The unlimited storage in the corporate server of messages contained in the e-mail account assigned to the employees and their monitoring by the employer for imposing disciplinary measures has been found unlawful.

IL FATTO:

Con il provvedimento n. 53 del 1 febbraio 2018, il Garante per la protezione dei dati personali si è occupato di operazioni di trattamento di dati personali dei dipendenti effettuate dal datore di lavoro nell’ambito della prestazione lavorativa mediante l’estrazione dal server aziendale del contenuto delle caselle di posta elettronica assegnate ai dipendenti per soli fini lavorativi.

La questione è stata portata all’attenzione del Garante per la privacy dall’ex dipendente di una società operante nel settore dell’autonoleggio (successivamente reintegrato dal giudice ordinario), il quale rappresentava di aver subito il licenziamento da parte della società a causa del contenuto di alcune e-mail inviate dal proprio account aziendale, contenuto cui la società aveva avuto accesso a seguito di verifiche effettuate dal responsabile amministrativo sulla casella di posta elettronica conservata sul server aziendale.

Il Garante, a fronte delle memorie e della documentazione presentata da entrambe le parti, ha rilevato che “la società in qualità di titolare ha effettuato (e tutt’ora effettua) operazioni di trattamento di dati personali riferiti al reclamante – nonché ad altri dipendenti – che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali”.

Dopo aver appurato che  la società “conserva sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti (qualsiasi mansione essi svolgano), per l’intera durata del rapporto di lavoro ed anche successivamente all’interruzione dello stesso” al fine di consentire alla società di precostituire elementi utili alla difesa in giudizio ed alla tutela dei propri diritti, l’Autorità si è dedicata all’analisi delle numerose criticità riscontrate, che qui di seguito riassumiamo.

In primo luogo, il Garante rileva l’assenza di una completa ed idonea informativa ai dipendenti circa “modalità e finalità della descritta attività di raccolta e conservazione dei dati relativi all’utilizzo della posta elettronica”. In palese violazione dell’art. 13 del Codice, il testo di informativa fornito ai dipendenti dalla società si limita infatti ad avvisare i dipendenti che “potranno essere effettuati controlli sull’utilizzo illecito delle risorse aziendali ed in caso di violazione l’Azienda si riserva la possibilità di adottare le necessarie sanzioni con le modalità e i limiti previsti dallo Statuto dei lavoratori e dai CCNL applicabili”, mentre nessun riferimento viene fatto:

• alla conservazione sui server aziendali “di tutte le mail scambiate nel corso dell’attività lavorativa” o alle finalità e modalità con cui questa avvenga;
• alle finalità e modalità di accesso a tale database;
• alle specifiche attività di controllo che il datore di lavoro si riserva di effettuare; nè
• alle operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio.

In secondo luogo, l’Autorità si esprime sulla pratica adottata dalla società di conservare in maniera sistematica il contenuto della casella e-mail aziendale, affermandone la non conformità ai principi di liceità, necessità e proporzionalità del trattamento. Non conformità che diviene ancor più evidente se si considera che i dati raccolti venivano originariamente conservati per tutta la durata del rapporto, nonché successivamente alla cessazione dello stesso.

Viene infine riscontrata una grave violazione della disciplina di settore in materia di controlli a distanza (cfr. artt. 11, comma 1, lett. a) e 114 del Codice della Privacy e art. 4 Statuto dei Lavoratori), in quanto “la raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio, la loro memorizzazione per un periodo non predeterminato e comunque, allo stato, amplissimo e la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto e in termini generali quali la difesa in giudizio o il perseguimento di un legittimo interesse consente alla società di effettuare il controllo dell’attività” degli stessi.

Al termine della propria analisi, pertanto, il Garante per la protezione dei dati personali, considerato che il trattamento dei dati effettuato dalla società attraverso gli account di posta elettronica aziendale risulta illecito per violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13 e 114 del Codice della Privacy, dispone il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è particolarmente rilevante poiché è destinato ad avere un impatto concreto sull’elaborazione e adeguamento delle policy aziendali in materia di gestione degli account aziendali, imprimendo una svolta obbligata nella direzione di una maggiore tutela della dignità dei lavoratori, a discapito della discrezionalità del datore di lavoro.

Preme ricordare che, sebbene nel provvedimento si sia limitato a disporre il divieto di ulteriore trattamento, il Garante si è espressamente riservato di valutare, al termine di proprio autonomo procedimento, la sussistenza dei presupposti per sanzioni amministrative nei confronti della società, che quasi certamente non tarderanno ad arrivare.