Una dipendente di una s.r.l. si è rivolta al Garante privacy assumendo la violazione del trattamento dei propri dati personali, in quanto, rientrata in azienda dopo un periodo trascorso in cassa integrazione guadagni, ha rilevato che, durante la sua assenza, sarebbero stati effettuati accessi indebiti ad alcuni file (sia lavorativi che personali) contenuti nel computer aziendale in dotazione alla medesima per lo svolgimento delle proprie mansioni.
Il Garante ha in prima battuta rilevato che
- "dal complesso degli elementi acquisiti agli atti e dalle dichiarazioni rese (della cui veridicità gli autori possono essere chiamati a rispondere in sede penale ai sensi dell'art. 168 del Codice) non risulta allo stato provato che la società abbia reso accessibili a terzi non autorizzati dati personali concretamente riferibili alla reclamante, né per quanto concerne i file memorizzati sul disco fisso, né in relazione ai file presenti nella cartella di rete "XY"";
- "al fine di ottimizzare l'uso dell'infrastruttura tecnologica all'interno di un'azienda, può risultare giustificato rendere accessibili a utenti diversi le singole postazioni di lavoro (nel rispetto delle istruzioni impartite a ciascun incaricato dal titolare del trattamento)".
Tuttavia il Garante ha prescritto alla società "di fornire una chiara informativa ai dipendenti (nel caso in cui agli stessi sia consentito o sia comunque tollerato un uso "personale", ancorché limitato, delle risorse informatiche aziendali) circa le condizioni, le finalità e le modalità con le quali vengono rese accessibili le cartelle "personali" di rete, definendo altresì puntualmente le situazioni di "emergenza" che ne giustificherebbero un'eventuale visibilità a terzi regolarmente autorizzati. Indicazioni che, opportunamente, potrebbero essere formulate mediante un apposito disciplinare interno (eventualmente associandole alle indicazioni più in generale fornite per l'uso di tutti i sistemi informativi rientranti nella dotazione degli incaricati, conformemente a quanto già suggerito, con particolare riferimento all'utilizzo di internet e della posta elettronica, da questa Autorità con le Linee guida per posta elettronica e internet del 10 marzo 2007), fugando così nei destinatari equivoci e chiarendo l'estensione di eventuali legittime aspettative".
In particolare, il Garante ha infatti sostenuto che "dall'insieme degli elementi raccolti, non risultano chiare le condizioni di accesso da parte della società (o di suoi incaricati) alle cartelle assegnate ai dipendenti (e per le quali risulti ammesso un uso personale, tale da consentire, almeno in astratto, che nelle medesime siano anche custoditi dati personali degli interessati). Da un lato, in ragione della locuzione utilizzata, che non consente di comprendere univocamente quali siano le condizioni di "emergenza" che giustificherebbero l'accesso da parte di altri incaricati; dall'altro, la circostanza che tali condizioni (seppur confusamente) sono contenute nel dps (documento che, in ragione della sua destinazione, non forma oggetto di consultazione da parte del personale)".
(Garante per la protezione dei dati personali, Prescrizioni 2 ottobre 2009: strumenti informatici aziendali e privacy del dipendente).

fonte http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=2235