Privacy dei lavoratori: sanzione di € 80.000 ad un'azienda

Accesso alle e-mail dei dipendenti e un software per produrre copia del contenuto. Il Garante Privacy dice stop!

Il provvedimento del Garante Privacy

Il datore di lavoro non può accedere alla posta elettronica del dipendete o del collaboratore, né utilizzare un software che conservi una copia dei messaggi. Tale trattamento realizzerebbe un’illecita attività di controllo del lavoratore, oltre a configurare una violazione della normativa in materia di protezione dei dati personali.

In questo senso si è pronunciato il Garante della privacy, con il provvedimento n. 472 del 17 luglio 2024, nell’ambito di un reclamo presentato da un agente di commercio che lamentava una violazione della disciplina in materia di protezione dei dati personali nei confronti della Società con cui aveva intrattenuto un rapporto di collaborazione.

Il caso

Il Garante ha accertato che la Società, per mezzo di un software, aveva effettuato un backup della posta elettronica, conservando i contenuti e i log di accesso alla mail e al gestionale dell’azienda. Peraltro, l’informativa privacy del datore di lavoro non forniva alcuna indicazione in merito alla possibilità, per il medesimo datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori in caso di cessazione del rapporto, così come nessuna indicazione era presente in merito all’effettuazione del backup e al periodo di conservazione dei dati.

Il Garante ha rilevato che la sistematica conservazione delle email e dei log di accesso alla posta elettronica e al gestionale usato dal lavoratore non risultavano proporzionali all’asserito fine che la Società intendeva perseguire, ossia la sicurezza della rete informatica e la continuità dell’attività aziendale. 

La violazione

Alla luce di tali accertamenti, l’Autorità ha ritenuto violate le disposizioni del Regolamento europeo n. 679/2016 (GDPR), in quanto le attività sopra descritte, oltre a prestare il fianco a un potenziale monitoraggio delle attività del lavoratore (proibito dalla L. 300/1970, Statuto dei Lavoratori), violavano i principi di liceità, di minimizzazione e di limitazione della conservazione dei dati.

Obblighi del datore di lavoro

Il datore di lavoro, infatti, può trattare solo i dati strettamente necessari al conseguimento delle finalità per cui i dati stessi sono stati raccolti e solo per un tempo limitato al perseguimento di tali finalità, con il contestuale onere di informare previamente e specificamente il lavoratore in merito a tali elementi.

Peraltro, l’informativa non deve contenere solo delle enunciazioni astratte e di principio, ma indicare specificamente le finalità e i motivi che, tenuto conto di queste finalità, hanno portato il titolare del trattamento a determinare un periodo di conservazione piuttosto che un altro.

La Società, inoltre, da quanto emerso, aveva svolto le attività di trattamento contestate (la raccolta, la conservazione e la consultazione) per finalità diverse da quella di garantire la sicurezza dei sistemi informatici, ossia per avviare un contenzioso nei confronti del collaboratore.

Su questo, l’Autorità ha avuto modo di precisare che il trattamento dei dati personali effettuato “per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi già in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti”.

Conseguenze

Il Garante ha imposto alla Società il divieto di svolgere ulteriori trattamenti con il software in oggetto e ha comminato sanzione amministrativa pecuniaria di 80.000 euro.

La vicenda evidenzia la necessità per le aziende di agire con cautela nell’implementazione di sistemi di monitoraggio, bilanciando esigenze organizzative e sicurezza dei dati con il diritto alla privacy dei collaboratori. Le sanzioni elevate sottolineano come il mancato rispetto delle normative sulla protezione dei dati non sia solo una violazione di legge, ma anche un serio rischio aziendale.

I datori di lavoro devono quindi fare un uso corretto dei dati e garantire trasparenza nelle politiche di monitoraggio, con informative dettagliate e misure proporzionate che rispettino la dignità e la privacy dei lavoratori.