IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Documenti analoghi
Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Il trattamento dei dati e le misure minime di sicurezza nelle aziende

L amministratore di sistema. di Michele Iaselli

CARTA INTESTATA PREMESSA

MODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

COMUNE DI RENATE Provincia di Monza e Brianza

GLI APPROFONDIMENTI DELL UFFICIO UNICO PER I CONTROLLI INTERNI Aprile 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PREMESSO:

Nuovo art. 4 St. Lav. e privacy

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

COMUNE DI CAVERNAGO REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

Conclusioni del Garante europeo per la protezione dei dati innanzi al Tribunale dell Unione Europea Caso T-343/13 Lussemburgo, 24 Marzo 2015

IL RETTORE. VISTO lo Statuto di autonomia dell Università del Salento ed in particolare l art. 29;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

COMUNE DI MOGORO Provincia di Oristano

REGOLAMENTO PER LA DISCIPLINA

RISOLUZIONE N. 81/E. Direzione Centrale Normativa Roma, 25 settembre 2015

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

ATTI AMMINISTRATIVI. Prefettura di Firenze - Protezione dei dati personali

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. Approvato con delibera di Consiglio comunale n. 36 del

4. Essere informati sui rischi e le misure necessarie per ridurli o eliminarli;

Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare

REGOLAMENTO PER L'UTILIZZO DEGLI IMPIANTI DI VIDEO SORVEGLIANZA NELLE STRUTTURE DELL A.S.L. DI NUORO PREMESSA

Vigilanza bancaria e finanziaria

Regolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196,

visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,

DELIBERAZIONE 19 febbraio 2004

SCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N

AZIENDA SPECIALE CONSORTILE PER I SERVIZI ALLA PERSONA PROGRAMMA PER LA TRASPARENZA E L INTEGRITA

ALL INPS ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE DIREZIONE CENTRALE DELLE ENTRATE CONTRIBUTIVE Via Ciro il Grande, ROMA

SCHEMA DI DELIBERAZIONE

Università degli Studi di Palermo Servizio di Prevenzione e Protezione di Ateneo

Ministero dell istruzione, dell università e della ricerca Dipartimento per l istruzione Direzione Generale per il personale scolastico - Uff.

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

Ministero dell Interno

RISOLUZIONE N. 337/E

Comune di Bracciano. Regolamento per la pubblicazione di atti e documenti amministrativi sul sito Internet Istituzionale

Regolamento per la formazione professionale continua del Consiglio Nazionale

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

FONDAZIONE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI B A R I

Servizio Premium 899. Carta di Autodisciplina di WIND Telecomunicazioni S.p.A

PRIVACY POLICY DEL SITO WEB

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

D. LGS 81/2008. Rappresentante dei lavoratori per la sicurezza

RISOLUZIONE N.126/E QUESITO

Con la presente vengono fornite indicazioni ai fini dell autorizzazione all esercizio di detta modalità di gioco.

DICHIARA. Nello specifico dei prodotti e dei servizi sopra citati Microcosmos Multimedia S.r.l. CERTIFICA

PRIVACY POLICY SITO INTERNET

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

137/2015 Ottobre/13/2015 (*) Napoli 22 Ottobre 2015

DPCM 31 OTTOBRE 2000 (G. U , SERIE GENERALE, N. 272) REGOLE TECNICHE PER IL PROTOCOLLO INFORMATICO DI CUI AL DECRETO DEL PRESIDENTE DELLA

Disposizioni in materia di trattamento dei dati personali.

Circolare N.98 del 28 Giugno Assolvimento degli obblighi relativi al prospetto paga tramite sito web

GUIDA ALLA PREDISPOSIZIONE E ALLA GESTIONE DELLA NOTA INFORMATIVA SUI RISCHI (NIR) DEL CENTRO DI RACCOLTA

Chi è il Rappresentante dei Lavoratori per la Sicurezza RLS

Regolamento per l installazione e l utilizzo di impianti di videosorveglianza del territorio

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

REGOLAMENTO PER LA VIDEOSORVEGLIANZA

La normativa italiana

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Posta elettronica, Internet e controlli sui dipendenti Relatore Avv. Giampiero Falasca

