Il Garante ha in prima battuta rilevato che :
(cito testualmente)

- “dal complesso degli elementi acquisiti agli atti e dalle dichiarazioni rese (della cui veridicità gli autori possono essere chiamati a rispondere in sede penale ai sensi dell’art. 168 del Codice) non risulta allo stato provato che la società abbia reso accessibili a terzi non autorizzati dati personali concretamente riferibili alla reclamante, né per quanto concerne i file memorizzati sul disco fisso, né in relazione ai file presenti nella cartella di rete “XY”";

- “al fine di ottimizzare l’uso dell’infrastruttura tecnologica all’interno di un’azienda, può risultare giustificato rendere accessibili a utenti diversi le singole postazioni di lavoro (nel rispetto delle istruzioni impartite a ciascun incaricato dal titolare del trattamento)”.

Tuttavia il Garante ha indicato alla società la necessità, nonchè l’utilità di  “informare dipendenti (laddove agli stessi sia consentito o  comunque tollerato un uso “personale”, e  anche limitato, delle risorse informatiche aziendali) circa le condizioni, le finalità e le modalità con le quali si accede alle cartelle “personali” di rete, illustrando in maniera precisa anche le situazioni di “emergenza” che giustificherebbero un’eventuale visibilità a terzi regolarmente autorizzati. Indicazioni queste, che,  potrebbero essere inserite in un pacchetto di regolamenti interni (associandole alle indicazioni generali fornite per l’uso di tutti i sistemi informativi in dotazione agli incaricati, conformemente a quanto già suggerito, con particolare riferimento all’utilizzo di internet e della posta elettronica, da questa Autorità con le “Linee guida per posta elettronica e internet” del  marzo 2007), cosi da non creare dubbi o equivoci nei destinatari e chiarendo l’estensione di eventuali legittime aspettative”.

In particolare, il Garante ha  sostenuto che “dall’insieme degli elementi raccolti, non risultano chiare le condizioni di accesso da parte della società (o di suoi incaricati) alle cartelle assegnate ai dipendenti (e per le quali risulti ammesso un uso personale, tale da consentire, almeno in astratto, che nelle medesime siano anche custoditi dati personali degli interessati). Da un lato, in ragione della locuzione utilizzata, che non consente di comprendere univocamente quali siano le condizioni di “emergenza” che giustificherebbero l’accesso da parte di altri incaricati; dall’altro, la circostanza che tali condizioni (seppur confusamente) sono contenute nel dps (documento che, in ragione della sua destinazione, non forma oggetto di consultazione da parte del personale)”.

(Garante per la protezione dei dati personali, Prescrizioni 2 ottobre 2009: strumenti informatici aziendali e privacy del dipendente).