Lavoro: vietato il controllo massivo e la conservazione illimitata delle email - Garante privacy newsletter n. 439 del 29 marzo 2018
Attraverso l'accesso ai contenuti delle email ricostruito lo scambio di comunicazioni, anche private, tra i lavoratori
No al controllo massivo e alla conservazione senza limite delle email. Il Garante per la privacy ha vietato ad una società il trattamento di dati personali effettuato sulle email aziendali dei dipendenti in violazione della normativa sulla protezione dei dati e di quella sulla disciplina lavoristica. La società dovrà ora limitarsi a conservare i dati a fini di tutela dei diritti nel giudizio pendente. L'Autorità - intervenuta a seguito del reclamo di un dipendente - ha accertato che la società trattava in modo illecito i dati personali contenuti nelle email in entrata e in uscita, anche di natura privata e goliardica, scambiate dal lavoratore con alcuni colleghi e collaboratori. I dati raccolti nel corso di un biennio erano poi stati utilizzati per contestare un provvedimento disciplinare cui era seguito il licenziamento del dipendente poi annullato dal giudice del lavoro [doc. web n. 8159221].
Nel disporre il divieto l'Autorità ha rilevato numerose e gravi violazioni. La società non ha infatti fornito ai dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all'uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale. Un comportamento in contrasto con l'obbligo della società di informare i lavoratori riguardo alle caratteristiche essenziali dei trattamenti effettuati, comprese le operazioni che possono svolgere gli amministratori di sistema (ad es., accesso ai contenuti delle email). La società, inoltre, conservava in modo sistematico i dati esterni e il contenuto di tutte le email scambiate dai dipendenti per l'intera durata del rapporto di lavoro e anche dopo la sua interruzione, violando così i principi di liceità, necessità e proporzionalità stabiliti dal Codice privacy. La società - afferma l'Autorità - anziché mettere in atto un trattamento così invasivo, avrebbe potuto agire in modo più efficiente e più rispettoso della riservatezza dei lavoratori predisponendo dei sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati. Inoltre - continua il Garante - la conservazione estesa e sistematica delle mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consente il controllo dell'attività dei dipendenti. Controllo vietato dalla disciplina di settore che non autorizza, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate. Il datore di lavoro infatti pur potendo controllare l'esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro deve sempre salvaguardare la libertà e la dignità dei dipendenti.
Ingiustificata, in particolare, la raccolta a priori di tutte le email in vista di futuri ed eventuali contenziosi, il Garante ha ribadito infatti che la conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate. Il Garante ha ritenuto, infine, non conforme alla legittima aspettativa di riservatezza della corrispondenza l'accesso della società alle email in ingresso sull'account aziendale dopo il licenziamento del lavoratore. Al cessare del rapporto di lavoro la casella di posta elettronica deve essere disattivata e rimossa e al suo posto di devono attivare eventuali account alternativi.
L'Autorità si riserva di valutare con un autonomo procedimento la contestazione di sanzioni amministrative relative agli illeciti riscontrati.