Il Garante per la protezione dei dati personali ha stabilito che è "vietato il trattamento di dati personali del dipendente ricavati da file e documenti acquisiti nell'ambito di operazioni di backup effettuate sul server aziendale" Il provvedimento è stato adottato a seguito di un reclamo di un dipendente di una SPA che aveva ricevuto una lettera di contestazione disciplinare nella quale gli veniva Attribuito tra le altre cose un indebito utilizzo degli strumenti aziendali. Il dipendente avrebbe infatti utilizzato il computer a durante l'orario di lavoro per scopi non riconducibili all'attività istituzionale della società ma per svolgere attività di consulenza a vantaggio di terzi. La società aveva quindi effettuato un controllo in modo occulto e con modalità non dichiarate sul computer in uso al dipendente e sui file contenuti In una cartella chiamata "personale". In quella cartella c'erano anche prenotazioni alberghiere, foto di famiglia e dati sensibili come referti medici. Di qui la richiesta dell'istante di disporre il blocco o il divieto del trattamento dei dati personali. Nel difendersi la società aveva al contrario sostenuto che i dati acquisiti potevano essere illecitamente trattati anche senza il consenso dell'interessata perché diretti a far valere o difendere un diritto in sede giudiziaria. La società faceva anche notare che il computer affidato alla dipendente non aveva un sistema di archiviazione autonoma perché dotato di un sistema operativo scaricato da un apposito server è condiviso tutti i computer dell'azienda. Inoltre tutto il personale era stato informato attraverso un regolamento aziendale dell'assoluto divieto di usare gli strumenti di lavoro per uso personale. Analizzando i profili di illiceità del trattamento il Garante fa notare innanzitutto che, come emerso dalla istruttoria, la società "ha effettivamente trattato dati personali riferiti all'istante desunti da file e documenti concernenti la sua presunta attività di consulenza svolta a vantaggio di terzi" Passando poi ad esaminare le modalità con le quali sono stati concretamente acquisiti i dati personali l'Autorità fa notare che, "sulla base degli elementi prodotti, non risulta con certezza che la società abbia concretamente acquisito file e documenti riferiti all'interessata attraverso un intervento "diretto" sul computer affidatole in dotazione" ma "ciò nonostante, si deve rilevare che il trattamento operato dalla società in relazione ai dati personali dell'interessata non sia comunque lecito.
Per altre informazioni vai al testo integrale del provvedimento

In evidenza oggi: