Con provvedimento n. 139/2011 il Garante Privacy ha stabilito che è “vietato il trattamento di dati personali del dipendente ricavati da file e documenti acquisiti nell’ambito di operazioni di backup effettuate sul server aziendale” in assenza dell’apposita informativa ai dipendenti.
La questione è sorta a seguito del reclamo di una dipendente di una S.p.a. che aveva ricevuto una lettera di contestazione disciplinare in cui le veniva attribuito un indebito utilizzo degli strumenti aziendali, per aver utilizzato il p.c. aziendale durante l’orario di lavoro per svolgere attività di consulenza a vantaggio di terzi.
La società è venuta a conoscenza della contestata attività nell’ambito di un controllo effettuato “in modo assolutamente occulto e con modalità non dichiarate” sul computer in uso all’interessata e sui files contenuti in una cartella qualificata come “XY personale”, contenente anche foto dei figli e dati sensibili quali referti medici. Per tale motivo, l’istante ha chiesto l’inibizione al trattamento dei dati personali.
La società, invece, ha sostenuto la legittimazione del trattamento senza consenso perché diretto a difendere un diritto in sede giudiziaria, evidenziando come il backup dati del pc dell’interessata avvenisse su di un apposito server condiviso da tutti i computer dell’azienda.
Il Garante ha ritenuto l’acquisizione ed il trattamento dati effettuati dalla Società non conformi per violazione dei principi di correttezza e finalità ex art. 11 Codice Privacy, in quanto l’attività di controllo è stata compiuta senza che fosse stata fornita ai dipendenti un’idonea e preventiva informativa sul punto.
Il trattamento è stato inoltre valutato eccedente rispetto alla finalità perseguita, in quanto ai fini dell’accertamento della presunta violazione, “sarebbe stato sufficiente constatare l’esistenza della cartella stessa, la quale, già in ragione della sua denominazione, lasciava intuire la presenza di informazioni di carattere privato”.
Alla Società, oltre all’ordine di conformare il contenuto del disciplinare aziendali sulle modalità di utilizzo degli strumenti elettronici, è stato inibito l’ulteriore trattamento dei dati personali dell’istante, cui dovrà consegnare i files acquisiti nell’ambito delle operazioni di backup effettuate sul server aziendale.