GARANTE PRIVACY - L'accesso alle e-mail dei lavoratori e l'uso di software per conservare i loro messaggi costituiscono una forma illecita di controllo sui lavoratori

Con provvedimento 17 luglio 2024, n. 472, il Garante per la Protezione dei Dati Personali si è espresso in ordine all’accesso e alla conservazione della posta elettronica dei lavoratori da parte del datore di lavoro.

Secondo il Garante, la conservazione delle e-mail dei lavoratori e dei log di accesso, devono essere proporzionate rispetto alle finalità di sicurezza dei sistemi aziendali, anche per non trasformarsi in uno strumento idoneo a consentire un controllo sull’attività dei lavoratori in violazione dello Statuto dei Lavoratori.

In ogni caso il datore di lavoro deve darne idonea e completa informativa ai lavoratori.

Nella fattispecie in esame, il reclamante aveva intrattenuto per diverso tempo un rapporto di collaborazione con una società, in forza del quale gli era stata fornita una autonoma casella di posta elettronica.

La casella di posta elettronica era assoggettata dalla società ad un backup periodico con modalità automatiche mediante l’uso di un software. Tale backup veniva conservato per un periodo massimo di tre anni successivi alla cessazione di ogni rapporto lavorativo. La società dava conoscenza ai propri lavoratori dell’esecuzione di tale backup mediante specifiche informative. Inter alia, con tali informative, la società dava atto che gli strumenti adottati fossero potenzialmente idonei ad attuare il controllo a distanza della prestazione lavorativa.

Con reclamo presentato dinnanzi al Garante per la protezione dei dati personali (l’“Autorità”) il reclamante ha lamentato una violazione della disciplina in materia di protezione dei dati personali posta in essere dalla società. In particolare, il reclamante rappresentava che, a seguito dell’interruzione del rapporto di collaborazione, la società aveva mantenuto attivo l’account di posta elettronica aziendale assegnatogli in costanza del rapporto, accedendo alla corrispondenza in transito sul predetto account.

L’Autorità ha formulato nei confronti della società una richiesta di informazioni, all’esito della quale l’Autorità giungeva alle conclusioni di seguito riportate.

Sotto un primo profilo, l’Autorità ha ritenuto che, a fronte del trattamento svolto, che ha riguardato prevalentemente i dati contenuti nella casella di posta elettronica, l’informativa resa dalla Società non fosse conforme alla disciplina di protezione dei dati.

In particolare, secondo l’Autorità, l’informativa resa ai lavoratori non era idonea né completa nel rappresentare compiutamente le caratteristiche e le modalità dei trattamenti svolti, con particolare riguardo tanto ai tempi di conservazione dei dati relativi alla posta elettronica quanto alle modalità e finalità con cui venivano effettuati i controlli da parte della società.

Per queste ragioni, l’Autorità ha concluso per l’illiceità del trattamento dei dati personali posto in essere dalla società mediante l’informativa predisposta.

Sotto un secondo profilo, l’Autorità ha evidenziato l’illiceità del trattamento sul contenuto della posta elettronica. In particolare è emerso in corso di istruttoria che, attraverso il menzionato software, la società era solita effettuare il backup del contenuto delle caselle di posta elettronica in uso ai dipendenti e ai collaboratori, in vigenza di rapporto, conservandone il contenuto in modo sistematico e automatico per un periodo di tempo pari a tre anni successivi alla cessazione dei rapporti lavorativi.

Secondo l’Autorità, tuttavia, la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo nonché la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, non erano conformi alla disciplina di protezione dei dati, in quanto si trattava di misure non proporzionate né necessarie al conseguimento delle finalità di sicurezza della rete informatica e di continuità dell’attività aziendale eccepite dalla società a propria discolpa.

Inoltre, secondo l’Autorità il trattamento effettuato dalla società sui dati contenuti nelle caselle di posta elettronica dei propri dipendenti era idoneo a consentire un’attività di controllo sull’attività degli stessi in violazione di quanto previsto dall’art. 4 della legge n. 300 del 20 maggio 1970.

Alla luce dei profili di illiceità sopra riscontrati, l’Autorità ha condannato la società a pagare una sanzione amministrativa di € 80.000.