Il Garante Privacy, con provvedimento n. 472 del 17 luglio 2024, ha stabilito che il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore, né utilizzare un software per conservare una copia dei messaggi e dei log di accesso alla stessa.
Tale trattamento di dati personali, oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, realizza un‘illecita attività di controllo del lavoratore.
Il Garante, intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale: le informazioni raccolte erano poi state utilizzate dalla società in un contenzioso giudiziario.
Oltre alla sanzione, l’Autorità ha quindi disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.
Sull’accesso alla posta elettronica e sulla conservazione delle e-mail e dei log di accesso
Le operazioni di trattamento realizzate per mezzo del software utilizzato dalla società (quali la raccolta, la conservazione, la consultazione), per il Garante risultano in contrasto con i principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del GDPR).
Infatti, in base alla disciplina posta in materia di protezione dei dati personali, nell’ambito di rapporti di lavoro/collaborazione, il titolare può trattare lecitamente i dati personali, di regola, solo se il trattamento è necessario per la gestione del rapporto stesso, oppure se è necessario per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili (art. 6, par. 1, lett. a) e c) del GDPR, con riferimento ai dati c.d. comuni); inoltre, può trattare solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattate e per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Nel caso di specie, invece, il Garante ha rilevato che la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo, nonché la sistematica conservazione dei log di accesso alla posta elettronica del dipendente e al gestionale utilizzato dai lavoratori, non fossero conformi alla disciplina di protezione dei dati, in quanto non proporzionata e necessaria al conseguimento delle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale.
Inoltre, il Garante ha rilevato che il trattamento effettuato dalla società, in qualità di datore di lavoro, sui dati contenuti nelle caselle di posta elettronica assegnate ai propri dipendenti, è idoneo a consentire un’attività di controllo sull’attività dei lavoratori, in violazione di quanto previsto dall’art. 4 della L. 300/1970, norma richiamata dall’art. 114 del Codice.
In base all’art. 114 del Codice, infatti, il rispetto della disposizione di cui all’art. 4 della citata legge costituisce condizione di liceità dei trattamenti di dati personali effettuati in ambito lavorativo, in quanto è una delle norme del diritto nazionale più specifiche per assicurare la protezione dei diritti e delle libertà, con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, individuate dall’art. 88 del GDPR.
Proprio con riferimento ai profili di violazione dell’art. 114 del Codice, il Garante ha ritenuto che il software utilizzato dalla Società, proprio per le sue caratteristiche, fosse idoneo a realizzare un controllo dell’attività lavorativa: la Società, attraverso il citato software, ha effettuato trattamenti che consentono di ricostruire minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via e-mail, sia attraverso i log del gestionale utilizzato per svolgere l’attività lavorativa.
Peraltro anche se, in ipotesi, tali trattamenti fossero preordinati a realizzare una delle finalità tassativamente indicate dall’art. 4, comma 1, L. 300/1970, non risulta che la Società abbia attivato la procedura di garanzia ivi prevista (accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro).
Da ultimo, il Garante ha osservato che, con riferimento all’accesso sulla posta elettronica del dipendente, delegato allo studio di ingegneria forense ed effettuato secondo la Società per la finalità determinata e legittima di tutela in ambito giudiziario, l’Autorità ha avuto modo di precisare che il trattamento dei dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi già in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.
Alla luce delle considerazioni esposte, il Garante ha dichiarato l’illiceità della condotta posta in essere, che è avvenuta in violazione dei principi di liceità, di minimizzazione e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del GDPR) e della disciplina di settore in materia di controlli a distanza (art. 88 del GDPR e art. 114 del Codice).
Sull’inidoneità dell’informativa resa ai lavoratori
L’Autorità ha poi appurato l’inidoneità e la carenza dell’informativa resa ai lavoratori: il documento, in sintesi, prevedeva la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare l’effettuazione del backup e il relativo tempo di conservazione.
In particolare, l’informativa prevedeva, in via generale, la conservazione dei dati personali unicamente per consentire l’espletamento di tutti gli adempimenti connessi o derivanti dalla conclusione del rapporto di lavoro, indicando come tempo di conservazione il termine di 10 anni, in conformità alle disposizioni di cui agli artt. 19 e 22 del D.P.R. 600/1973.
Analogamente, nella parte del documento denominata “Attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e strumenti di registrazione degli accessi e delle presenze”, l’interessato era informato della elaborazione di log degli accessi alla posta elettronica e al gestionale, che sono conservati “per una durata di almeno 6 mesi”.
Nessuna informazione veniva invece fornita riguardo l’effettuazione di back up del contenuto della casella individuale di posta elettronica, in vigenza di rapporto, e la conservazione del relativo contenuto, successivamente alla cessazione del rapporto con la Società.
La parte del documento contenente le istruzioni sull’utilizzo degli strumenti di lavoro prevedeva, inoltre, la possibilità, per la Società, di accedere alla casella di posta elettronica dei lavoratori, a seguito della cessazione del rapporto lavorativo o anche nell’ipotesi di assenza, unicamente per garantire la continuità della prestazione lavorativa.
L’informativa non forniva nessuna informazione riguardo alle indagini che la stessa si riserva di effettuare sui contenuti memorizzati sui dispositivi aziendali, né i necessari chiarimenti sulle eventuali ragioni legittime, specifiche e non generiche alla base di tali controlli e le relative modalità, che devono essere comunque conformi ai principi di liceità, proporzionalità e gradualità.
Il garante ricorda che il contenuto dell’informativa deve essere conforme alla disciplina di protezione dei dati, in quanto non è sufficiente informare l’interessato delle caratteristiche essenziali del trattamento, ma è anche necessario che le informazioni fornite delineino operazioni di trattamento di per sé lecite: l’informativa predisposta dalla società non è dunque risultata idonea e la condotta posta in essere dalla società è quindi avvenuta in violazione degli artt. 5, par. 1, lett. a) (principio di correttezza) e 13 del GDPR.