività, posto che tali attività non ebbero ad oggetto quanto era presente sul server aziendale (…)"; b) di
"non disporre di dati concernenti le sue navigazioni "internet" e che non aveva e non ha effettuato indagini sull'abuso dell'utilizzo di internet
stesso, diverse rispetto a quelle che hanno generato l'avvio della procedura disciplinare (…). I dati di cui ora dispone e che sta trattando, in
forma di conservazione, sono quelli che si rinvengono nell'elaborato peritale prodotto in copia nel giudizio pendente dinanzi al Tribunale di
Parma (…), vale a dire i dati personali contenuti nei log di sistema (peraltro anonimi) e nei supporti che sono stati periziati. Gli stessi sono
ora conservati, su supporto tecnologico, nella cassaforte di Parma Gestione Entrate s.p.a., a disposizione delle varie Autorità che potrebbero
essere chiamate a giudicare quanto è accaduto (…) e in quanto necessari per l'esercizio del diritto di difesa della società medesima in
giudizio"; c) di "non disporre nemmeno di dati inerenti alle attività che l'interessato potrebbe aver compiuto, coperto dall'anonimato, nei
periodi in cui il sistema ha cancellato la tracciabilità dell'utilizzo, da parte sua, del proxy anonimo CTunnel"; nelle medesime note la
resistente ha rappresentato che, essendo dotata di un sistema di sicurezza informatico "(denominato "PCS Total Secure)" di tipo
"perimetrale" ("che serve a prevenire, controllare e valutare intrusioni (dall'esterno all'interno) ed evasioni (dall'interno all'esterno) non
autorizzate nel e dal perimetro della piattaforma di sicurezza") gestito da un soggetto terzo abilitato, la DataConSec s.r.l., quest'ultima, in
occasione di una delle periodiche attività di aggiornamento dei sistemi e di analisi dei log ("maintanance information security") rilevò che
"nelle date del 28 e 29 marzo 2011 un computer in uso ad un utente della resistente, corrispondente all'indirizzo IP (…) (che la società
medesima, in quel momento, non sapeva corrispondere alla postazione del ricorrente, essendo il dato in possesso dell'amministratore di
sistema) aveva "loggato" un accesso al sito www.ctunnel.com. In seguito (…) fu possibile appurare che l'indirizzo IP era associato
inequivocabilmente al computer aziendale assegnato all'interessato e che gli orari di utilizzo del proxy (…) erano riconducibili agli orari e ai
giorni in cui lo stesso risultava al lavoro e collegato alla sua postazione"; appurato quindi che "un utente della rete interna aveva compiuto
un'operazione di evasione della difesa perimetrale del sistema, forzando il sistema medesimo ed esponendolo a pericoli (di importazione di
virus, di attività di phishing da parte di terzi, ecc.) ma anche e soprattutto per la tipologia e la pericolosità potenziale del sito visitato, che è un
proxy anonimo (…), che non è ancora stato inserito nella black list (…) ", la società resistente decise (…) di "acquisire la prova di quel che
era avvenuto, per poter compiere le più approfondite verifiche del caso (…)"; il giorno 27 aprile 2011 furono compiute le operazioni di
"acquisizione dei file di log del sistema di webfiltering", senza accedere al computer del ricorrente ma lavorando soltanto sulla "scatola nera"
e sul "firewall" (…)" e il successivo 2 maggio 2011 fu compiuto l'accesso fisico alla postazione dell'interessato con asportazione del disco
fisso, previa "operazione di blocco del computer, che congela ed attesta il dato identificativo dell'utente in quel momento connesso (…)". Sul
punto la società resistente ha precisato che "né l'attività di estrazione dei log, né l'attività di asporto del disco fisso hanno mai comportato
alcun accesso od alcun asporto dei dati personali che, eventualmente (la società non dispone dell'informazione), il ricorrente poteva avere
conservato sul suo indirizzo di posta elettronica, posto che la posta stessa (…) è depositata su un server che non è mai stato oggetto di alcuna
verifica"; visto che la resistente, nel sostenere l'infondatezza delle richieste formulate dal ricorrente ai sensi dell'art. 7, comma 3, del Codice,
ha sottolineato come l'interessato fosse stato preventivamente informato, fin dalla data della sua assunzione (risale al 9 maggio 2006 la sua
nomina quale incaricato del trattamento) "dell'estrema rilevanza di un uso corretto, pertinente, lecito ed appropriato delle attrezzature
informatiche aziendali come della gestione oggettivamente e soggettivamente riservata delle informazioni", attraverso l'adozione di diversi
