Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né tantomeno utilizzare un software per conservare una copia dei messaggi.
Un trattamento simile configura non solo una violazione della disciplina in materia di protezione dei dati personali ma altresì un’illecita attività di controllo del lavoratore.
A chiarirlo il Garante della Privacy nel Provvedimento del 17 luglio 2024 con cui, a seguito del reclamo presentato da un agente di commercio, è stata sanzionata per 80 mila euro una società che effettuava backup della posta elettronica, conservando sia i contenuti che i log di accesso alla mail e al gestionale aziendale. Le informazioni raccolte erano poi state utilizzate dalla società interessata in un contenzioso.
Nel definire il procedimento, pubblicato nella Newsletter del 22 ottobre 2024, il Garante della Privacy ha appurato che la conservazione delle mail e dei log di accesso alla posta elettronica e al gestionale aziendale risultava non proporzionata e necessaria al conseguimento della finalità dichiarata dalla società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale. Ciò, inoltre, aveva permesso all’azienda di ricostruire l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.
Cosa ha portato il Garante a prendere questa decisione? Ecco cosa è successo.
Leggi anche: Privacy: le regole europee in vigore dal 25 maggio 2018
Indice
Il reclamo al Garante privacy
Il 28 dicembre 2021 un ex agente di commercio ha presentato reclamo al Garante della Privacy contro una società con la quale aveva intrattenuto un rapporto di collaborazione, sino all’interruzione dello stesso, avvenuta in data 24 febbraio 2021.
L’ex agente ha sostenuto che la società, pur essendo terminata la collaborazione, aveva mantenuto attivo l’account di posta elettronica aziendale di tipo individualizzato, assegnato all’agente di commercio nel corso del rapporto, accedendo così al contenuto di tutta la corrispondenza in transito. Corrispondenza che, è opportuno aggiungere, veniva prodotta nel corso di un giudizio instaurato dinanzi al Tribunale di Venezia.
Il parere del Garante
All’esito dell’istruttoria, avviata a seguito della segnalazione dell’ex agente di commercio, il Garante della Privacy ha sottolineato, si legge nel Provvedimento del 17 luglio 2024, che la società, in qualità di titolare del trattamento, ha effettuato alcune operazioni che non sono conformi alla disciplina in materia di protezione dei dati personali.
In particolare, è emerso che la società:
- ha incaricato uno studio di ingegneria forense di svolgere un’attività di indagine sul contenuto della posta elettronica del reclamante (le mail raccolte sono state utilizzate nell’ambito di un procedimento giudiziario avviato nei confronti del reclamante stesso dinanzi al Tribunale di Venezia);
- tratta i dati relativi agli account di posta elettronica aziendale individualizzati in violazione della disciplina di protezione dei dati stessi.
Libro utile in tema Privacy
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
In primo luogo il Garante della Privacy ha precisato che l’informativa resa dalla società non è conforme alla disciplina di protezione dei dati, in quanto inidonea e incompleta nel rappresentare in maniera compiuta le caratteristiche e le modalità dei trattamenti svolti, con particolare riferimento ai tempi di conservazione dei dati relativi alla posta elettronica, nonché alle modalità e finalità con cui sono stati effettuati i controlli da parte della società stessa in qualità di titolare del trattamento.
Il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.
Il backup della posta elettronica
Un ulteriore profilo di illiceità emerso all’esito dell’attività istruttoria riguarda il trattamento del contenuto della posta elettronica che transita sugli account aziendali.
Il software Mail Store
Grazie al software denominato Mail Store, la società effettua il backup del contenuto delle caselle di posta elettronica in uso a dipendenti e collaboratori, conservandone il contenuto in modo sistematico e automatico per un periodo di tempo pari a tre anni, dopo la cessazione dei rapporti lavorativi.
La società ha dichiarato, nelle memorie difensive, che la finalità di tale trattamento è garantire la sicurezza dei sistemi informatici.
Software utilizzato per finalità diverse dalla sicurezza dei sistemi
Emerge, si legge nel Provvedimento del 17 luglio 2024, che il software Mail Store è stato utilizzato per “finalità diverse da quelle di garantire la sicurezza dei sistemi informatici”. Infatti, nella fattispecie oggetto di reclamo, la società ha analizzato i messaggi di posta elettronica, ne ha verificato il contenuto e, successivamente, avviato il contenzioso.
Le operazioni di trattamento realizzate per mezzo del software (quali la raccolta, la conservazione e la consultazione) risultano “in contrasto con i principi di liceità, minimizzazione dei dati e di limitazione della conservazione” (Provvedimento Garante della Privacy).
Infatti, il titolare può trattare lecitamente i dati personali, di regola, solo se il trattamento è necessario per la gestione del rapporto stesso ovvero se è indispensabile per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili e, comunque, può “trattare solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattate e, altresì, per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (Provvedimento 17 luglio 2024).
Nel caso di specie, conclude il Garante della Privacy, la sistematica conservazione delle mail, effettuata per un considerevole periodo di tempo (tre anni successivi la cessazione del rapporto), nonché la conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, non sono conformi “alla disciplina di protezione dei dati, in quanto non proporzionata e necessaria al conseguimento delle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale”.
Sotto altro profilo il Garante della Privacy precisa che il trattamento che la società effettua in qualità di datore di lavoro sui dati contenuti nelle caselle di posta elettronica assegnate ai propri dipendenti “è idoneo a consentire un’attività di controllo sull’attività dei lavoratori in violazione di quanto previsto dall’art. 4 della legge n. 300 del 20/05/1970” (Provvedimento).
La società, attraverso il citato software Mail Store, ha effettuato trattamenti che consentono di costruire minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via mail, che grazie ai log del gestionale utilizzato per svolgere l’attività lavorativa.
Peraltro, anche se, in tali ipotesi, i trattamenti fossero preordinati a realizzare una delle finalità tassativamente indicate dall’articolo 4, comma 1, Legge numero 300/1970, non risulta “che la Società abbia attivato la procedura di garanzia ivi prevista (accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro)” (Provvedimento).
La sanzione per il datore di lavoro
Per le violazioni sopra indicate il Garante della Privacy ha condannato la società al pagamento della somma di euro 80 mila a titolo di sanzione amministrativa pecuniaria, oltre a disporre il divieto dell’ulteriore trattamento dei dati estratti con il software Mail Store.
Vuoi ricevere aggiornamenti in tema lavoro? Iscriviti gratis alla Newsletter LeggiOggi, compilando il form qui sotto: