>>
>> http://www.altalex.com/index.php?idnot=4036
>> Di Alessandro Tognetti
>>
>>
>> Illecito monitorare il contenuto della navigazione in internet del
>> dipendente
>> Garante Privacy , provvedimento 02.02.2006
>>
>>
>>
>> Il datore di lavoro non può “spiare” la navigazione in Internet del
>> dipendente, ma il controllo può essere limitato ai tempi di
>> collegamento.
>>
>> Il Garante privacy ha vietato a una società l'uso dei dati relativi
>> alla
>> navigazione in Internet di un lavoratore che, pur non essendo
>> autorizzato,
>> si era connesso alla rete da un computer aziendale consultando siti
>> (fornendone l'elenco dettagliato) a contenuto religioso, politico etc.
>>
>> Con il provvedimento del 2 febbraio 2006 l’Autorità ha affermato che
>> per
>> contestare gli addebiti, sarebbe stato sufficiente verificare gli
>> avvenuti
>> accessi a Internet e i tempi di connessione, senza indagare sui
>> contenuti
>> degli stessi.
>>
>> Occorre tener presente che il rilevamento dei siti visitati può
>> rivelare
>> dati delicatissimi della persona: convinzioni religiose, opinioni
>> politiche,
>> appartenenza a partiti, sindacati o associazioni, stato di salute.
>>
>> Tutti i dati sopra citati possono contribuire a comporre il quadro dei
>> “dati” dell’interessato relativi alle attitudini, alle tendenze alle
>> convinzioni, alle indicazioni sulla vita sessuale.
>>
>> Dopo aver richiamato alcuni provvedimenti ( es:autorizzazione n.
>> 1/2004), il
>> Garante ha precisato che il trattamento dei dati dell’interessato per
>> essere
>> lecito nel caso di specie doveva essere:
>>
>> * indispensabile (art. 26, comma 4, lett. c), del Codice;
>> * necessario per far valere o difendere in giudizio un diritto di
>> rango pari a quello dell'interessato ovvero consistente in un diritto
>> della
>> personalità o in un altro diritto o libertà fondamentale e
>> inviolabile.
>>
>> Tali principi non ricorrevano nel caso in esame e pertanto il
>> trattamento
>> effettuato dalla società non era conforme alla normativa sulla
>> privacy .
>>
>> Il Garante ha riscontrato che la società aveva operato un trattamento
>> diffuso di numerose altre informazioni indicative anche degli
>> specifici
>> "contenuti" degli accessi dei singoli siti web visitati nel corso
>> delle
>> varie navigazioni, operando - in modo peraltro non trasparente - un
>> trattamento di dati eccedente rispetto alle finalità perseguite.
>>
>> L'uso indebito del computer da parte della società, doveva essere
>> dunque
>> contestato senza indagare sui siti visitati dal lavoratore.
>>
>> In conclusione del provvedimento l’Autorità ha precisato che la
>> decisione
>> lascia impregiudicati i diritti delle parti in ordine alla liceità o
>> meno
>> dei comportamenti addebitati al ricorrente (lavoratore).
>>
>>
>>
>>
>>
>> Garante per la protezione dei dati personali
>>
>> Provvedimento 2 febbraio 2006
>>
>> Internet: proporzionalità nei controlli effettuati dal datore di
>> lavoro
>>
>> IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
>>
>> NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,
>> presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del
>> dott.
>> Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott.
>> Giovanni Buttarelli, segretario generale;
>>
>> Esaminato il ricorso presentato da XY, rappresentato e difeso dagli
>> avv.ti
>> Alfredo Sigillò Massara e Vincenzo Sigillò presso il cui studio ha
>> eletto
>> domicilio
>>
>> nei confronti di
>>
>> ZK S.p.A. rappresentata e difesa dall'avv. Maurizio Maggio presso il
>> cui
>> studio ha eletto domicilio;
>>
>> Visti gli articoli 7, 8 e 145 ss. del Codice in materia di protezione
>> dei
>> dati personali (d.lg. 30 giugno 2003, n. 196);
>>
>> Viste le osservazioni dell'Ufficio formulate dal segretario generale
>> ai
>> sensi dell'art. 15 del regolamento del Garante n. 1/2000;
>>
>> Relatore il dott. Mauro Paissan;
>>
>> PREMESSO
>>
>> Il ricorrente ha ricevuto dalla casa di cura resistente, presso cui
>> prestava
>> servizio come addetto all'accettazione e al banco referti, una
>> contestazione
>> disciplinare relativa ad accessi ad Internet non autorizzati
>> effettuati sul
>> luogo di lavoro.
>>
>> Il ricorrente ha chiesto il blocco e la cancellazione dei dati
>> personali che
>> lo riguardano relativi a tali accessi, ai sensi dell'art. 7 Codice. La
>> resistente li aveva documentati producendo numerose pagine -allegate
>> alla
>> contestazione disciplinare- recanti, in particolare, informazioni
>> relative
>> ai "file" temporanei e ai "cookie" originati, sul computer utilizzato
>> dal
>> ricorrente, dalla navigazione in rete avvenuta durante sessioni di
>> lavoro
>> avviate con la password del ricorrente medesimo.
>>
>> Non avendo ricevuto riscontro, il ricorrente ha presentato ricorso al
>> Garante ai sensi degli art. 145 e s. del Codice, ritenendo illecito il
>> trattamento.
>>
>> Il ricorrente ha sostenuto che tra i dati in questione comparivano
>> anche
>> alcune informazioni di carattere sensibile idonee a rivelare, in
>> particolare, convinzioni religiose, opinioni sindacali, nonché gusti e
>> tendenze sessuali posto che numerosi file fanno riferimento a siti
>> Internet
>> a contenuto pornografico. La resistente avrebbe trattato tali dati
>> senza
>> alcun consenso e senza informare preventivamente circa la possibilità
>> di
>> effettuare controlli sui terminali d'ufficio né l'interessato, né il
>> "sindacato interno all'azienda (…), in aperto spregio all'articolo 4
>> dello
>> Statuto dei lavoratori che prevede che tale attività può avvenire solo
>> previo consenso del sindacato o dell'ispettorato del lavoro". Il
>> ricorrente
>> ha pertanto ribadito le sue precedenti istanze chiedendo anche di
>> porre a
>> carico del soccombente le spese sostenute per il procedimento.
>>
>> A seguito dell'invito ad aderire formulato da questa Autorità in data
>> 7
>> novembre 2005 ai sensi dell'art. 149, comma 1, del Codice, la
>> resistente ha
>> risposto con memoria del 29 novembre 2005 con la quale, considerando
>> il
>> ricorso inammissibile (dal momento che il ricorrente, contestando
>> "fermamente di avere mai operato le azioni oggetto della contestazione
>> disciplinare", non sarebbe legittimato a proporlo), ha ritenuto
>> lecito il
>> trattamento citando casi analoghi di controllo dei lavoratori ritenuti
>> leciti in giurisprudenza e dichiarando, in particolare, che:
>>
>> * "i fatti su cui si fonda il ricorso (…) traggono origine dal
>> licenziamento per giusta causa intimato" al ricorrente "a seguito
>> dell'accertamento (…) di alcune gravi violazioni poste in essere dal
>> lavoratore e che, per la parte che interessa questo procedimento, ha
>> riguardato l'illecito accesso ad Internet dai computer aziendali in
>> uso allo
>> stesso (…), l'appropriazione indebita del materiale cartaceo
>> utilizzato per
>> stampare i risultati della navigazione, nonché il danneggiamento
>> della rete
>> aziendale a causa dei virus informatici introdottisi, fatti per i
>> quali si è
>> provveduto a proporre relativa querela";
>>
>> * il ricorrente non è stato preventivamente informato di possibili
>> controlli informatici in considerazione del fatto che gli accessi ad
>> Internet, "in virtù delle mansioni affidate al lavoratore, non
>> sarebbero
>> dovuti avvenire";
>>
>> * ZK S.p.A. è comunque "dotata di un manuale della qualità
>> accessibile a tutti i dipendenti della clinica che hanno in uso i
>> terminali
>> aziendali (…), essendo consultabile dal computer cliccando su apposita
>> icona"; il manuale avverte i lavoratori sia della circostanza che
>> "per la
>> salvaguardia dei dati si procederà a backup periodici ed
>> all'installazione e
>> manutenzione di opportuni programmi antivirus", sia del fatto che "gli
>> elaboratori sono da considerarsi beni aziendali affidati al
>> lavoratore per
>> lo svolgimento delle sue mansioni; ogni utilizzo per fini privati deve
>> essere evitato";
>>
>> * la società non era obbligata a raccogliere il consenso che non è
>> richiesto (art. 24 del Codice) quando il trattamento, come nel caso di
>> specie, nasce dalla "legittima esigenza di far valere i propri
>> diritti,
>> anche ai fini della loro tutela in giudizio. E ciò, sia rispetto al
>> rapporto
>> di lavoro con il XY ed alla sua risoluzione, sia rispetto alla tutela
>> di
>> patrimonio ed attività aziendale, nonché alla finalità di
>> quest'ultima,
>> rilevante sotto il profilo sociale, operando la ZK S.p.A. nel campo
>> della
>> sanità accreditata (…) e, quindi, inserita nell'ampio sistema
>> previsto dal
>> nostro ordinamento per garantire il diritto, di rilevanza
>> costituzionale,
>> alla salute del cittadino";
>>
>> * gli artt. 2, 3 e 4 dello Statuto dei lavoratori non farebbero
>> "venire meno il potere dell'imprenditore, ai sensi degli artt. 2086 e
>> 2104
>> c.c., di controllare direttamente o mediante propria organizzazione
>> gerarchica l'adempimento delle prestazioni cui sono tenuti i
>> lavoratori, e
>> così di accertare eventuali mancanze specifiche dei dipendenti
>> medesimi già
>> commesse o in corso di esecuzione"; per poter applicare il divieto di
>> controllo a distanza dei lavoratori di cui all'art. 4 della l. n.
>> 300/1970,
>> "è necessario che il controllo riguardi (direttamente o
>> indirettamente)
>> l'attività lavorativa, mentre devono ritenersi certamente fuori
>> dall'ambito
>> di applicazione della norma i controlli diretti ad accertare condotte
>> illecite del lavoratore (cd. controlli difensivi)" (cfr. Cass. n.
>> 4746/2002), quali quelli messi in atto nel caso di specie;
>>
>> * "l'utilizzo privato dell'elaboratore aziendale costituisce
>> illecito contrattuale a carico del lavoratore"; pertanto, la società
>> poteva
>> porre lecitamente in essere i necessari controlli difensivi volti a
>> far
>> valere i propri diritti.
>>
>> Nell'audizione del 6 dicembre 2005 il ricorrente ha rilevato che dalla
>> motivazione delle sentenze citate dalla controparte risulta che nei
>> predetti
>> casi il controllo dei lavoratori è stato considerato lecito in quanto
>> il
>> trattamento di dati personali sarebbe "stato breve e non eccedente,
>> ovvero
>> effettuato limitatamente ai tempi di connessione e non ai contenuti".
>>
>> Con memoria del 13 gennaio 2006 (successiva alla proroga del termine
>> per la
>> decisione sul ricorso disposta da questa Autorità, ai sensi dell'art.
>> 149,
>> comma 7, del Codice, il 6 dicembre 2005), la resistente ha ribadito di
>> ritenere lecito il trattamento ed ha comunicato che, su richiesta del
>> ricorrente, è stata fissata la data di convocazione delle parti per il
>> tentativo obbligatorio di conciliazione ai sensi degli artt. 410 e ss.
>> c.p.c.; ciò, confermerebbe la volontà del ricorrente "di adire
>> l'autorità
>> giudiziaria al fine di far valere l'illegittimità del licenziamento".
>>
>> Nella memoria pervenuta il 25 gennaio 2006, il ricorrente ha ribadito
>> le
>> proprie richieste ed ha rilevato in particolare che:
>>
>> * l'unica password utilizzata dal ricorrente era la "password
>> utente" che consente di avviare la sessione di lavoro sul computer,
>> mentre
>> nessuna password era prevista per entrare nella rete Internet,
>> liberamente
>> accessibile mediante l'icona relativa al browser Explorer di Windows;
>>
>> * nel "manuale della qualità della ZK (…) non si fa alcun
>> riferimento ai controlli degli accessi ad Internet"; comunque non
>> sono stati
>> trattati file di backup poiché dalla stringa contenuta nelle "pagine
>> sui
>> dati sulle navigazioni riferite" al ricorrente "(c:\copia\documents
>> and
>> settings\x-y\impostazioni locali\temporary internet files\) emerge
>> che c'è
>> stata un'operazione manuale di copia della "directory temporary
>> internet
>> files" contenuta nella cartella "x-y""; analoga operazione sarebbe
>> stata
>> effettuata sulla "cronologia delle navigazioni, non riferibile ad un
>> backup
>> automatico";
>>
>> * tra i dati trattati compaiono anche alcune informazioni idonee a
>> rivelare la vita sessuale il cui trattamento, se effettuato senza il
>> consenso scritto dell'interessato, è consentito (art. 26, comma 4,
>> lett. c)
>> del Codice) solo per far valere in giudizio un diritto "di rango pari
>> a
>> quello dell'interessato"; i diritti fatti valere dalla resistente
>> (risoluzione del rapporto di lavoro, tutela del patrimonio aziendale,
>> asserita finalità sociale perseguita dall'azienda per tutelare la
>> salute del
>> cittadino), non consisterebbero "in diritti di pari grado a quelli
>> che il
>> sig. XY (…) si appresta a proteggere";
>>
>> * il trattamento effettuato dal datore di lavoro sarebbe pertanto
>> eccedente, dal momento che lo stesso è "durato ad libitum, ovvero
>> almeno dai
>> primi giorni del mese di gennaio 2005".
>>
>> Con memoria pervenuta il 27 gennaio 2006, la società resistente ha
>> ribadito
>> la liceità del trattamento effettuato.
>>
>> CIÒ PREMESSO, IL GARANTE OSSERVA
>>
>> Il ricorso verte sulla liceità e correttezza del trattamento di dati
>> relativi alle navigazioni in Internet contestate ad un dipendente dal
>> datore
>> di lavoro.
>>
>> Il ricorso è fondato.
>>
>> Va in primo luogo rigettata l'eccezione di inammissibilità del
>> ricorso.
>>
>> La resistente ha contestato l'indebito utilizzo di strumenti
>> aziendali per
>> fini privati, imputando al ricorrente le "navigazioni" effettuate sul
>> web
>> durante sessioni di lavoro avviate con l'uso della sua password.
>> Considerato
>> il collegamento diretto ed univoco che la società ha rappresentato
>> (ai fini
>> della contestazione disciplinare, del licenziamento per giusta causa
>> e della
>> querela sporta) tra la persona del ricorrente e i dati desunti sia
>> dai file
>> temporanei, sia dai cookie prodotti in giudizio, il ricorrente stesso
>> assume
>> la qualità di "interessato" (art. 4, comma 1, lett. a), del Codice,
>> secondo
>> cui è tale "la persona fisica (…) cui si riferiscono i dati
>> personali") ed
>> è, pertanto, legittimato ad esercitare i diritti di cui all'art. 7 del
>> Codice e a presentare ricorso al Garante.
>>
>> Per ciò che concerne il merito va rilevato che la società, per
>> dimostrare un
>> comportamento illecito nel quadro del rapporto di lavoro, ha esperito
>> dettagliati accertamenti in assenza di una previa informativa
>> all'interessato relativa al trattamento dei dati personali, nonché in
>> difformità dall'art. 11 del Codice nella parte in cui prevede che i
>> dati
>> siano trattati in modo lecito e secondo correttezza, nel rispetto dei
>> principi di pertinenza e non eccedenza rispetto alle finalità
>> perseguite.
>>
>> Dalla documentazione in atti si evince che la raccolta da parte del
>> datore
>> di lavoro dei dati relativi alle navigazioni in Internet è avvenuta
>> mediante
>> accesso al terminale in uso all'interessato (con copia della cartella
>> relativa a tutte le operazioni poste in essere su tale computer
>> durante le
>> sessioni di lavoro avviate con la sua password, come si desume dalla
>> stringa
>> riportata in apice all'elenco dei file prodotti dalla resistente
>> "c:\copia\Documents and settings\x-y\"), anziché mediante accesso a
>> file di
>> backup della cui esistenza il personale della società è informato
>> mediante
>> il "manuale della qualità " accessibile agli stessi sul proprio
>> terminale.
>>
>> A parte la circostanza che l'interessato non era stato, quindi,
>> informato
>> previamente dell'eventualità di tali controlli e del tipo di
>> trattamento che
>> sarebbe stato effettuato, va rilevato sotto altro profilo che non
>> risulta
>> che il ricorrente avesse necessità di accedere ad Internet per
>> svolgere le
>> proprie prestazioni. La resistente avrebbe potuto quindi dimostrare
>> l'illiceità del suo comportamento in rapporto al corretto uso degli
>> strumenti affidati sul luogo di lavoro limitandosi a provare in altro
>> modo
>> l'esistenza di accessi indebiti alla rete e i relativi tempi di
>> collegamento. La società ha invece operato un trattamento diffuso di
>> numerose altre informazioni indicative anche degli specifici
>> "contenuti"
>> degli accessi dei singoli siti web visitati nel corso delle varie
>> navigazioni, operando -in modo peraltro non trasparente- un
>> trattamento di
>> dati eccedente rispetto alle finalità perseguite.
