Il Garante della Privacy, torna sull’annosa questione del trattamento dei dati personali del lavoratore da parte del datore di lavoro e, lo fa, nell’ambito di un procedimento avviato da una lavoratrice sanzionata per indebito utilizzo degli strumenti aziendali volti all’espletamento delle funzioni lavorative.
Secondo la reclamante, l’accesso al computer della sua postazione lavorativa e ai file ivi contenuti non sarebbe avvenuto “accidentalmente” (come dichiarato dalla società in un pregresso scambio epistolare con l’interessata) nell’ambito di “ordinarie operazioni di gestione del server” aziendale, bensì tramite un intervento “diretto” sullo strumento; inoltre, la reclamante ha sostenuto che, in considerazione della natura dichiaratamente “personale” della cartella denominata “XY_personali”, contenuta nel disco locale “C” (originariamente “condiviso” di default), la stessa avrebbe dovuto essere espunta dalle operazioni di backup effettuate periodicamente dalla società.
Il Garante ritiene illecito il trattamento dei dati effettuati dalla società; richiamando precedenti provvedimenti, l’Autorità garante precisa che, seppur il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti (artt. 2086, 2087 e 2104 cod. civ.) (cfr., da ultimo, Provv. 10 giugno 2010, doc. webn. 1736780; Provv. 24 febbraio 2010, doc. web n. 1712856; Provv. 23 dicembre 2010, doc. web n. 1786116), ha comunque chiarito che, nell’esercizio di tale prerogativa, debbono essere salvaguardati la libertà e la dignità dei lavoratori, nonché i principi fissati dall’art. 11 del Codice sul trattamento dei dati personali, che impongono, tra l’altro, di rendere note ai lavoratori le caratteristiche essenziali dei trattamenti, soprattutto se effettuati per finalità di controllo.
Nel caso di specie, si legge nel provvedimento, “la società ha trattato dati personali riferiti alla reclamante acquisendoli in occasione di una verifica effettuata sui propri sistemi informativi; tale attività, però, risulta compiuta senza che fosse stata fornita ai dipendenti –e quindi neanche all’odierna reclamante- un’idonea e preventiva informativa sul punto (art. 13 del Codice).
Difatti, il regolamento aziendale non riporta alcuna indicazione circa la possibilità per la società di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup né, sull’eventualità di trattare tali dati in vista di possibili controlli (anche occasionali), le cui modalità di effettuazione, peraltro, non risultano neanche adombrate.
Ne consegue che il trattamento operato dalla società, alla luce dei principi di correttezza e finalità posti dal Codice (art. 11, comma 1, lett. a) e b)) e richiamati nelle citate Linee guida, non può essere reputato conforme a legge.
Inoltre, il trattamento risulta essere anche eccedente rispetto alla finalità perseguita (art. 11, comma 1, lett. d) del Codice)”.
Per tali motivi, conclude il Garante, si ritiene di dover disporre nei confronti della società, il divieto dell’ulteriore trattamento dei dati personali riferiti all’interessata e ritratti dai file e documenti acquisiti in occasione delle operazioni di backup effettuate sul server aziendale.