Con provvedimento del 17 luglio 2024, il Garante per la protezione dei dati personali ha sanzionato una società per avere effettuato l’accesso alla posta elettronica di un collaboratore conservandone copia dei contenuti attraverso uno specifico software. Tale trattamento di dati personali costituisce sia una violazione della disciplina in materia di protezione di dati sia un’illecita attività di controllo del lavoratore.
Il caso. Un agente di commercio presentava un reclamo al Garante ritenendo che la società, con cui aveva intrattenuto il rapporto di collaborazione, avesse violato la disciplina in materia di protezione dei dati personali. La società avrebbe infatti mantenuto attivo il suo account di posta elettronica aziendale accedendovi successivamente alla cessazione della collaborazione ed effettuando, tramite un software, un back up della posta elettronica. Avrebbe inoltre incaricato uno studio di ingegneria forense per svolgere un’indagine su ciò che emergeva dalla posta elettronica tramite il software. Le informazioni raccolte sarebbero poi state utilizzate dalla società in un contenzioso giudiziario.
Accertata la fondatezza del reclamo, con provvedimento del 17 luglio 2024 n. 472, il Garante irrogava alla società una sanzione pari a 80 mila euro con il divieto all’ulteriore trattamento dei dati attraverso il software.
L’attenzione del Garante si è soffermata, in primo luogo, sull’incompletezza dell’informativa resa dalla società ai lavoratori, la quale non aveva fornito specifici dettagli in merito alla conservazione delle informazioni e alle modalità e finalità dei controlli svolti dalla società stessa (sulle informative privacy, G. Delle Cave, “Te c’hanno mai mannato a” leggere una privacy policy? Il paradosso giuridico della prolissa sinteticità). Essa prevedeva, infatti, la conservazione dei dati personali “unicamente per consentire l’espletamento di tutti gli adempimenti connessi o derivanti dalla conclusione del rapporto di lavoro”, stabilendo un termine di dieci anni. L’interessato veniva documentalmente informato in merito all’elaborazione dei log di accesso alla posta elettronica e al gestionale e della possibilità che la società accedesse alla sua casella di posta elettronica dopo la cessazione del rapporto lavorativo, ma al solo fine di garantire la continuità della prestazione lavorativa. Non veniva invece reso edotto dei back up del contenuto della casella di posta elettronica effettuati durante il rapporto di collaborazione, né sulla conservazione dei relativi contenuti dopo la sua cessazione. Non venivano ugualmente fornite informazioni sulle eventuali indagini che la società si riservava di condurre sulle informazioni memorizzate. Per il Garante, non è sufficiente che l’interessato sia informato sulle caratteristiche essenziali del trattamento ma è indispensabile che le informazioni fornite delineino operazioni di trattamento lecite.
Un secondo profilo problematico riguarda il trattamento sul contenuto della posta elettronica relativa agli account aziendali. La società, infatti, attraverso uno specifico software, effettuava in modo sistematico il backup del contenuto della posta elettronica dei dipendenti e dei collaboratori, conservandolo per tre anni successivi alla conclusione del rapporto lavorativo. Secondo la società, la finalità del trattamento avrebbe dovuto essere quella di garantire la sicurezza dei sistemi informatici, un’argomentazione che il Garante ha ritenuto poco convincente. La società avrebbe infatti esaminato il contenuto della posta elettronica del collaboratore, per poi avviare il contenzioso giudiziario.
Il Garante conclude così che le operazioni di trattamento eseguite attraverso tale software (in particolare, la raccolta, la conservazione e la consultazione) sono in contrasto con i principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (di cui agli art. 5, par. 1, lett. a), c) ed e) del GDPR). Il titolare del trattamento può fare uso lecitamente dei dati personali ma solo se questo è necessario per la gestione del rapporto di lavoro e di collaborazione, o per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili. In ogni caso, possono essere trattati solo i “dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattate” e “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Nel caso in esame, il Garante ha ritenuto che la sistematica conservazione dei log di accesso e delle e-mail, nei tre anni successivi alla cessazione del rapporto, non fosse conforme alla disciplina di protezione dei dati. Essa, infatti, non era proporzionata e necessaria al conseguimento della finalità di sicurezza dei sistemi informatici che la società sosteneva di perseguire né per la tutela della continuità dell’attività aziendale.
Non solo. L’utilizzo del software era idoneo ad attuare un controllo dell’attività lavorativa, in violazione dell’art. 4 della L. 300/1970, richiamato dall’art. 114 del Codice in materia di protezione dei dati personali. Tramite esso, infatti, la società effettuava trattamenti sui contenuti delle caselle di posta che “consent[ivano] di ricostruire minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via e-mail, sia attraverso i log del gestionale utilizzato per svolgere l’attività lavorativa”. Ritiene il Garante che il trattamento dei dati personali possa essere effettuato per tutelare i propri diritti in giudizio, ma con riferimento a contenziosi in atto o a situazioni precontenziose. Non può invece essere svolto con riferimento a indeterminate o astratte ipotesi di tutela di diritti.
Il provvedimento del Garante rappresenta una decisione importante per la tutela dei lavoratori, che offre indicazioni rilevanti sia sul contenuto dell’informativa da fornire agli stessi, sia sui limiti all’utilizzo di software nella gestione dei rapporti di lavoro (con riferimento invece all’intervento del Garante in materia di videosorveglianza intelligente, M. Giusti, Stop del Garante privacy ai progetti di videosorveglianza smart di Lecce e di Arezzo). Si tratta dunque di una decisione di rilievo, che evidenzia la necessità per le aziende di bilanciare adeguatamente le esigenze organizzative con la tutela dei dati dei dipendenti e collaboratori.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
