Il Garante per la protezione dei dati personali ha recentemente sanzionato una società per l’accesso alla posta elettronica aziendale dei propri dipendenti dopo la fine del rapporto di lavoro in violazione dei principi di liceità, minimizzazione e limitazione della conservazione dei dati, nonché della normativa giuslavoristica in materia di controlli a distanza.
Nel caso di specie, il Garante ha comminato una sanzione di € 80.000, insieme al divieto di continuare a trattare i dati estratti tramite il software di backup delle e-mail per la società ex datrice di lavoro dei dipendenti coinvolti. La vicenda trae, infatti, origine dal reclamo di un ex collaboratore della società sanzionata che ha denunciato al Garante l’accesso alla propria casella di posta elettronica da parte della società al fine di raccogliere delle prove per un contenzioso relativo ad una presunta sottrazione di segreti aziendali.
Ma quali sono le violazioni contestate dal Garante?
Secondo il Garante, la società ha posto in essere un trattamento delle caselle di posta elettronica dei propri (ex) dipendenti in violazione della normativa a protezione dei dati personali per la mancanza di trasparenza dell’informativa privacy rispetto alle verifiche che potevano essere effettuate sulla posta elettronica dei dipendenti e la violazione dei principi di liceità, minimizzazione e limitazione della conservazione, oltre che delle norme sui controlli a distanza.
In particolare, rispetto alla violazione del principio di:
- trasparenza, il Garante ha ritenuto che l’informativa fornita dalla società era inadeguata e non rispettava i requisiti minimi previsti dal Regolamento UE 679/2016 (GDPR). Nello specifico, l’informativa non informava chiaramente i collaboratori rispetto a:
- l’esistenza del backup sistematico delle e-mail aziendali e la loro conservazione per tre anni dalla fine della collaborazione con il collaboratore;
- il motivo per cui i dati venivano conservati per questi tre anni dopo la cessazione del rapporto lavoro, facendo invece riferimento alla generica necessità di “continuità lavorativa”; e
- la possibilità per la società di eseguire delle verifiche sul contenuto delle e-mail e le modalità per effettuarle.
- liceità, minimizzazione e limitazione della conservazione, il Garante ha giudicato il periodo di conservazione di tre anni per le e-mail e di sei mesi per i log di accesso come eccessivo rispetto alle finalità di sicurezza e business continuity dichiarate dalla società. Infatti, secondo l’autorità:
- il software di backup delle e-mail utilizzato dalla società ha consentito un monitoraggio dettagliato delle attività dei dipendenti effettuate sul sistema di posta elettronica, in violazione del divieto di controllo a distanza previsto dall’art. 4 dello Statuto dei Lavoratori, il quale richiede, per controlli così invasivi, l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro competente; e
- l’accesso alle e-mail degli ex collaboratori, seppur motivato dalla necessità di proteggere i diritti della società, doveva essere limitato a concrete situazioni di contenzioso e non a ipotesi astratte o potenziali.
Come poter, quindi, legittimamente utilizzare le e-mail dei dipendenti come elementi probatori di condotte illecite perpetrate dagli ex dipendenti stessi a danno della società?
Questa decisione rappresenta un riferimento importante per comprendere la posizione del Garante sul tema dell’accesso alle caselle di posta elettronica dei dipendenti per finalità di difesa in giudizio e le potenziali conseguenze di pratiche simili adottate in molte aziende.
Tuttavia, gioca un ruolo fondamentale nelle valutazioni del Garante e nella quantificazione della sanzione:
- l’aver adottato idonee misure di minimizzazione del trattamento al fine di limitare le indagini svolte su campioni specifici di comunicazioni che sono effettivamente rilevanti per l’esercizio concreto dei diritti (ad esempio, attraverso idonei filtri);
- il non utilizzo di soluzioni automatizzate per il monitoraggio indiscriminato, in conformità con la normativa giuslavoristica in materia di controllo a distanza;
- l’esistenza di un fondato sospetto di appropriazione indebita di segreti aziendali, che può motivare, se effettivamente giustificato mirato alla difesa in giudizio, l’accesso alle sole e-mail necessarie a provare la condotta illecita.
In conclusione, questa decisone sottolinea l’importanza per le aziende di predisporre informative sul trattamento dei dati complete e specifiche, soprattutto con riferimento agli eventuali controlli difensivi che possono essere effettuati sulle caselle di posta elettronica, anche successivamente alla cessazione del rapporto di lavoro. Ciò, tuttavia, deve sempre avvenire nel rispetto del divieto di operare un controllo a distanza dei lavoratori secondo quanto previsto dall’art. 4 dello Statuto dei Lavoratori (ovvero adottando idonee misure di minimizzazione del trattamento), al fine di tutelare la dignità dei lavoratori e non pregiudicare i loro diritti e libertà fondamentali.
Su un argomento simile può essere di interesse l’articolo “Il Garante ha aggiornato le linee guida in relazione alla conservazione dei metadati delle e-mail dei dipendenti“
Autore: Deborah Paracchini