Regolamento GESTIONE E AGGIORNAMENTO SITO WEB ISTITUZIONALE

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

REV. 2015/00 Pag. 1 di 5

Circolare N.24 del 07 Febbraio Sicurezza sul lavoro. Obblighi e scadenze

RISOLUZIONE N.1/E. Direzione Centrale Normativa e Contenzioso Roma,02 gennaio 2003

Autorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001

un responsabile ti chiamerà al più presto per chiarire ogni dubbio

REGOLAMENTO COMUNE DI ORISTANO. Comuni de Aristanis PER IL FUNZIONAMENTO DEL SERVIZIO ISPETTIVO DEL PERSONALE

Codice Deontologico. Centro di Coordinamento Nazionale Pile e Accumulatori

REGOLAMENTO DEL COMITATO PER IL CONTROLLO INTERNO

L AUTORITÀ PER L ENERGIA ELETTRICA E IL GAS

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

2 aprile 2010 Sicurezza: Rappresentante dei Lavoratori per la Sicurezza

UNIONE BASSA REGGIANA. Programma triennale per la trasparenza e l integrità

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

COMUNE DI PRATO SESIA Provincia di Novara

UNIONCAMERE LAZIO REGOLAMENTO DEL SERVIZIO DI CASSA ECONOMALE

TRATTAMENTO DATI PERSONALI

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

Oggetto: definizione della controversia XXX / ITALIACOM.NET XXX

RISOLUZIONE N. 110/E

RISOLUZIONE N. 98/E. Direzione Centrale Normativa Roma, 25/11/2015

ENBIC Ente Nazionale Bilaterale Confederale ANPIT, CIDEC, CONFAZIENDA, FEDIMPRESE E UNICA CISAL, CISAL TERZIARIO, FEDERAGENTI

Regolamento sulla tenuta dell Albo aziendale telematico

Settore Affari Generali e Istituzionali. Disciplinare per le Pubblicazioni on line

QUESITO SOLUZIONE INTERPRETATIVA PROSPETTATA DAL CONTRIBUENTE

CODICE DI COMPORTAMENTO DEI DIPENDENTI DELLA CAMERA DI COMMERCIO DI MANTOVA RELAZIONE ILLUSTRATIVA

CIRCOLARE N. 29/E. Roma, 23 maggio Direzione Centrale Normativa e Contenzioso

PIEMONTE. D.G.R. n del 1/8/2005

Transcript:

Strumenti informatici aziendali e privacy del dipendente - 2 ottobre 2009 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti; VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali); VISTO il provvedimento del 1 marzo 2007, recante le Linee guida per posta elettronica e internet, pubblicato in G.U. del 10 marzo 2007, n. 58; VISTO il reclamo del 15 gennaio 2008 proposto ai sensi degli artt. 142 e ss. del Codice da XY contro QK s.r.l.; ESAMINATA la documentazione in atti, con particolare riferimento alla nota del Dipartimento risorse tecnologiche del 27 aprile 2009; VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il dott. Giuseppe Fortunato; PREMESSO 1. Accesso a documenti contenuti nel computer aziendale durante un periodo trascorso in cassa integrazione guadagni. 1.1. XY, dipendente di QK s.r.l. (di seguito, la società), rientrata in azienda dopo un periodo trascorso in cassa integrazione guadagni (dal 12 maggio all'8 luglio 2007), ha rilevato che, durante la sua assenza, sarebbero stati effettuati accessi indebiti ad alcuni file (sia lavorativi che personali) contenuti nel computer aziendale in dotazione alla medesima per lo svolgimento delle proprie mansioni. La reclamante, al riguardo, sostiene che: nel computer fornitole dall'azienda, munito di password di accesso (al pari della cartella personale di rete) "perfettamente rispondente ai parametri di sicurezza indicati nel DPS aziendale", "ha memorizzato sia dati di pertinenza strettamente aziendale, sia file esclusivamente personali" (cfr. reclamo del 15 gennaio 2008, in atti, p. 2); nel primo giorno di ripresa dell'attività lavorativa (9 luglio 2007), la stessa "si avvide casualmente che numerosi file di sua pertinenza, e memorizzati all'interno del suo PC erano stati copiati altrove, ad opera della persona designata dall'azienda quale sostituta per il periodo di CIGS" (cfr. reclamo del 15 gennaio 2008, cit., p. 3); "detti file contenevano analisi ed elaborazioni dei dati contenuti nel sistema centrale di calcolo delle retribuzioni" dei dipendenti dell'azienda, redatti e compilati "allo scopo di fornire i report richiesti dall'ufficio Amministrazione e dall'ufficio Controllo di Gestione" (cfr. reclamo del 15 gennaio 2008, cit., p. 3). Gli stessi file, peraltro, non contenevano "informazioni riservate o in qualche modo "protette", dal momento che erano esattamente identici ai file trasmessi agli altri uffici, con in aggiunta solo le formule ideate e costruite" dall'interessata "per estrarre ed elaborare i dati presenti sul sistema gestionale aziendale" (cfr. reclamo del 15 gennaio 2008, cit., p. 3); parimenti, "analoga sorte era toccata alle query [ ], che consentivano un accesso ragionato ed efficiente ai dati contenuti nel database del programma gestionale" (cfr. reclamo del 15 gennaio 2008, cit., pp. 3 e 4); in data 30 ottobre 2007, la reclamante "si accorse che l'intero contenuto della cartella personale di rete "XY" era stato reso completamente visibile" alla persona designata dall'azienda quale sostituta dell'interessata per il periodo di integrazione salariale, ivi compresi i file di carattere personale. Tale "disguido" sarebbe stato ascrivibile al fatto che la "procedura a suo tempo attivata nei suoi confronti comportava" nel rispetto della continuità di servizio che l'ufficio del personale era tenuto ad assicurare, la messa a disposizione del personale operante in sostituzione della reclamante "di qualsiasi documento che era legato al suo profilo personale" (cfr. reclamo del 15 gennaio 2008, cit., p. 4); di tale accessibilità alla propria cartella di rete "non fu data alcuna informativa o informazione alla dipendente XY all'atto della sua sospensione dal lavoro" (cfr. reclamo del 15 gennaio 2008, cit., p. 5). 1.2. L'insieme di file memorizzati all'interno del computer assegnato in dotazione alla reclamante, secondo quanto sostenuto, sarebbe stato quindi oggetto di illecito trattamento da parte della società, tenuto conto, in particolare, che: nessuna informativa sarebbe stata resa all'interessata in merito alle procedure aziendali volte a garantire "l'accesso ai dati dei dipendenti assenti o sospesi dal servizio e delle attività poste in essere per avere accesso ai dati medesimi" (cfr. reclamo del 15 gennaio 2008, cit., p. 6); nessuna informativa sarebbe stata altresì fornita circa la "sorte" dei dati personali dell'interessata non riconducibili all'attività lavorativa dalla medesima espletata (cfr. reclamo del 15 gennaio 2008, cit., p. 6); l'accesso alla cartella personale di rete prefigurerebbe una violazione del principio di pertinenza e di non eccedenza nel trattamento (art. 11, comma 1, lett. d), del Codice), "in quanto avente ad oggetto dati personali contenuti in file

