La legittimità del controllo del PC aziendale del dipendente

Il datore di lavoro ha la facoltà di effettuare controlli mirati – come nel caso del  aziendale – per verificare che la prestazione lavorativa venga svolta correttamente e che l’utilizzo degli strumenti di lavoro sia adeguato, il tutto però nel rispetto della libertà e della dignità dei lavoratori. E in merito allo specifico tema della protezione dei dati personali, devono essere adottati i principi di correttezza, pertinenza e non eccedenza (ex art. 11, co. 1. Codice della Privacy), comunicando in anticipo ai propri dipendenti le modalità di trattamento delle loro informazioni personali sensibili a cui l’azienda stessa ha eventualmente accesso. Questo il principio enunciato dal Garante della Privacy in risposta ad un ricorso presentato da un dipendente licenziato per alcuni file trovati dall'azienda sul  datogli in dotazione (doc. web n, 2149222, Newsletter n. 369 del 14 febbraio 2013). Ma inquadriamo meglio la questione.

Come anticipato, il ricorrente è un lavoratore che, ricevuta una contestazione disciplinare, era stato licenziato senza preavviso dalla società datrice di lavoro essendo emersa – a seguito di una verifica sul PC  aziendale – una sua  “attività in palese concorrenza” con la società stessa. Per ragioni infatti di “incompatibilità dei sistemi” (il portatile incriminato era un MAC), ogni settimana il computer veniva lasciato in sede per operazioni di backup dei dati effettuate manualmente, non essendo possibile un salvataggio automatico dei medesimi. In particolare, tali procedure di backup venivano eseguite “a soli fini aziendali, per proteggere i dati aziendali e garantire la continuità dell’operatività dell’impresa”; inoltre, come specificato nel regolamento aziendale affisso, qualsiasi uso del sistema informativo della società diverso da “finalità strettamente professionali” era espressamente vietato. I lavoratore lamentava tuttavia che, in occasione di detto processo di salvataggio, il datore aveva illecitamente verificato il contenuto di alcuni suoi file di carattere personale raggruppati in cartelle nominate “mio” o appunto “personale”, oltre ad aver indebitamente effettuato l’accesso a Skype con il proprio account. Detto comportamento non solo violava i generali principi di correttezza e liceità, ma appariva del tutto illegittimo poiché l’impresa non aveva pubblicizzato una policy interna sull'uso degli strumenti informativi aziendali e non aveva informato il dipendente delle modalità di controllo del portatile. Il ricorrente richiedeva dunque che i file personali fondanti la nota di contestazione disciplinare non venissero ulteriormente trattati, con conseguente loro cancellazione.

Il datore di lavoro, dal canto suo, aveva sottolineato che i backup settimanali non rientravano in procedure specifiche di controllo, ma si erano rese necessarie in quanto – per le citate ragioni di “incompatibilità dei sistemi” – il dipendente “ometteva spesso di salvare i dati contenuti nel PC in sua dotazione nelle cartelle appositamente create nel server aziendale”. Tale impossibilità di un salvataggio automatico era stata preventivamente comunicata al dipendente stesso al momento dell’assunzione, che era quindi a conoscenza del bisogno di backup manuali. Inoltre, l’impresa negava categoricamente il presunto accesso all'account privato Skype del lavoratore, non essendone tra l’altro mai stata a conoscenza.

Dichiarazioni contestate dal ricorrente che sosteneva di non aver mai firmato alcun tipo di documentazione che illustrasse le modalità di backup, così come di non aver mai autorizzato il salvataggio dei propri file personali. Circostanza condivisa anche dal Garante della Privacy che, analizzando la documentazione in atti, denuncia la mancanza di informative preventivamente fornite al dipendente in merito al trattamento dei dati personali eventualmente raccolti tramite i controlli del PC. In particolare, il “regolamento per l’utilizzo delle risorse informatiche e telematiche” affisso dall'azienda e il documento firmato dal ricorrente al momento dell’assunzione facevano sì riferimento alla necessità di salvataggi settimanali dei dati su copie di sicurezza, ma nulla dicevano a proposito appunto del trattamento delle informazioni personali eventualmente emerse dalle verifiche sui portatili. Elementi che determinano una violazione del citato art. 11, comma 1, del Codice della Privacy che impone tali tipologie di informative per la protezione dei dati sensibili dei lavoratori che possono eventualmente emergere da controlli aziendali sull'effettivo e corretto adempimento della prestazione lavorativa. Il ricorso del dipendente in merito all'illecita “manipolazione” dei propri dati appare dunque fondato, con conseguente divieto per l’azienda di trattare ulteriormente detti dati..