>>
>> La raccolta di tali informazioni ha comportato, altresì, il
>> trattamento di
>> alcuni dati sensibili idonei a rivelare convinzioni religiose,
>> opinioni
>> sindacali, nonché gusti attinenti alla vita sessuale (ciò, stante
>> l'elevato
>> numero di informazioni valutate in rapporto ad un lungo arco di
>> tempo, gli
>> specifici contenuti risultanti da alcuni indirizzi web e il contesto
>> unitario in cui il complesso di tali dati è stato valutato), rispetto
>> ai
>> quali la disciplina in materia di dati personali pone peculiari
>> garanzie che
>> non sono state integralmente rispettate nel caso di specie (art. 26
>> del
>> Codice; aut. gen. del Garante n. 1/2004).
>>
>> Va infatti tenuto conto che, sebbene i dati personali siano stati
>> raccolti
>> nell'ambito di controlli informatici volti a verificare l'esistenza
>> di un
>> comportamento illecito (che hanno condotto a sporgere una querela, ad
>> una
>> contestazione disciplinare e al licenziamento), le informazioni di
>> natura
>> sensibile possono essere trattate dal datore di lavoro senza il
>> consenso
>> quando il trattamento necessario per far valere o difendere un
>> diritto in
>> sede giudiziaria sia "indispensabile" (art. 26, comma 4, lett. c), del
>> Codice; autorizzazione n. 1/2004 del Garante). Tale indispensabilità,
>> anche
>> alla luce di quanto precedentemente osservato, non ricorre nel caso di
>> specie.
>>
>> Inoltre, riguardando anche dati "idonei a rivelare lo stato di salute
>> e la
>> vita sessuale", il trattamento era lecito solo per far valere o
>> difendere in
>> giudizio un diritto di rango pari a quello dell'interessato ovvero
>> consistente in un diritto della personalità o in un altro diritto o
>> libertà
>> fondamentale e inviolabile. Anche tale circostanza non ricorre nel
>> caso di
>> specie, nel quale sono stati fatti valere solo diritti legati allo
>> svolgimento del rapporto di lavoro (cfr. art. 26, comma 4, lett. c),
>> del
>> Codice; punto 3, lett. d), della citata autorizzazione; cfr. Provv.
>> Garante
>> 9 luglio 2003).
>>
>> Alla luce delle considerazioni sopra esposte e considerato l'art. 11,
>> comma
>> 2, del Codice secondo cui i dati trattati in violazione della
>> disciplina
>> rilevante in materia di trattamento dei dati personali non possono
>> essere
>> utilizzati, l'Autorità dispone quindi, ai sensi dell'art. 150, comma
>> 2, del
>> Codice, quale misura a tutela dei diritti dell'interessato, il
>> divieto per
>> la società resistente di trattare ulteriormente i dati personali
>> raccolti
>> nei modi contestati con il ricorso.
>>
>> La presente decisione lascia impregiudicati i diritti delle parti in
>> ordine
>> alla liceità o meno dei comportamenti addebitati al ricorrente.
>>
>> Sulla base della determinazione generale del 19 ottobre 2005 relativa
>> alla
>> misura forfettaria dell'ammontare delle spese e dei diritti da
>> liquidare per
>> i ricorsi, l'ammontare delle spese e dei diritti inerenti all'odierno
>> ricorso e posto a carico della resistente è determinato nella misura
>> forfettaria di euro 500, di cui euro 150 per diritti di segreteria,
>> considerati gli adempimenti connessi, in particolare, alla
>> presentazione del
>> ricorso.
>>
>> PER QUESTI MOTIVI IL GARANTE
>>
>> a) dichiara fondato il ricorso e, per l'effetto, vieta alla società
>> resistente il trattamento dei dati personali dell'interessato oggetto
>> del
>> ricorso;
>>
>> b) determina nella misura forfettaria di euro 500 l'ammontare delle
>> spese e dei diritti del procedimento posti a carico di ZK S.p.A., che
>> dovrà
>> liquidarli direttamente a favore del ricorrente.
>>
>> Roma, 2 febbraio 2006
>>
>> IL PRESIDENTE
>> Pizzetti
>>
>> IL RELATORE
>> Paissan
>>
>> IL SEGRETARIO GENERALE
>> Buttarelli
>>
>> __________________
>> Avv. Barbara Gualtieri
>>
>>
>>
>>
>
