Accertata l’illegittimità della conservazione a tempo indeterminato delle e-mail contenute nella casella di posta elettronica assegnata ai dipendenti nell’ambito del rapporto di lavoro nel server aziendale e del successivo controllo su queste esercitato dal datore di lavoro al fine di elevare una contestazione disciplinare, in quanto prassi contrarie non solo della normativa posta a tutela del diritto alla riservatezza, ma anche della disciplina prevista in materia di controlli a distanza ex art. 4 L. 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”).
IL FATTO:
Con il provvedimento n. 53 del 1 febbraio 2018, il Garante per la protezione dei dati personali si è occupato di operazioni di trattamento di dati personali dei dipendenti effettuate dal datore di lavoro nell’ambito della prestazione lavorativa mediante l’estrazione dal server aziendale del contenuto delle caselle di posta elettronica assegnate ai dipendenti per soli fini lavorativi.
La questione è stata portata all’attenzione del Garante per la privacy dall’ex dipendente di una società operante nel settore dell’autonoleggio (successivamente reintegrato dal giudice ordinario), il quale rappresentava di aver subito il licenziamento da parte della società a causa del contenuto di alcune e-mail inviate dal proprio account aziendale, contenuto cui la società aveva avuto accesso a seguito di verifiche effettuate dal responsabile amministrativo sulla casella di posta elettronica conservata sul server aziendale.
Il Garante, a fronte delle memorie e della documentazione presentata da entrambe le parti, ha rilevato che “la società in qualità di titolare ha effettuato (e tutt’ora effettua) operazioni di trattamento di dati personali riferiti al reclamante – nonché ad altri dipendenti – che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali”.
Dopo aver appurato che la società “conserva sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti (qualsiasi mansione essi svolgano), per l’intera durata del rapporto di lavoro ed anche successivamente all’interruzione dello stesso” al fine di consentire alla società di precostituire elementi utili alla difesa in giudizio ed alla tutela dei propri diritti, l’Autorità si è dedicata all’analisi delle numerose criticità riscontrate, che qui di seguito riassumiamo.
In primo luogo, il Garante rileva l’assenza di una completa ed idonea informativa ai dipendenti circa “modalità e finalità della descritta attività di raccolta e conservazione dei dati relativi all’utilizzo della posta elettronica”. In palese violazione dell’art. 13 del Codice, il testo di informativa fornito ai dipendenti dalla società si limita infatti ad avvisare i dipendenti che “potranno essere effettuati controlli sull’utilizzo illecito delle risorse aziendali ed in caso di violazione l’Azienda si riserva la possibilità di adottare le necessarie sanzioni con le modalità e i limiti previsti dallo Statuto dei lavoratori e dai CCNL applicabili”, mentre nessun riferimento viene fatto:
In secondo luogo, l’Autorità si esprime sulla pratica adottata dalla società di conservare in maniera sistematica il contenuto della casella e-mail aziendale, affermandone la non conformità ai principi di liceità, necessità e proporzionalità del trattamento. Non conformità che diviene ancor più evidente se si considera che i dati raccolti venivano originariamente conservati per tutta la durata del rapporto, nonché successivamente alla cessazione dello stesso.
Viene infine riscontrata una grave violazione della disciplina di settore in materia di controlli a distanza (cfr. artt. 11, comma 1, lett. a) e 114 del Codice della Privacy e art. 4 Statuto dei Lavoratori), in quanto “la raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio, la loro memorizzazione per un periodo non predeterminato e comunque, allo stato, amplissimo e la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto e in termini generali quali la difesa in giudizio o il perseguimento di un legittimo interesse consente alla società di effettuare il controllo dell’attività” degli stessi.
Al termine della propria analisi, pertanto, il Garante per la protezione dei dati personali, considerato che il trattamento dei dati effettuato dalla società attraverso gli account di posta elettronica aziendale risulta illecito per violazione degli artt. 3, 11, comma 1, lett. a), d) ed e), 13 e 114 del Codice della Privacy, dispone il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria.
PERCHÉ È IMPORTANTE:
Il provvedimento in esame è particolarmente rilevante poiché è destinato ad avere un impatto concreto sull’elaborazione e adeguamento delle policy aziendali in materia di gestione degli account aziendali, imprimendo una svolta obbligata nella direzione di una maggiore tutela della dignità dei lavoratori, a discapito della discrezionalità del datore di lavoro.
Preme ricordare che, sebbene nel provvedimento si sia limitato a disporre il divieto di ulteriore trattamento, il Garante si è espressamente riservato di valutare, al termine di proprio autonomo procedimento, la sussistenza dei presupposti per sanzioni amministrative nei confronti della società, che quasi certamente non tarderanno ad arrivare.
No Comments