È illecito il monitoraggio dei metadati della posta elettronica aziendale assegnata ai dipendenti che non garantisce adeguate tutele per la riservatezza ed è effettuato in violazione delle norme che limitano il controllo a distanza dei lavoratori. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali (il “Garante”) che, con una Ordinanza di ingiunzione del 1° dicembre 2022, ha comminato alla Regione Lazio una sanzione di euro 100.000.
Il caso nasceva da una segnalazione effettuata al Garante da una organizzazione sindacale autonoma che lamentava il monitoraggio da parte dell’amministrazione, titolare del trattamento, della posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.
Oggetto del monitoraggio, avviato nell’ambito di una indagine interna finalizzata a verificare una sospetta divulgazione di notizie protette dal segreto d’ufficio, risultavano essere le informazionirelative ad orari, destinatari, oggetto delle comunicazioni e dimensione degli allegati, i cosiddetti “metadati”, di alcuni dipendenti che erano soliti inviare messaggi ad una specifica sigla sindacale. Stando a quanto emerso nel corso dell’istruttoria, era stato possibile monitorare tali informazioni poiché, “per prassi”, i dati relativi al traffico delle e-mail venivano conservati “per generiche finalità di sicurezza informatica per 180 giorni” prima di essere definitivamente cancellati.
Sulla base di quanto emerso nel corso dell’istruttoria, il Garante ha chiarito, tra le altre, che:
Sulla base di tutto ciò, il Garante, oltre al pagamento della predetta sanzione amministrativa, ha vietato al datore di lavoro, titolare del trattamento, qualsiasi ulteriore operazione di trattamento applicata ai (meta)dati relativi all’utilizzo della posta elettronica dei dipendenti conservati per un periodo eccedente i sette giorni dalla data della loro raccolta, ha disposto la cancellazione dei dati già raccolti e conservati oltre quest’ultimo termine ed ha altresì disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.
Altri insights correlati:
La Grande camera della Corte europea dei diritti dell’uomo, con sentenza n. 61496/08, depositata in data 5 settembre 2017, nel caso Barbulescu contro Romania, ha condannato la Romania perché i controlli disposti dal datore di lavoro privato nei confronti di un dipendente, poi licenziato per utilizzo dell’email aziendale per fini personali, non erano stati effettuati rispettando alcuni criteri necessari a garantire il giusto equilibrio tra i diversi interessi in gioco. In particolare – sulla base dell’assunto per il quale la nozione di vita privata di cui all’art. 8 della Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali deve includere ogni aspetto che permette all’individuo di sviluppare la propria identità sociale, compresa l’attività lavorativa – la Corte ha chiarito che i controlli del datore di lavoro sulle email spedite da un dipendente dal computer aziendale, per fini personali, possono essere ammessi solo nel rispetto di alcuni parametri. Tali parametri sono stati individuati nell’informazione preventiva, nell’impossibilità di ricorrere a misure meno intrusive e nell’esistenza di gravi motivi che spingono l’azienda al controllo. A livello europeo, dunque, sono stati ribaditi i principi fondamentali in materia di privacy nell’ambito del rapporto di lavoro, del resto, già noti alla normativa ed alla giurisprudenza italiana.