Il Garante della privacy, ha affermato, che una società non può controllare il contenuto del pc di un dipendente senza averlo prima informato di questa possibilità e senza il pieno rispetto della libertà e della dignità del lavoratore.
E’ questo in sintesi il principio enunciato dal Garante, nel provvedimento del 18 ottobre 2012, pubblicato nella Newsletter n. 369 del 14 febbraio 2013.
Il ricorso era stato presentato da un lavoratore nei confronti della propria azienda poichè, lo stesso, veniva licenziato senza preavviso anche a causa di una verifica effettuata sul pc datogli in dotazione dalla società, dalla quale sarebbe emersa “un’attività in palese concorrenza con l’azienda” medesima.
Con il ricorso, il lavoratore, ribadiva la richiesta, già avanzata ai sensi dell’art. 7 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), volta ad opporsi all’ulteriore trattamento dei dati personali che lo riguardano contenuti nella nota di contestazione disciplinare e a chiederne la cancellazione.
Secondo il ricorrente, i dati contenuti nel suo PC aziendale sarebbero stati illecitamente acquisiti dal datore di lavoro che, in occasione dell’esecuzione delle operazioni di back up del proprio portatile aziendale, avrebbe indebitamente verificato il contenuto di files aventi carattere personale nonché effettuato “accesso a Skype con l’account” del ricorrente medesimo; ciò in violazione dei principi di liceità e correttezza, tenuto anche conto che “l’azienda. non ha prefigurato e pubblicizzato una policy interna sull’utilizzo degli strumenti informatici aziendali” e che il ricorrente “non è mai stato informato sulle modalità con cui il datore di lavoro avrebbe potuto controllare il portatile concessogli in uso”; rilevato che il ricorrente ha chiesto la liquidazione in proprio favore delle spese del procedimento.
Il Garante, ribadisce il principio consolidato in materia secondo il quale, “il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l’effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.) ma, nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile.
Nel caso di specie, la società, nel “regolamento per l’utilizzo delle risorse informatiche e telematiche” e nel “documento recante istruzioni agli incaricati del trattamento” (sottoscritto per accettazione dall’interessato), pur avendo fatto riferimento alla necessità di effettuare – almeno settimanalmente – il salvataggio dei dati su copie di sicurezza con conseguente verifica del buon fine dell’operazione, non ha fornito un’idonea informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in uso ai dipendenti.
Per questi motivi, il Garante ha vietato alla società ogni ulteriore utilizzo dei dati personali così acquisiti.Toccherà invece all’autorità giudiziaria, il compito di valutare l’utilizzabilità nel procedimento civile già in corso della documentazione acquisita agli atti.