Categorie approfondimento: Commerciale e industriale
19 Marzo 2013

Verifiche e ispezioni sui computer aziendali da parte del datore di lavoro

Di cosa si tratta

Un recente provvedimento del Garante per la protezione dei dati personali, il n. 307 del 18 ottobre 2012, ci permette ritornare ad approfondire un tema che dovrebbe essere oggetto di una più attenta considerazione da parte dei datori di lavoro: le modalità di controllo dei contenuti del personal computer aziendale affidato a un dipendente.
Avevamo già trattato il tema nell’articolo “Novità sulla policy aziendale per l’uso di strumenti informatici da parte dei dipendenti” tuttavia riteniamo necessario un aggiornamento sugli orientamenti del Garante.
Il Provvedimento in esame trae origine dal ricorso presentato da un lavoratore che lamentava di aver ricevuto una contestazione disciplinare cui aveva fatto seguito il licenziamento senza preavviso anche a causa di una verifica effettuata sul pc datogli in dotazione dalla società, dalla quale sarebbe emersa “un’attività in palese concorrenza con l’azienda”. Ad avviso del ricorrente tale verifica avrebbe comportato il trattamento di dati personali illecitamente acquisiti dal datore di lavoro che, in occasione dell’esecuzione delle operazioni di back up del proprio portatile aziendale, avrebbe indebitamente verificato il contenuto di files aventi carattere personale (inseriti in una cartella chiaramente personale) nonché effettuato l’accesso a Skype con l’account del ricorrente.
Vi è da aggiungere che il datore di lavoro non aveva prefigurato una policy aziendale sufficientemente accurata in ordine all’utilizzo degli strumenti informatici in quanto, pur avendo nella stessa fatto riferimento alla necessità di effettuare – almeno settimanalmente – il salvataggio dei dati su copie di sicurezza con conseguente verifica del buon fine dell’operazione, non aveva fornito un’idonea informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui pc concessi in uso ai dipendenti nonché aveva omesso di indicare quali dati sarebbero stati trattati nel corso delle operazioni di back up (es. anche le cartelle personali) e con quali modalità.
Tale omissione è risultata determinante e ha reso quasi irrilevanti le osservazioni del datore di lavoro che ribadiva che il computer portatile a disposizione dell’interessato “doveva essere utilizzato per svolgere solo ed esclusivamente attività legate alla sua mansione in azienda” e che “l’operazione di backup è stata eseguita esclusivamente per finalità aziendali ed esigenze lavorative”, operazione e finalità di cui il ricorrente era a conoscenza.
Il Garante, infatti, pur rilevando che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l’effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.), ha ritenuto che, nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice in materia di protezione dei dati personali; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile.
Alla luce di queste considerazioni, il Garante ha ritenuto che il trattamento dei dati relativi al ricorrente sia stato effettuato in violazione dei principi di cui all’art. 11 del Codice e, in particolare, del principio di correttezza.
Dal Provvedimento emerge ancora una volta come le realtà imprenditoriali non prestino la necessaria attenzione al corretto compimento degli adempimenti della normativa in materia di privacy; si tratta di adempimenti il cui senso è spesso scarsamente compreso e che pertanto vengono sottovalutati per gli effetti che possono produrre.
Nella fattispecie la società resistente aveva adottato un regolamento relativo alle modalità d’uso degli strumenti informatici aziendali (c.d. policy aziendale) con ciò ritenendo di aver adottato un comportamento pienamente conforme a quanto richiesto dalla normativa; purtroppo, forse per l’assenza di un’adeguata assistenza legale, tale strumento si è rilevato inadeguato in quanto non disciplinante talune tipologie di trattamento dei dati.
Questa omissione ha comportato un duplice effetto: in primo luogo quello di impedire al datore di lavoro di compiere lecitamente l’attività di verifica del corretto adempimento della prestazione lavorativa del dipendente. In secondo luogo, quello di compromettere l’utilizzabilità della documentazione posta a fondamento del licenziamento del lavoratore, aspetto che tuttavia deve essere ancora valutato dalla competente autorità giudiziaria.

(Visited 8 times, 9 visits today)