estranei all'attività lavorativa" (cfr. reclamo del 15 gennaio 2008, cit., p. 6). L'eccedenza sarebbe tra l'altro confermata dal fatto che "durante l'intero periodo di sospensione dal lavoro per CIGS la esponente è sempre stata disponibile e reperibile" mediante il palmare aziendale alla stessa lasciato in uso (cfr. reclamo del 15 gennaio 2008, cit., p. 7); più in generale, l'accesso indistinto a file di carattere lavorativo e personale (memorizzati sul computer aziendale sia "in locale" che "in rete"), come pure alla casella di posta elettronica in uso all'interessata, risulterebbe in ogni caso inammissibile, "dovendo comunque essere salvaguardati ed esclusi i file estranei alle mansioni" dalla medesima svolte. 1.3. In relazione a tali circostanze, la reclamante ha chiesto a questa Autorità di: a. disporre nei confronti della società il blocco o il divieto del trattamento di tutti i dati personali contenuti nei file "estranei" alla propria prestazione lavorativa; b. prescrivere nei confronti della medesima società l'adozione di opportune misure volte a evitare il ripetersi di episodi quali quello oggetto del reclamo proposto; c. prescrivere alla società di fornire "completa informativa" circa le operazioni di trattamento effettuate sui file presenti all'interno del computer in uso all'interessata (unitamente a quella relativa alla loro ubicazione e sorte). 2. La difesa della società. 2.1. In replica alle deduzioni della reclamante, la società, con nota di risposta del 16 giugno 2008 (in atti), ha affermato che: il reclamo presentato dall'interessata non "fa riferimento ad alcun file o cartella personale che si assume in concreto violata", mentre il richiamo all'asserita violazione della casella di posta elettronica della reclamante "emerge quasi per così dire negli obiter dicta, nella parte finale del reclamo" (cfr. nota di risposta del 16 giugno 2008, cit. p. 2). "Neppure dall'esame minuzioso" delle risultanze documentali prodotte dall'istante, peraltro, "emerge[rebbe] alcun accesso ad informazioni o dati che anche solo apparentemente possano essere indicati come "personali"" (cfr. nota di risposta del 16 giugno 2008, cit. p. 3); l'unica operazione posta in essere dalla società è stata "quella di estendere (temporaneamente, a causa della assenza della [stessa] reclamante) le autorizzazioni sulla cartella di rete "XY", destinata [ ] alla conservazione di documenti professionali, alla persona che, per ovvie e conseguenti oggettive esigenze aziendali ed in base ad una discrezionale valutazione organizzativa della titolare, doveva coprirne in parte o in toto il ruolo" (cfr. nota di risposta del 16 giugno 2008, cit. p. 3). 2.2. Nel merito delle specifiche contestazioni mosse, la società ha affermato in particolare che: nessun accesso è stato effettuato e/o assicurato a terzi in ordine alle informazioni strettamente personali riferite alla reclamante, tantomeno a quelle memorizzate "in locale" (cfr. nota di risposta del 16 giugno 2008, cit. p. 5); la mancata disattivazione (temporanea) dell'account, sarebbe addebitabile al periodo feriale fruito dalla reclamante nell'intervallo temporale intercorrente tra il 12 maggio e il 4 giugno 2007 (cfr. nota di risposta del 16 giugno 2008, cit. p. 6); nessun file (in formato excel) memorizzato in locale è stato copiato o spostato in aree accessibili a terzi, tenuto conto che le informazioni raccolte (come ammesso dalla stessa reclamante) non sarebbero dati personali alla medesima riferiti, bensì "documenti professionali esattamente identici ai file trasmessi agli altri uffici" (cfr. nota di risposta del 16 giugno 2008, cit. p. 7); il mancato tempestivo ripristino delle procedure di accesso alla cartella personale della reclamante "si è in effetti verificato", ma non già per effetto di "un'inesistente vis persecutoria o per una maliziosa intenzione nei confronti" della stessa reclamante, bensì "per un errore di comunicazione tra ufficio personale e sistemi informativi, errore peraltro immediatamente ammesso dal responsabile dei sistemi informativi" (cfr. nota di risposta del 16 giugno 2008, cit. p. 8); la reclamante era comunque a conoscenza delle procedure relative alla gestione degli strumenti informatici durante i periodi di assenza dei dipendenti, come si evincerebbe dalle dichiarazioni rese dall'interessata nello stesso reclamo (cfr. nota di risposta del 16 giugno 2008, cit. p. 9); nessun accesso, infine, è avvenuto alla casella di posta elettronica della reclamante, vista la corrispondenza e-mail dalla stessa prodotta, dalla quale si può al più supporre che, "per un periodo peraltro brevissimo, si [ ] [siano] verificati malfunzionamenti dell'accesso alla posta via web" (cfr. nota di risposta del 16 giugno 2008, cit. pp. 11 e 12). Alla luce delle argomentazioni addotte, la società ha chiesto il rigetto del reclamo. 3. Ulteriori osservazioni delle parti 3.1. Con l'ulteriore nota del 16 luglio 2008 (in atti), la reclamante ha dedotto che: la società non ha provato, mediante documentazione attestante gli interventi di manutenzione effettuati, i "malfunzionamenti tecnici" cui sarebbe stata soggetta la posta elettronica dell'interessata (cfr. nota del 16 luglio

2008, cit., p. 3). Peraltro, alcuni parametri di "sicurezza" della casella di posta elettronica sarebbero stati modificati lo stesso giorno in cui l'interessata ha comunicato alla società di aver "trovato" la propria cartella personale di rete e la stessa casella di posta elettronica in regime di condivisione con la persona designata dall'azienda quale sostituta della medesima reclamante per il periodo di integrazione salariale (cfr. nota del 16 luglio 2008, cit., p. 3); la cartella personale riferita alla reclamante, al pari di altre, sarebbe stata liberamente accessibile ad altri account (cfr. nota del 16 luglio 2008, cit., p. 8); all'epoca dei fatti, nessun manuale sulla privacy era stato distribuito dalla società ai dipendenti (cfr. nota del 16 luglio 2008, cit., pp. 14-15); conseguentemente, nessuna informativa era stata resa all'interessata in ordine alle procedure concernenti l'attivazione delle operazioni relative alla sospensione dal lavoro (cfr. nota del 16 luglio 2008, cit., p. 15); la società non ha adottato le prescritte misure minime di sicurezza, considerato che la "sostituta" della reclamante avrebbe bypassato la password dell'interessata "registrandosi come nuovo account nel PC, in uso abituale alla reclamante, per accedere indiscriminatamente a tutto il patrimonio informativo ed informatico custodito dalla [stessa] reclamante sul PC datole in dotazione" (cfr. nota del 16 luglio 2008, cit., p. 17). 3.2. Di contro, la società, con nota del 12 settembre 2008 (in atti), ha asserito che: nell'ambito dell'intero procedimento non è "emerso il riferimento ad un solo file personale asseritamente violato" (cfr. nota del 12 settembre 2008, cit., p. 2); i sistemi locali di tutti i personal computer dell'azienda sono stati oggetto, nel tempo, di aggiornamento, ragion per cui nessuna modifica sarebbe stata artificiosamente effettuata in ordine ai profili di sicurezza della casella di posta elettronica in uso alla reclamante (cfr. nota del 12 settembre 2008, cit., p. 2); i "profili" che, secondo la reclamante, avrebbero avuto accesso alla sua posta elettronica non costituiscono, in realtà "prerogative di accesso di terze persone al database di posta XY [ ], bensì solo policy di esecuzione di programmi/oggetti/script creati da questi utenti" (cfr. nota del 12 settembre 2008, cit., p. 3); peraltro, su un computer aziendale "è doveroso, oltre che normale, che siano attivati più profili, e fra questi taluni dotati di privilegi particolari [ ] per poter svolgere funzioni di amministrazione "tecnica"" (cfr. nota del 12 settembre 2008, cit., p. 5); l'account della reclamante non è "stato immediatamente disattivato in quanto, essendo ella in ferie, non si [ ] [sono verificate] le condizioni di legge per la disattivazione" (cfr. nota del 12 settembre 2008, cit., p. 6); l'azienda non ha "mai dato alcuna disposizione di accedere ai dati conservati in "locale"" (cfr. nota del 12 settembre 2008, cit., p. 6); i "manuali privacy" relativi alla policy aziendale in tema di trattamenti di dati personali sono stati distribuiti sin dal 2005 (ancorché non in formato elettronico), ragion per cui non troverebbero fondamento le censure rivolte dalla reclamante. Discorso analogo deve essere effettuato in relazione alla formazione degli incaricati, per la quale "l'azienda ha organizzato negli anni diversi eventi formativi in materia" (cfr. nota del 12 settembre 2008, cit., pp. 7 e 8); le formule professionali della reclamante sono costituite, per ammissione della stessa, "al più di query e di fogli di excel, e dunque di normalissime modalità di utilizzo dei sistemi e dei programmi aziendali finalizzate all'esecuzione della prestazione lavorativa (non certo di opere dell'ingegno né di algoritmi innovativi). Queste modalità sono per natura destinate alla condivisione con i responsabili e con i colleghi" (cfr. nota del 12 settembre 2008, cit., pp. 8 e 9). La società insiste dunque per il rigetto del reclamo. 4. Trattamento di dati personali e accesso al computer in uso alla reclamante. 4.1. Il presente reclamo verte sul presunto trattamento di dati personali contenuti in alcuni file (asseritamente a carattere professionale e personale) memorizzati all'interno del computer aziendale in uso alla reclamante e nella corrispondenza elettronica alla medesima riferita. Merita preliminarmente rilevare che esula dall'oggetto del presente provvedimento la valutazione delle richieste (peraltro di non chiara formulazione) avanzate dalla reclamante in ordine alle "prescrizioni" da impartire alla società al fine di fornire informazioni circa le ritenute "operazioni di trattamento" compiute sui file personali presenti all'interno del computer e della cartella personale in uso alla stessa, unitamente a quelle relative alla loro "ubicazione e/o sorte". Tale profilo, in relazione agli eventuali dati personali contenuti all'interno dei documenti oggetto di accesso, potrebbe essere fatto eventualmente valere innanzi a questa Autorità, previo esercizio dei diritti previsti dall'art. 7 del Codice nei confronti del titolare del trattamento, con il diverso strumento del ricorso, disciplinato dagli artt. 145 e ss. del Codice. Risulta peraltro irrilevante l'ulteriore profilo sollevato dalla reclamante in ordine al mancato rilascio dell'informativa relativa all'accessibilità alla propria cartella di rete per finalità di continuità del servizio aziendale, tenuto conto che dalla documentazione in atti risulta che al personale dipendente viene rilasciata la prescritta informativa di cui all'art. 13 del Codice (la quale, tra l'altro, prevede che i dati riferiti ai lavoratori "possono essere comunicati ad altri dipendenti/collaboratori del Gruppo QK [ ] per sole ragioni di organizzazione e svolgimento del lavoro" (cfr. documento programmatico sulla sicurezza del 31 marzo 2007, all. n. 18 al reclamo, p. 344). Nessuna competenza, inoltre, è attribuita dalla legge al Garante in ordine all'eventuale ricorrenza, nel caso di specie, dei presupposti per l'applicabilità della disciplina a tutela delle opere dell'ingegno (con specifico riferimento alle "formule professionali" ritenute tali dalla reclamante e contestate dalla società). Eventuali controversie, al riguardo, potranno formare oggetto di esame, se del caso, innanzi all'autorità giudiziaria ordinaria.

4.2. Nel merito della vicenda segnalata, occorre evidenziare che dal complesso degli elementi acquisiti agli atti e dalle dichiarazioni rese (della cui veridicità gli autori possono essere chiamati a rispondere in sede penale ai sensi dell'art. 168 del Codice) non risulta allo stato provato che la società abbia reso accessibili a terzi non autorizzati dati personali concretamente riferibili alla reclamante, né per quanto concerne i file memorizzati sul disco fisso, né in relazione ai file presenti nella cartella di rete "XY". Rispetto al primo profilo, premesso che, in termini generali, al fine di ottimizzare l'uso dell'infrastruttura tecnologica all'interno di un'azienda, può risultare giustificato rendere accessibili a utenti diversi le singole postazioni di lavoro (nel rispetto delle istruzioni impartite a ciascun incaricato dal titolare del trattamento), merita rilevare, in ordine alla fattispecie in esame, che alla luce della documentazione prodotta (ad opera sia della reclamante che della società), non risulta allo stato provato che la società abbia concretamente messo a disposizione di terzi (né di soggetti diversi da altri dipendenti che non fossero incaricati del trattamento) dati personali riferibili all'interessata, tenuto conto che le uniche informazioni che risultano esser state rese accessibili sono riconducibili esclusivamente ad un certo numero di file (documenti di testo, tabelle e fogli elettronici), peraltro a quanto consta riferibili all'attività lavorativa svolta dalla reclamante per conto della medesima società. Parimenti, le risultanze documentali non risultano per sé sole idonee a comprovare l'effettiva presenza, nei file e documenti memorizzati all'interno della cartella di rete denominata "XY" assegnata alla reclamante, di dati personali riferiti all'interessata. 4.3. Ancorché, per le ragioni illustrate, non siano risultate provate specifiche violazioni della disciplina in materia di protezione dei dati personali, occorre però evidenziare che la suddivisione "in rete" dell'area (virtuale) di lavoro adottata dalla società mediante "cartelle nominativamente identificate" può in astratto risultare funzionale alla condivisione di informazioni in ambito aziendale o presso un determinato gruppo di lavoro, come pure a delimitare aree di pertinenza esclusiva dell'incaricato che vi accede. Merita in pari tempo rilevare che, alla luce delle dichiarazioni rese dalla stessa società, risulta consentito ai dipendenti, in quanto "conforme alla prassi nonché alla condivisa tolerance policy" adottata al riguardo dall'azienda, un utilizzo per finalità personali degli strumenti informatici messi a disposizione dei lavoratori (cfr. nota 16 giugno 2008, p. 5). La documentazione in atti ha evidenziato che la cartella di rete denominata "XY" risulta collocata unitamente ad altre cartelle individuali e ad accesso condiviso all'interno di altra cartella denominata "Ufficio personale" (nota 16 luglio 2008, all. D) e che la società risulta aver predisposto i necessari controlli di accesso e di autenticazione, differenziando sul server di rete le cartelle ad accesso "libero" da quelle ad accesso "riservato" (cfr. all. n. 18 al reclamo, pagg. 63 e 89). Peraltro tutte le cartelle risultano essere configurate per assicurare "la disponibilità dei dati in caso di emergenza" (cfr. dps predisposto dalla società, all. 18 al reclamo, pp. 89-90). A tale proposito deve rilevarsi che, dall'insieme degli elementi raccolti, non risultano chiare le condizioni di accesso da parte della società (o di suoi incaricati) alle cartelle assegnate ai dipendenti (e per le quali risulti ammesso un uso personale, tale da consentire, almeno in astratto, che nelle medesime siano anche custoditi dati personali degli interessati). Da un lato, in ragione della locuzione utilizzata, che non consente di comprendere univocamente quali siano le condizioni di "emergenza" che giustificherebbero l'accesso da parte di altri incaricati; dall'altro, la circostanza che tali condizioni (seppur confusamente) sono contenute nel dps (documento che, in ragione della sua destinazione, non forma oggetto di consultazione da parte del personale). Il Garante ritiene pertanto di dover prescrivere alla società, considerato il principio di correttezza (art. 11, comma 1, lett. a) del Codice) e quale misura ai sensi dell'art. 154, comma 1, lett. c), del Codice, l'obbligo di fornire una chiara informativa ai dipendenti (nel caso in cui agli stessi sia consentito o sia comunque tollerato un uso "personale", ancorché limitato, delle risorse informatiche aziendali) circa le condizioni, le finalità e le modalità con le quali vengono rese accessibili le cartelle "personali" di rete, definendo altresì puntualmente le situazioni di "emergenza" che ne giustificherebbero un'eventuale visibilità a terzi regolarmente autorizzati. Indicazioni che, opportunamente, potrebbero essere formulate mediante un apposito disciplinare interno (eventualmente associandole alle indicazioni più in generale fornite per l'uso di tutti i sistemi informativi rientranti nella dotazione degli incaricati, conformemente a quanto già suggerito, con particolare riferimento all'utilizzo di internet e della posta elettronica, da questa Autorità con le Linee guida per posta elettronica e internet del 10 marzo 2007), fugando così nei destinatari equivoci e chiarendo l'estensione di eventuali legittime aspettative. Si ritiene, inoltre, di dover prescrivere alla medesima società, ai sensi dei menzionati artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, di integrare le istruzioni contenute nel citato dps, specificando in forma chiara e puntuale le condizioni, le finalità e le modalità di utilizzo di aree virtuali eventualmente destinate ad un uso "personale" da parte dei dipendenti. TUTTO CIÒ PREMESSO, IL GARANTE ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a QK s.r.l., di: a. fornire una chiara informativa ai dipendenti, anche mediante disciplinare interno autonomo e distinto dal dps, circa le condizioni, le finalità e le modalità con le quali vengono rese accessibili le cartelle "personali" di rete, definendo altresì le situazioni di "emergenza" che ne giustificherebbero un'eventuale visibilità a terzi regolarmente autorizzati (punto 4.3); b. integrare le istruzioni contenute nel citato dps, specificando in forma chiara e puntuale le condizioni, le finalità e le modalità di utilizzo di aree virtuali eventualmente destinate ad un uso "personale" da parte dei dipendenti, rendendo questi ultimi edotti di tale facoltà (punto 4.3). Roma, 2 ottobre 2009

IL PRESIDENTE Pizzetti IL RELATORE Fortunato IL SEGRETARIO GENERALE Patroni Griffi

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back