Con il provvedimento n. 547 del 22 dicembre 2016, il Garante per la protezione dei dati personali si è occupato di operazioni di trattamento di dati personali dei dipendenti effettuate dal datore di lavoro nell’ambito della prestazione lavorativa – nonché successivamente alla cessazione del rapporto di lavoro stesso – rilevando, nel caso di specie, diverse violazioni non solo della normativa posta a tutela del diritto alla riservatezza, ma anche della disciplina prevista in materia di controlli a distanza ex art. 4 L. 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”).

Ad una breve introduzione esemplificativa della vicenda segue la prima parte dell’analisi del provvedimento in questione, dedicata alle rilevazioni svolte dal Garante in relazione ai trattamenti di dati connessi all’account di posta elettronica aziendale del dipendente.

IL FATTO:

La questione è stata portata all’attenzione del Garante per la privacy da un dipendente di una multinazionale operante nel settore della consulenza dei rischi e delle risorse umane, il quale lamentava numerose violazioni del proprio diritto alla riservatezza perpetrate dalla società sia in costanza del rapporto di lavoro che successivamente all’interruzione del rapporto professionale, avvenuta a seguito di licenziamento dello stesso. Le pretese violazioni riguardavano in particolar modo l’account di posta elettronica aziendale ed il telefono cellulare affidato in uso esclusivo al dipendente (d’ora in avanti anche il “Blackberry”).

Il Garante, a fronte delle memorie e della documentazione presentata da entrambe le parti, ha rilevato che “la società in qualità di titolare ha effettuato (e tutt’ora effettua) operazioni di trattamento di dati personali riferiti al reclamante – nonché ad altri dipendenti – sia in costanza del rapporto di lavoro che successivamente alla sua cessazione, che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali”.

L’Autorità affronta in primo luogo il trattamento di dati effettuato attraverso l’account e-mail aziendale, relativamente al quale individua ben tre elementi di criticità:

1. modalità e finalità della procedura di disattivazione dell’account adottata dalla società a seguito della cessazione del rapporto di lavoro;
2. il tempo di conservazione dei dati relativi alle comunicazioni elettroniche avvenute per mezzo del succitato account;
3. l’esistenza di una procedura di autorizzazione all’accesso gestita da una società terza, con sede negli U.S.A., facente parte del medesimo gruppo societario, idonea a consentire l’accesso ai dati archiviati sui propri server dal titolare del trattamento (denominata Security Investigation Request).

Con riferimento al primo elemento, è emerso dall’istruttoria come la procedura di disattivazione dell’account adottata dalla multinazionale preveda che le caselle di posta elettronica vengano mantenute attive per un periodo che può arrivare fino a sei mesi dalla data della cessazione del rapporto, indipendentemente dall’attivazione di un messaggio di risposta automatico e senza che i terzi vengano in alcun modo avvisati che a leggere le comunicazioni in entrata non sarà il soggetto fisico individuato quale destinatario. L’Autorità sottolinea come tale prassi non sia da considerarsi conforme ai principi stabiliti in materia dal Garante (cfr. provv.ti 30 luglio 2015, n. 456; 5 marzo 2015, n. 136 e 27 novembre 2014, n. 551).

Passando alle criticità emerse in sede di conservazione dei dati, dai controlli effettuati dall’Autorità è risultato che la società conserva sui propri server aziendali sia i dati esterni (c.d. envelope), che i contenuti dei messaggi di posta elettronica che transitano per gli account aziendali per un periodo di ben dieci anni dalla data di invio o ricezione. Ebbene tale termine risulta non conforme ai principi di necessità, pertinenza e non eccedenza stabiliti dal Codice della Privacy, non apparendo “commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica”.

Per quanto riguarda invece la procedura di accesso ai dati conservati, il Garante rileva l’assenza della nomina a responsabile del trattamento ai sensi dell’articolo 29 del D.Lgs. 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”) della società statunitense che tale servizio forniva. L’Autorità inoltre si riserva espressamente di verificare, con autonomo procedimento, la conformità del trasferimento di dati verso detta società alle disposizioni in materia di trasferimento di dati all’estero.

In aggiunta a quanto sopra, emerge un ulteriore profilo di criticità: il Garante segnala infatti la totale assenza di informativa relativa all’insieme delle ipotesi di trattamento sopra riportate, non venendo queste prese in considerazione né dalle informative individualizzate, né dai documenti informativi resi noti alla generalità dei dipendenti, con conseguente violazione del relativo dovere posto in capo al titolare del trattamento.

Viene infine riscontrata una grave violazione della disciplina di settore in materia di controlli a distanza (cfr. artt. 11, comma 1, lett. a) e 114 del Codice e art. 4 Statuto dei Lavoratori), in quanto la raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio, la loro memorizzazione per un periodo di dieci anni e la possibilità di accedervi all’esito di una apposita procedura sarebbero da ritenersi pratiche idonee a consentire alla società di effettuare un vero e proprio controllo dell’attività dei dipendenti. L’Autorità stabilisce infatti che, sebbene al datore di lavoro sia concessa “la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti”, questo è in ogni caso tenuto a “salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale”.

Al termine della propria analisi, pertanto, il Garante per la protezione dei dati personali, considerato che il trattamento dei dati effettuato dalla società attraverso gli account di posta elettronica aziendale risulta illecito per violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13, 23 e 24, 113 e 114 del Codice, dispone il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è particolarmente rilevante poiché è destinato ad avere un impatto concreto sull’elaborazione e adeguamento delle policy aziendali in materia di gestione degli account aziendali e dei dispositivi elettronici affidati ai dipendenti, imprimendo una svolta obbligata nella direzione di una maggiore tutela della dignità dei lavoratori, a discapito della discrezionalità del datore di lavoro.

Preme ricordare che, sebbene nel provvedimento si sia limitato a disporre il divieto di ulteriore trattamento, il Garante si è espressamente riservato di valutare, al termine di proprio autonomo procedimento, la sussistenza dei presupposti per sanzioni amministrative nei confronti della società, che quasi certamente non tarderanno ad arrivare.

Una piccola postilla in conclusione: com’è facile intuire, il diritto alla privacy, soprattutto in connessione all’utilizzo delle nuove tecnologie, è destinato a divenire una delle più grandi sfide per le imprese nei prossimi anni, anche alla luce dell’introduzione del nuovo Regolamento UE 2016/679. La predisposizione di processi interni realizzati sulla base di uno studio approfondito della normativa in vigore e delle linee guida fornita dai provvedimenti del Garante italiano come del Gruppo dei Garanti Europei (WP29) è l’unico modo per tutelare l’impresa dall’applicazione di pesanti sanzioni in grado di incidere significativamente sul bilancio societario o comunque idonee a creare grave disagio all’intera organizzazione aziendale.