Nella newsletter del 22 ottobre 2024 il Garante Privacy ha riferito di aver sanzionato per oltre 80 mila euro una Società che eseguiva il backup della posta elettronica dei dipendenti durante il rapporto di lavoro.
Il Garante è intervenuto a seguito del reclamo che era stato presentato da un lavoratore in relazione ad un software utilizzato dalla Società. In particolare, il reclamante aveva rappresentato che, successivamente all’interruzione del rapporto, la Società aveva mantenuto attivo l’account di posta elettronica aziendale, a lui assegnato in costanza del rapporto, accedendo al contenuto di tutta la corrispondenza in transito che, infatti, era stata prodotta nel corso di un giudizio successivamente instaurato.
Secondo il Garante, le operazioni di trattamento realizzate per mezzo del software (quali la raccolta, la conservazione, la consultazione), che avevano consentito di ricostruire l’attività del lavoratore, risultano in contrasto con i principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del Regolamento).
Infatti, in base alla disciplina posta in materia di protezione dei dati personali, nell’ambito di rapporti di lavoro/collaborazione, il titolare può trattare lecitamente i dati personali, di regola, solo se il trattamento è necessario per la gestione del rapporto stesso oppure se è necessario per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili (art. 6, par. 1, lett. a) e c) del Regolamento, con riferimento ai dati c.d. comuni), e, comunque, può riguardare solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattate e per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Nel caso di specie, invece, la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo (pari a tre anni successivi alla cessazione del rapporto), nonché la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, sono stati reputati non conformi alla disciplina di protezione dei dati, in quanto non proporzionata e necessaria al conseguimento delle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale.
Sotto un altro profilo, il Garante ha sottolineato che il trattamento che il datore di lavoro effettua sui dati contenuti nelle caselle di posta elettronica (ad esempio a seguito della conservazione delle e-mail ricevute e inviate durante l’attività lavorativa) assegnate ai propri dipendenti è idoneo a consentire un’attività di controllo sull’attività dei lavoratori in violazione di quanto previsto dall’art. 4 della legge n. 300 del 20/05/1970, norma richiamata dall’art. 114 del Codice Privacy.
In base a tale norma, infatti, il rispetto della disposizione di cui all’art. 4 della citata legge n. 300/1970 costituisce condizione di liceità dei trattamenti di dati personali effettuati in ambito lavorativo, in quanto è una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento (cfr. artt. 5, par. 1, lett. a) e 88 del Regolamento).
Con riferimento ai profili di violazione dell’art. 114 del Codice, secondo il Garante, il software utilizzato dalla Società reclamata (fino alla dichiarata sospensione del suo utilizzo), proprio per le sue caratteristiche (così come descritte dalla parte e vista l’informativa rilasciata ai lavoratori), sarebbe stato idoneo a realizzare un controllo dell’attività lavorativa.
In particolare, la Società, attraverso il citato software, aveva effettuato trattamenti idonei a ricostruire minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via e-mail, sia attraverso i log del gestionale utilizzato per svolgere l’attività lavorativa.