atti i cui contenuti sono stati comunicati a tutti i dipendenti (ivi compreso l'interessato) nonché attraverso l'espletamento di appositi corsi di
formazione ai quali l'interessato medesimo ha partecipato. In particolare, la società resistente ha allegato copia: a) del "Modello di gestione e
di organizzazione ex d.lg.vo n. 231/2001", portato a conoscenza del ricorrente con ordine di servizio n. 12 del 24 marzo 2010 che, oltre a
contenere una parte dedicata ai reati informatici, contempla un codice etico nel quale è riportato, tra l'altro, che "i beni aziendali possono
essere usati esclusivamente per scopi connessi e strumentali all'esercizio dell'attività lavorativa"; b) del "Regolamento relativo all'accesso e
all'uso del sistema informativo aziendale" anch'esso "diffuso tra i dipendenti" nel quale si rappresenta chiaramente che "l'utilizzo di internet e
della posta elettronica è strettamente legato all'attività lavorativa" e si descrivono le relative modalità di controllo da parte del datore di
lavoro; c) del verbale di un corso di formazione in materia di protezione dei dati personali tenutosi il 14 aprile 2011 (al quale ha partecipato
lo stesso ricorrente come risulta dal "foglio rilevazione presenze riunione") in cui è stata richiamata l'attenzione sul corretto utilizzo dei beni
aziendali, con particolare riferimento alle dotazioni ed applicazioni informatiche le quali devono essere utilizzate anche "seguendo
attentamente le politiche di sicurezza e riservatezza aziendali";
VISTE le note datate 22 e 28 settembre 2012 con le quali il ricorrente, nel sottolineare che la perizia cui ha fatto riferimento la controparte
non risulta allegata alla memoria da lui ricevuta tramite raccomandata, ha rilevato che resistente, oltre a non averne fatto menzione nelle
precedenti comunicazioni intercorse (e tanto meno in occasione del riscontro del 6 giugno 2011), persevera nel non comunicare i dati in essa
contenuti dichiarando che tale documento è "a sua disposizione", eventualmente anche nel fascicolo processuale; nella medesima nota il
ricorrente, rilevando di essere stato sottoposto a "controlli prolungati, costanti e indiscriminati", ha lamentato l'illiceità del trattamento dei
propri dati in quanto gli stessi sarebbero stati acquisiti senza effettuare una "graduazione dei controlli" e, in particolare, senza "un controllo
preliminare su dati aggregati", al quale eventualmente avrebbe dovuto fare seguito un "avviso generalizzato relativo ad un rilevato utilizzo
anomalo degli strumenti aziendali (…)";
VISTO il verbale dell'audizione tenutasi il 28 settembre 2012 nel corso della quale la società resistente ha ribadito quanto già affermato nelle
memorie precedenti confermando che non ha trattato, e non sta trattando, dati personali dell'interessato relativi ad eventuali messaggi privati
di posta elettronica sull'account aziendale o dati relativi a navigazioni internet non attinenti all'attività lavorativa; la stessa ha peraltro
precisato che "i dati acquisiti tramite l'attività di verifica descritta nelle note precedenti sono soltanto quelli strettamente pertinenti alle
finalità di controllo, vale a dire alla necessità di accertare l'esistenza della violazione, il contenuto dell'autore della stessa e l'esistenza o
inesistenza di attività infedeli che potessero comportare la violazione del diritto alla riservatezza della società e di tutti gli utenti i cui dati la
società stessa tratta";
VISTA la nota pervenuta via e-mail il 26 novembre 2012 con la quale il ricorrente, nel sottolineare il ritardo con cui la controparte ha fornito
riscontro alle proprie richieste di accesso (affermando di essere venuto in possesso della documentazione prodotta solo in data 5 ottobre
2012), ha ribadito le osservazioni già formulate nelle memorie precedenti in ordine all'illiceità del trattamento effettuato dalla resistente, così
rinnovando le richieste di cancellazione e di blocco dei dati personali acquisiti dalla stessa nel corso delle indagini espletate e contenuti nella
documentazione depositata nel giudizio attualmente pendente dinanzi al giudice del lavoro;
RILEVATO che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare
l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086,
2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell'esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché,
con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche
essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11, comma 1, del Codice; ciò,
tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere
sensibile;
RILEVATO che, sulla base della documentazione in atti, il ricorrente risulta essere stato previamente informato in riferimento al trattamento
di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali controlli sull'utilizzo del personal computer concessogli in uso
per esclusive finalità professionali, con particolare riferimento alle modalità e alle procedure da seguire per gli stessi; considerato infatti che
nel "modello di organizzazione, gestione e controllo ex d.lgs. n. 231/2001" adottato dalla resistente nell'ottobre 2009 e portato a conoscenza
dell'interessato il 24 marzo 2010, nonché nel "regolamento relativo all'accesso e all'uso del sistema informativo aziendale" adottato nel marzo
2008 e oggetto di corsi di formazione rivolti ai dipendenti (ivi compreso l'interessato), la società ha fornito una sufficiente informativa in
ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in
uso ai dipendenti e sull'utilizzo della posta elettronica ed internet; rilevato peraltro che le prescrizioni contenute nell'art. 7 del predetto
"regolamento relativo all'accesso e all'uso del sistema informativo aziendale", laddove si fa riferimento a "controlli e correttezza nel
trattamento" e alla gradualità dei controlli stessi (che devono preliminarmente essere "anonimi" e che solo in presenza di ripetute anomalie
prevedono controlli su base individuale), riguardano il rischio di usi impropri della navigazione in internet (consistenti in attività non
correlate alla prestazione lavorativa quali la visione di siti non pertinenti, l'upload o il download di file, l'uso di servizi di rete con finalità
ludiche od estranee all'attività) e non operazioni che possono essere definite "di attacco" al sistema di sicurezza quali sono state, nel caso di
specie, quelle poste in essere dal pc in uso al ricorrente; trattandosi infatti di operazioni di "evasione della difesa perimetrale del sistema di
sicurezza informatico" finalizzate ad aprire un varco (c.d. tunnel) nel sistema medesimo (con conseguente possibile veicolazione all'esterno
di informazioni o, al contrario, rischio di possibili accessi abusivi alla rete interna), l'attività di accertamento e verifica espletata dalla società
resistente, anche in ragione della delicatezza dell'attività di esazione di imposte svolta dalla stessa, deve ritenersi rispondente ai principi di
pertinenza e non eccedenza, essendo la stessa tenuta a monitorare continuamente l'efficacia e l'efficienza del proprio sistema di protezione
delle informazioni trattate;
RITENUTO quindi che le richieste formulate con il ricorso ai sensi dell'art. 7, commi 3 e 4 del Codice, devono essere dichiarate infondate
dal momento che, allo stato degli atti, non risulta che la società resistente abbia posto in essere un trattamento di dati personali in violazione
di legge;
RITENUTO inoltre che, alla luce della documentazione in atti, deve essere dichiarato non luogo a provvedere sul ricorso, ai sensi dell'art.
149, comma 2, del Codice, in ordine alla richiesta di accesso e alle altre richieste di tipo conoscitivo formulate ai sensi dell'art. 7 del Codice,
avendo la società resistente fornito un sufficiente riscontro in merito nel corso del procedimento;
RILEVATO, comunque, che resta fermo quanto previsto dall'art. 160, comma 6, del Codice con riferimento alle autonome determinazioni da
parte dell'autorità giudiziaria in ordine all'utilizzabilità nel procedimento civile della documentazione eventualmente già acquisita in tale
sede;
RITENUTO congruo compensare integralmente le spese fra le parti in ragione della peculiarità della vicenda esaminata e dell'infondatezza
delle richieste del ricorrente;
VISTA la documentazione in atti;
VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Licia Califano;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara infondate le richieste formulate ai sensi dell'art. 7, commi 3 e 4;
b)
dichiara
non
luogo
a
provvedere
c) dichiara compensate fra le parti le spese del procedimento.
in
ordine
alle
restanti
richieste;
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione
all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento
dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il
ricorrente risiede all'estero.
Roma, 20 dicembre 2012
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia