Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi. Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un'illecita attività di controllo del lavoratore.
Lo ha stabilito il Garante Privacy, con provvedimento n. 472 del 17.07.2024, sanzionando una società per 80mila euro.
Il Garante intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale, configurando così una violazione dei principi di liceità ; minimizzazione del trattamento e limitazione della conservazione [ art. 5, parag. 1, lett. a) ; c) ed e) del GDPR ].
Inoltre, per quanto concerne il rapporto di collaborazione in essere con il reclamante, la società per trattare lecitamente i dati personali avrebbe dovuto attenersi alle disposizioni dell’art. 6, parag. 1, lett. a) e c) GDPR , le quali limitano il trattamento ai soli dati necessari per la gestione del rapporto o per l’adempimento di specifici obblighi o compiti posti dalle discipline di settore applicabili, purché adeguati , pertinenti e limitati a quanto necessario per un arco di tempo non superiore al conseguimento delle finalità del trattamento.
Nel caso di specie, invece, è stato rilevato come la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo, nonché la sistematica conservazione dei log di accesso alla posta elettronica del dipendente e al gestionale utilizzato dai lavoratori, non siano risultati conformi alla disciplina di protezione dei dati, in quanto non proporzionata e necessaria al conseguimento delle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale. Ciò, inoltre, aveva consentito alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori ( art. 4 della Legge 300/1970 richiamato dall’ art. 114 del D.Lgs. n. 196/2003 – Garanzie in materia di controlli a distanza ).
Le informazioni raccolte erano poi state utilizzate dalla società dinnanzi all’autorità giudiziaria nell’ambito di un contenzioso. In merito il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per la finalità legittima di tutela in ambito giudiziario deve riferirsi a contenziosi già in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.
L’Autorità ha appurato inoltre l’inidoneità e la carenza dell’informativa resa ai lavoratori. Il documento prevedeva :
- La conservazione per 10 anni dei dati personali unicamente per consentire l’espletamento di tutti gli adempimenti connessi o derivanti dalla conclusione del rapporto di lavoro ;
- Elaborazione di log degli accessi alla posta elettronica e al gestionale e loro conservazione per almeno 6 mesi ;
- Nessuna informazione veniva fornita sull’effettuazione del backup della casella di posta elettronica e conservazione dei dati poi effettuata per una durata di 3 anni ;
- Nessuna informazione veniva fornita riguardo alle indagini sui contenuti memorizzati sui dispositivi aziendali, né i necessari chiarimenti sulle eventuali ragioni legittime, specifiche e non generiche.
Nel definire il procedimento, il Garante ha quindi affermato che la sistematica conservazione delle email effettuata per un considerevole periodo di tempo, e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, non erano conformi alla disciplina di protezione dei dati. Tale conservazione infatti risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
L’informativa così predisposta è dunque risultata non conforme alla disciplina per la violazione del principio di correttezza codificato all’ art. 5, par. 1, lett. a) e 13 del GDPR.
Fonte : Garante Privacy