Il Garante per la protezione dei dati personali ha recentemente ribadito l’importanza della tutela della privacy dei lavoratori, pronunciandosi contro l’uso di software per il controllo delle email aziendali. Nella newsletter del 22 ottobre 2024, l’Autorità ha comunicato di aver inflitto una sanzione di 80.000 euro a una società che effettuava backup sistematici delle caselle di posta elettronica dei dipendenti durante il rapporto di lavoro, utilizzando le informazioni raccolte anche in contenziosi legali.
Questa vicenda solleva interrogativi sul delicato equilibrio tra la protezione dei dati personali e le esigenze operative delle aziende: come garantire la sicurezza delle infrastrutture informatiche e la continuità aziendale e al contempo garantire la riservatezza dei dipendenti? Il provvedimento del Garante chiarisce che tale equilibrio non può mai giustificare un monitoraggio massivo e indiscriminato delle comunicazioni elettroniche, che si traduce in un controllo occulto dei dipendenti.
La vicenda
Il caso ha avuto origine da un reclamo presentato da un agente di commercio contro il proprio datore di lavoro. Il Garante, esaminando il reclamo, ha scoperto che l’azienda aveva implementato un software per il backup delle email aziendali dei dipendenti, conservando non solo i contenuti dei messaggi ma anche i log di accesso, cioè i dettagli sui momenti in cui i dipendenti accedevano alla posta elettronica e al gestionale aziendale.
La società giustificava questa attività sostenendo che fosse necessaria per garantire la sicurezza dei sistemi informatici e la continuità operativa, specialmente in caso di assenza o cessazione del rapporto di lavoro di un dipendente. Tuttavia, secondo il Garante, questa prassi si è rivelata sproporzionata rispetto agli obiettivi dichiarati dall’azienda e ha configurato una vera e propria attività di controllo, vietata dallo Statuto dei lavoratori.
Violazione del GDPR e dello Statuto dei Lavoratori
L’azienda non ha rispettato i principi fondamentali stabiliti dal Regolamento Generale sulla Protezione dei Dati (GDPR), tra cui quello di limitazione e di minimizzazione dei tempi di conservazione. Il GDPR richiede infatti che il trattamento dei dati personali sia limitato a quanto strettamente necessario per raggiungere scopi legittimi e che i dati non siano conservati più a lungo del necessario.
Nel caso specifico, il Garante ha constatato che l’azienda non solo conservava i dati per un periodo sproporzionato – fino a tre anni dopo la cessazione del rapporto di lavoro – ma non aveva nemmeno informato adeguatamente i dipendenti riguardo alla conservazione dei dati, violando l’obbligo di trasparenza. L’informativa fornita ai lavoratori indicava la possibilità di accedere alle email solo per esigenze di continuità operativa, senza menzionare i backup e i relativi tempi di conservazione.
La conservazione dei log di accesso alla posta elettronica e al gestionale aziendale, unita alla possibilità di accedere al contenuto delle email, ha consentito all’azienda di ricostruire in dettaglio l’attività lavorativa del dipendente, generando una forma di controllo vietata dall’articolo 4 dello Statuto dei Lavoratori. Questo articolo stabilisce che l’uso di strumenti di controllo a distanza deve essere limitato e soggetto a specifiche condizioni, tra cui l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro.
L’uso dei dati raccolti attraverso il backup delle email è stato anche oggetto di contestazione da parte del Garante. L’azienda aveva utilizzato queste informazioni in un contenzioso legale, ma l’Autorità ha chiarito che il trattamento dei dati personali a fini di tutela giuridica può essere considerato lecito solo nel caso di controversie già in corso e non per ipotesi astratte o preventive. La società, invece, aveva conservato i dati a lungo termine con una logica più ampia, non direttamente legata a una specifica necessità giuridica.
Queste le sanzioni e le prescrizioni del Garante
Oltre alla sanzione pecuniaria di 80.000 euro, il Garante ha imposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup delle email. Questo significa che l’azienda non potrà più continuare ad adottare tali pratiche senza incorrere in ulteriori sanzioni.
Il provvedimento del Garante ha dunque un impatto immediato sull’organizzazione dell’azienda, che dovrà rivedere completamente le modalità di gestione delle comunicazioni elettroniche dei dipendenti per conformarsi alle norme in materia di protezione dei dati personali.
Il caso esaminato dal Garante rappresenta quindi un importante monito per tutte le aziende. La gestione delle email aziendali e dei dati personali dei dipendenti deve essere sempre improntata al rispetto delle normative vigenti in materia di privacy e diritto del lavoro.
Non è sufficiente giustificare il trattamento dei dati personali con la necessità di garantire la continuità operativa o la sicurezza informatica: è indispensabile rispettare i principi di proporzionalità e trasparenza, nonché evitare ogni forma di controllo indiscriminato dell’attività dei lavoratori.
Le aziende devono assicurarsi che le informative privacy fornite ai dipendenti siano complete e precise, specificando in modo chiaro le finalità e i tempi di conservazione dei dati. Devono inoltre evitare di utilizzare strumenti di controllo a distanza che possano violare lo Statuto dei lavoratori, salvo che non siano adottati con le opportune garanzie.
Questo provvedimento del Garante conferma l’importanza di una gestione rigorosa e conforme dei dati personali in ambito lavorativo, ribadendo che il rispetto della privacy non può mai essere sacrificato per esigenze operative aziendali.