Il Titolo II è interamente dedicato ai “Diritti dell’interessato“, dal chiarimento delle categorie di diritti ad esso riconducibili (che sono il diritto di accesso , di intervento sui dati trattati, di opposizione) alle modalità di esercitarli (art.8).
L’art.7 rubricato “Diritto di accesso ai dati personali ed altri diritti” afferma, nei suoi punti salienti, che l’interessato ha diritto di ottenere:

• la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;  l’indicazione: dell’origine, delle finalità e modalità di trattamento, soprattutto in caso di trattamento effettuato con l’ausilio di strumenti elettronici, dei dati personali; gli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2(…).

• l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;

• la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e’ necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

• l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

Infine l’interessato ha soprattutto il diritto di opposizione(che prescinde dalla legittimità del trattamento e ha carattere inibitorio) per motivi legittimi di trattamento dei suoi dati personali e al loro trattamento, ancorchè pertinenti allo scopo della raccolta, e al trattamento dei suoi dati personali per fini di materiale pubblicitario, di vendita diretta o per il compimento di riceche di mercato o di comunicazione commerciale.

Eleonora Cordoni

Pubblicità

Il Garante privacy ha ancora una volta sottolineato che  spetta al Giudice adito , la valutazione della liceità della pubblicazione dei dati personali  giudiziari riguardanti il segnalalnte, nel giudizio in corso tra le parti  avanti al Tribunale civile.
Nella fattispecie concreta , il segnalante ha indicato al Garante l’ambito di avvenuta produzione dei dati giudiziari che lo riguardavano, ” descrivendo dettagliatamente, nella memoria di costituzione e difesa con domanda riconvenzionale, allegata alla segnalazione, una vicenda giudiziaria penale che lo ha coinvolto quale dipendente del Comune, e depositando agli atti di causa copia integrale della sentenza penale di condanna emessa nei suoi confronti”.
L’ambito per l’appunto era una causa di lavoro dallo stesso segnalante promossa .

Francesca  R  Giurgola.

Nello specifico il ricorrente, dopo aver ricevuto una contestazione disciplinare cui poi è seguito un licenziamento senza prevviso per via di una verifica effettuata sul disco fisso del pc datogli in dotazione dall’azienda, verifica che ha messo in luce la presenza di numerosi files conteneti ” materiale pornografico”,ha ribadito di volersi opporre all’ulteriore trattamento dei dati personali, anche sensibili che lo riguardano , chiedendone la cancellazione .
Secondo il ricorrente infatti i dati sarebbero stati illecitamente acquisiti dal datore attraverso l’accesso al pc datogli in uso, in suo assenza ed in presenza di un terzo esterno all’azienda ; ciò in violazione di principi di  pertinenza e non eccedenza , sottoponendo a  verifica il pc aziendale portando via l’hard disk  al fine di effettuare “un esame tecnico specialistico approfondito dell’apparecchiatura che consenta di individuare tutto il reale contenuto non ancora verificato” ; e rilevato che , ad avviso del ricorrente, il trattametno dei dati sarebbe avvenuto in violazione  dei principi di correttezza,e anche in violazione delle stesse linee guida ai controlli difensivi aziendali, contenute poi nella “normativa per l’utilizzo dei servizi informatici aziendali” , inviata tral’altro soltanto 24 ore solari prima del controllo individuale, in data 13.01.2010 ( nella stessa vengono esplicitati, inoltre , solamente controlli relativi ad accessi, indirizzi/siti internet visitati,email in entarta ed uscita non includendo per tanto i controlli anche sui files giacenti nel disco… ).
Il Garante ha rilevato che  “il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro, ma che lo stesso, anche nell’esercizio di tale prerogativa, deve rispettare la libertà e la dignità dei lavoratori nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò tenuto anche conto che tali controlli, indipendentemente dalla loro liceità, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonee a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale (cfr. § 5.2 e 6.1 del provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” pubblicate in G. U. n. 58 del 10 marzo 2007, di seguito “Linee guida per posta elettronica e Internet”)”

Nel caso di specie, secondo il Garante considerato che, “dalla documentazione acquisita al procedimento di verifica, risulta che la società resistente ha esperito l’anzidetto controllo informatico in assenza di una previa idonea informativa all’interessato relativa al trattamento dei dati personali (art. 13 del Codice) e, più specificamente, al trattamento di dati che il datore di lavoro potrebbe effettuare in attuazione di eventuali controlli sugli strumenti informatici affidati ai lavoratori per esclusive finalità professionali, ovvero alle modalità da seguire per gli stessi (ad es., circa la presenza dell’interessato, di rappresentanti sindacali, di personale all’uopo incaricato); rilevato infatti che, a tal fine, non possono ritenersi sufficienti le indicazioni che la società ha dichiarato di avere impartito ai propri dipendenti, contenute nella “Policy di gruppo relativa alle procedure di sicurezza informatica” e nella “Normativa per l’uso dei servizi informatici in Telepost” (quest’ultima, peraltro, diramata al personale solo il giorno precedente all’ispezione)”.
Pertanto “fermo restando il diritto della società di verificare la violazione da parte del ricorrente degli obblighi a cui lo stesso era soggetto in qualità di prestatore di lavoro (e ciò avendo conservato su uno strumento messo a sua disposizione per l’attività lavorativa file ad essa non attinenti), la società resistente ha effettuato un trattamento di dati eccedente rispetto alle finalità perseguite. Nel caso di specie, stante il divieto, contenuto nella citata “normativa per l’uso dei servizi informatici in Telepost” di “visitare siti e /o memorizzare file che abbiano un contenuto contrario a norme di legge, all’ordine pubblico o al buon costume”, la resistente avrebbe potuto accertare la non conformità del comportamento del ricorrente agli obblighi contrattuali in tema di uso corretto degli strumenti affidati sul luogo di lavoro, limitandosi a constatare l’esistenza, nel computer, di una cartella – “travaso_XY – che già nella denominazione rimandava ad un contenuto di carattere personale, senza la necessità di prendere conoscenza degli specifici “contenuti” della cartella medesima, rispetto ai quali è scaturito un trattamento di informazioni personali eccedenti e non pertinenti (art. 11 del Codice)”.

Il Garante ha pertanto disposto “il divieto per la società resistente di trattare ulteriormente le informazioni relative agli specifici file conservati nella cartella “travaso_XY” contenuti nell’hard disk del pc in uso al ricorrente e raccolte nei modi contestati con il ricorso”.

Francesca R Giurgola

La Cassazione dichiara perciò legittimi in sede civile i “controlli difensivi “; tuttavia perchè si ritenga operabile il divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività svolta dai lavoratori (art. 4  Legge 300/1970), è necessario che il controllo riguardi il lavoro svolto , mentre devono ritenersi estranei all’ambito di applicazione della norma sopra citata, i controlli utili ai fini di accertamento di attività illecite del suborinato.
Dunque : la finalità di controllo a difesa del patrimonio aziendale non è da ritenersi sacrificata dalle norme dello Statuto dei lavoratori”.
Cass. sez. L n. 4746/02, Securpol srl / Pizzutelli M., CED rv. 553469, e v. n. 15892/07, Piluso / Eni spa, che appunto esclude il controllo che abbia per fine proprio le concrete modalità lavorative).

(Corte di Cassazione – Sezione Quinta Penale, Sentenza 1° giugno 2010, n.20722: Videoripresa lavoratore – Utilizzabilità – Limiti)

Francesca R Giurgola

Il Garante ha in prima battuta rilevato che :
(cito testualmente)

- “dal complesso degli elementi acquisiti agli atti e dalle dichiarazioni rese (della cui veridicità gli autori possono essere chiamati a rispondere in sede penale ai sensi dell’art. 168 del Codice) non risulta allo stato provato che la società abbia reso accessibili a terzi non autorizzati dati personali concretamente riferibili alla reclamante, né per quanto concerne i file memorizzati sul disco fisso, né in relazione ai file presenti nella cartella di rete “XY”";

- “al fine di ottimizzare l’uso dell’infrastruttura tecnologica all’interno di un’azienda, può risultare giustificato rendere accessibili a utenti diversi le singole postazioni di lavoro (nel rispetto delle istruzioni impartite a ciascun incaricato dal titolare del trattamento)”.

Tuttavia il Garante ha indicato alla società la necessità, nonchè l’utilità di  “informare dipendenti (laddove agli stessi sia consentito o  comunque tollerato un uso “personale”, e  anche limitato, delle risorse informatiche aziendali) circa le condizioni, le finalità e le modalità con le quali si accede alle cartelle “personali” di rete, illustrando in maniera precisa anche le situazioni di “emergenza” che giustificherebbero un’eventuale visibilità a terzi regolarmente autorizzati. Indicazioni queste, che,  potrebbero essere inserite in un pacchetto di regolamenti interni (associandole alle indicazioni generali fornite per l’uso di tutti i sistemi informativi in dotazione agli incaricati, conformemente a quanto già suggerito, con particolare riferimento all’utilizzo di internet e della posta elettronica, da questa Autorità con le “Linee guida per posta elettronica e internet” del  marzo 2007), cosi da non creare dubbi o equivoci nei destinatari e chiarendo l’estensione di eventuali legittime aspettative”.

In particolare, il Garante ha  sostenuto che “dall’insieme degli elementi raccolti, non risultano chiare le condizioni di accesso da parte della società (o di suoi incaricati) alle cartelle assegnate ai dipendenti (e per le quali risulti ammesso un uso personale, tale da consentire, almeno in astratto, che nelle medesime siano anche custoditi dati personali degli interessati). Da un lato, in ragione della locuzione utilizzata, che non consente di comprendere univocamente quali siano le condizioni di “emergenza” che giustificherebbero l’accesso da parte di altri incaricati; dall’altro, la circostanza che tali condizioni (seppur confusamente) sono contenute nel dps (documento che, in ragione della sua destinazione, non forma oggetto di consultazione da parte del personale)”.

(Garante per la protezione dei dati personali, Prescrizioni 2 ottobre 2009: strumenti informatici aziendali e privacy del dipendente).

Nel provvedimento di divieto l’Autorità spiega che anche il numero casualmente composto e chiamato telefonicamente deve considerarsi “dato personale”, poichè ricollegabile, anche indirettamente, a una persona identificata o identificabile.Dalle norme sulla privacy,si evince che , per poter utilizzare anche questo tipo di numerazione a fini commerciali è necessario il previo consenso dell’interessato; Tanto più quando si ” il chiamante” intenda utilizzare modalità di contatto con chiamate preregistrate per le quali il consenso è obbligatorio, come già precisato precedentemente dal Garante.

Il garante interviene in tal proposito contro una azienda vinicola, a seguito di lamentele fatte da numerosi cittadini in relazione alla ricezione di telefonate indesiderate, in alcuni casi preregistrate.
Nella fattispecie , l’azienda non utilizzava nè in modo diretto e tanto meno attraverso propri call center, numeri scelti da elenchi telefonici, ma a fondamento delle sue comunicazioni commerciali si serviva di un sistema che generava i numeri da contattare attraverso sequenze casuali.Sequenze queste , che  erano elaborate con criteri geografici e i cui numeri non erano abbinati a dati anagrafici.

Accertata l’illiceità del trattamento, il Garante ha imposto il divieto all’azienda di usare sistemi che generano sequenze casualicon i numeri di telefono con i quali contattare gli interessati.
La società si vedrà costretta inoltre, a cancellare tutti i dati personali per i quali non risulta documentato il consenso necessario a che si effettui la registrazione della chiamata.

La inosservanza del provvedimento del Garante espone a sanzioni penali (reclusione da tre mesi a due anni) e amministrative (pagamento di una somma da trentamila a centottantamila euro).

                                                                                               Francesca R Giurgola