home / Archivio / 231 e Compliance raccolta del 2024 / Il datore di lavoro non può accedere alla posta elettronica del dipendente o del ..

indietro stampa contenuto leggi libro


Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore, né utilizzare un software per conservare una copia dei messaggi e dei log di accesso alla stessa

Marco Miglietta

Il Garante per la protezione dei dati personali è tornato a esprimersi su un tema delicato e spesso oggetto di controversie: l’accesso da parte del datore di lavoro alla posta elettronica dei dipendenti e collaboratori. Con il provvedimento n. 472 del 17 luglio 2024, l’Autorità ha ribadito con fermezza che tale pratica – inclusa la conservazione automatica dei messaggi tramite software di backup – costituisce una violazione della normativa in materia di privacy e un illecito controllo dell’attività lavorativa.

Il caso trae origine da un reclamo presentato da un ex agente di commercio, il quale lamentava che, dopo la cessazione del rapporto di collaborazione, la società con cui aveva lavorato aveva continuato a mantenere attivo il suo account e-mail aziendale. La società, inoltre, aveva avuto accesso all’intera corrispondenza in transito sull’account, anche successivamente alla fine del rapporto.

Durante l’istruttoria, il Garante ha accertato che l’azienda aveva installato un sistema automatizzato di backup delle e-mail, in grado non solo di salvare i messaggi di posta, ma anche di registrare i log di accesso alle caselle e-mail e al sistema gestionale aziendale. Secondo quanto dichiarato dall’azienda, tale sistema era giustificato dalla necessità di garantire la sicurezza informatica e la continuità operativa, soprattutto in caso di assenze prolungate o cessazioni dei rapporti di lavoro.

Tuttavia, l’Autorità ha ritenuto tale pratica sproporzionata rispetto alle finalità dichiarate. L’intervento del Garante si è basato su diversi profili critici: in primo luogo, è stata rilevata la violazione dei principi cardine del GDPR, in particolare quelli relativi alla limitazione della conservazione dei dati e alla loro minimizzazione. Nel caso specifico, i dati venivano conservati fino a tre anni dopo la cessazione del rapporto lavorativo, un periodo giudicato eccessivo.

Un ulteriore elemento di criticità è emerso dalla mancata trasparenza nei confronti dei dipendenti. L’informativa aziendale, infatti, non faceva menzione della presenza di backup né specificava i tempi di conservazione dei dati. L’accesso alle e-mail era indicato genericamente come finalizzato alla continuità operativa, senza fornire adeguate informazioni sull’effettivo trattamento dei dati.

Il Garante ha inoltre sottolineato che la possibilità di accedere al contenuto delle e-mail e ai relativi log ha consentito all’azienda di monitorare in modo dettagliato l’attività dei propri dipendenti, configurando un controllo non autorizzato ai sensi dell’articolo 4 dello Statuto dei Lavoratori.

Un ulteriore aspetto censurato riguarda l’utilizzo dei dati raccolti mediante il backup per finalità legali. La società, infatti, aveva impiegato tali informazioni in una controversia giudiziaria. Tuttavia, l’Autorità ha precisato che il trattamento dei dati personali per la difesa in giudizio è lecito solo in presenza di una reale controversia e non può essere giustificato in via preventiva o ipotetica.

Alla luce di queste considerazioni, il Garante ha irrogato alla società una sanzione amministrativa pari a 80.000 euro e ha ordinato il divieto di ulteriore utilizzo del software di backup per il trattamento dei dati personali dei dipendenti.

 

Argomento: Privacy
Sezione:

(GPDP, 17 luglio 2024, n. 472 )

Stralcio a cura di Davide Fricchione

Keywords: datore di lavoro - accesso mail - lavoratori dipendenti - conservazione

“(…) la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento che non sono conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”. In particolare, è emerso che la Società ha incaricato uno studio di ingegneria forense di svolgere un’attività di indagine sul contenuto della posta elettronica del reclamante utilizzando l’applicativo Mail Store (installato sui pc aziendali). Le e-mail raccolte tramite l’applicativo (individuate dal reclamante in 34) sono state utilizzate nell’ambito di un procedimento giudiziario avviato nei confronti del reclamante dinanzi al Tribunale di Venezia. È altresì emerso che la Società, in base a quanto risulta dal documento “Attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e strumenti di registrazione degli accessi e delle presenze-Modalità e limiti di impiego”, (allegato all’informativa consegnata al reclamante in qualità di collaboratore e rivolto anche ai dipendenti della Società), tratta i dati relativi agli account di posta elettronica aziendale individualizzati in violazione della disciplina di protezione dei dati. il trattamento avente ad oggetto i dati personali dell’interessato è imputabile alla Società che ha agito in qualità di titolare del trattamento, secondo la definizione di cui all’art. 4, par. 1, n. 7 del Regolamento (“titolare del trattamento: la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”). A fronte del trattamento svolto, che ha riguardato prevalentemente i dati contenuti nella casella di posta elettronica, è risultato che l’informativa resa dalla Società non è conforme alla disciplina di protezione dei dati, in quanto inidonea e incompleta nel rappresentare compiutamente le caratteristiche e le modalità [continua ..]

» Per l'intero contenuto effettuare il login inizio