Un rapporto di lavoro deve basarsi sempre su trasparenza e lealtà, per non incappare in pericolose conseguenze disciplinari. D’altra parte però, l’azienda è vincolata al rispetto di alcuni importanti obblighi in materia di privacy del dipendente e non può accedere in piena libertà alla posta elettronica di un suo lavoratore o collaboratore, né servirsi di software o programmi informatici per tenere copia dei messaggi, per eventuali futuri utilizzi.
Con un provvedimento ad hoc lo ha ricordato recentemente il Garante Privacy, multando per ben 80mila euro una società che aveva travalicato i confini che avrebbero dovuto separarla dai dati personali di un suo lavoratore. Vediamo allora in sintesi la vicenda e il perché della decisione dell’Authority.
Indice
Il caso
La legge non concede alcuna facoltà di effettuare backup delle informazioni – entrando nella posta elettronica degli impiegati – perché tale comportamento costituisce un’illecita attività di controllo. In una recente vicenda, un agente di commercio aveva fatto reclamo all’Authority, lamentando la violazione di norme in materia di protezione dei dati personali da parte della società con cui aveva intrattenuto un rapporto di collaborazione, nelle forme del contratto di agenzia.
Nel provvedimento del Garante viene ricostruita la vicenda nei seguenti termini:
il reclamante rappresentava che, a seguito dell’interruzione del rapporto di collaborazione […] la Società aveva mantenuto attivo l’account di posta elettronica aziendale di tipo individualizzato, a lui assegnato in costanza del rapporto di collaborazione, accedendo al contenuto di tutta la corrispondenza in transito sul predetto account che, infatti, veniva prodotta nel corso di un giudizio instaurato dinanzi al Tribunale di Venezia.
Ricordiamo che dall’azienda era stata avviata un’azione giudiziaria contro il reclamante, a seguito di fondati sospetti di sottrazione di segreti aziendali e di ulteriori illeciti. In sostanza, il datore di lavoro aveva ottenuto i dati per sostenere le sue rivendicazioni in aula.
Le difese della società
Alla richiesta di informazioni del Garante, conseguente al reclamo dell’agente, la società datrice aveva spiegato:
- di non aver mai acceduto alla casella di posta elettronica in uso al reclamante durante la vigenza del rapporto di lavoro;
- di svolgere periodicamente un backup delle caselle di posta elettronica aziendali, con un software specifico che non imporrebbe alcun accesso diretto da parte del personale aziendale (salvaguardando quindi i dati personali).
Nel corso dell’istruttoria, l’Authority ha poi acclarato che la società – nell’ambito del rapporto di collaborazione – tramite software aveva effettivamente compiuto un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale. Come accennato sopra, tali dati erano poi stati utilizzati dalla società nella sopraccennata disputa giudiziaria in tribunale contro il dipendente.
Informativa ai lavoratori carente e inidonea
Non solo. Aggravando ulteriormente le responsabilità della società, il Garante Privacy ha chiarito l’inidoneità e la carenza dell’informativa consegnata ai lavoratori. Il documento infatti:
- includeva la facoltà – per la società datrice di lavoro – di accedere alla posta elettronica dei propri lavoratori e collaboratori, per assicurare la continuità dell’attività aziendale in caso di loro assenza o cessazione del rapporto;
- ma al contempo non menzionava l’effettuazione del backup e il relativo tempo di conservazione.
Ecco perché, sulla base delle dichiarazioni rese e della documentazione prodotta nel corso dell’attività istruttoria, la stessa Authority aveva provveduto a notificare alla società l’atto di avvio del procedimento sanzionatorio, così come previsto e consentitogli dalla legge.
La violazione della disciplina sulla protezione dei dati personali
Nel giungere alla decisione, il Garante Privacy ha in particolare affermato che:
la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo (pari a tre anni successivi alla cessazione del rapporto), nonché la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, non sono conformi alla disciplina di protezione dei dati, in quanto non proporzionata e necessaria al conseguimento delle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale.
Se da un lato, quindi, la società si era servita dei dati personali per rafforzare la propria posizione e ricostruire dettagliatamente l’attività del collaboratore – c’è era in ballo anche una causa in tribunale – dall’altro è vero anche che tale comportamento veniva valutato come contrario alle norme di legge vigenti.
Infatti, come ha scritto il Garante nel provvedimento che ha accolto l’originario reclamo, il punto è che – agendo in questa maniera – la società ha realizzato una forma di controllo vietata dallo Statuto dei lavoratori e dal Codice Privacy.
La decisione
Alla luce delle considerazioni di cui sopra, il Garante per la protezione dei dati personali ha deciso di multare la società, per aver violato i principi di liceità, di minimizzazione e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del Regolamento GDPR) e della disciplina di settore in materia di controlli a distanza (art. 88 del Regolamento GDPR e art. 114 del Codice Privacy).
Ne è scaturita la citata sanzione amministrativa pecuniaria pari a 80mila euro, adottata nella forma dell’ordinanza di ingiunzione, insieme al divieto di ulteriore trattamento dei dati tramite il software aziendale, utilizzato per il backup della posta elettronica.
Nel provvedimento il Garante ha anche richiesto alla società di comunicare quali iniziative saranno prese al fine dell’adeguamento a quanto disposto con il provvedimento in oggetto, dando un riscontro documentato. In mancanza, la società si esporrebbe nuovamente ad una sanzione in denaro.
Che cosa cambia
In questa vicenda il Garante Privacy (molto attivo anche in tema di reclami come dimostra un altro recente caso) non ha mutato il suo orientamento, anzi facendo stretto riferimento ai limiti imposti al trattamento dei dati personali, di cui si trova traccia nel GDPR – di primario riferimento negli ambienti di lavoro – e nel Codice Privacy. Per la società però è cambiata la prospettiva, alla luce delle violazioni accertate dal Garante.
Infatti, il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né servirsi di un software per conservare una copia dei messaggi (backup). Un tale trattamento di dati personali – oltre a rappresentare una violazione della disciplina in campo di protezione dei dati personali – sarebbe idoneo a realizzare un’illecita attività di controllo del lavoratore (simili conclusioni valgono anche ad es. nel caso del riconoscimento facciale). E, in linea generale, questo provvedimento dell’Authority serve anche da monito per tutte le aziende, in merito ai limiti all’accesso ai dati informatici – e personali – di ogni dipendente o collaboratore.