“Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi. Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore”. Così ha stabilito l’Autorità Garante per la protezione dei dati personali che, con il provvedimento n. 472 del 17 luglio 2024, reso noto con la newsletter istituzionale pubblicata lo scorso 22 ottobre, ha sanzionato una società per 80mila euro.
I fatti
La vicenda trae origine dal reclamo presentato all’Autorità da un ex collaboratore di una società con il quale denunciava l’azienda per aver mantenuto attivo e accessibile il suo account di posta elettronica anche dopo la cessazione del rapporto di collaborazione.
Dall’istruttoria emergeva che la Società aveva incaricato uno studio di ingegneria forense di svolgere un’attività di indagine sul contenuto della posta elettronica dell’ex collaboratore utilizzando l’applicativo “Mail Store”, installato sui pc aziendali. Nel corso del rapporto di collaborazione, infatti, la società aveva effettuato il backup della casella di posta elettronica e aveva conservato sia i contenuti che i log di accesso alla e-mail e al gestionale aziendale. Le e-mail raccolte tramite l’applicativo erano poi state utilizzate nell’ambito di un procedimento giudiziario avviato nei confronti del reclamante dinanzi al Tribunale di Venezia.
Inoltre, la Società, in base a quanto risultava dal documento “Attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e strumenti di registrazione degli accessi e delle presenze-Modalità e limiti di impiego”, allegato all’informativa consegnata al reclamante in qualità di collaboratore e rivolto anche ai dipendenti della società, trattava i dati degli account di posta elettronica aziendale in violazione della normativa in materia di protezione dei dati. Il documento informava della possibilità per l’azienda di accedere alla posta elettronica di dipendenti e collaboratori per finalità di continuità dell’attività lavorativa, in caso di assenza o cessazione del rapporto ma nulla riferiva sull’effettuazione di backup e del relativo tempo di conservazione.
La posizione dell’Autorità Garante
L’Autorità ha affermato che la conservazione sistematica delle e-mail – nel caso di specie le comunicazioni sono state conservate per i tre anni successivi alla cessazione del rapporto di collaborazione – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla disciplina vigente. La conservazione, infatti, risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
Tutto ciò aveva inoltre consentito alla Società di ricostruire in maniera dettagliata l’attività del reclamante. Sul punto, il Garante ha rilevato che “anche se, in ipotesi, tali trattamenti fossero preordinati a realizzare una delle finalità tassativamente indicate dall’art. 4, comma 1, legge n. 300/1970 cit., non risulta che la Società abbia attivato la procedura di garanzia ivi prevista (accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro)”.
Infine, con riferimento all’uso dei dati in tribunale, l’Autorità ha ricordato che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate come nel caso in commento.
Altri insights correlati: