Il Garante per la Privacy parla chiaro: il datore di lavoro non può accedere all’email dei dipendenti

Il datore di lavoro non può accedere alla casella email o comunque alla posta elettronica del dipendente o del collaboratore, né utilizzare un software per conservare una copia dei messaggi. È quanto stabilisce – una volta per tutte – il Garante per la Privacy intervenuto a seguito di un reclamo presentato da un agente di commercio.

L’Autorità ha certificato che “Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore”. La società in questione è stata poi sanzionata per 80 mila euro. Il Garante ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla e-mail e al gestionale aziendale. Le informazioni raccolte erano poi state utilizzate dalla società in un contenzioso.

Il datore di lavoro e l’accesso alle email: il provvedimento del Garante

L’Autorità, nei propri provvedimenti, ha sempre affermato che, per assicurare l’ordinario svolgimento e la continuità dell’attività aziendale, è necessario predisporre sistemi di gestione documentale in grado di archiviare e conservare i documenti. Le modalità devono essere idonee a “garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità”. Caratteristiche che, evidentemente, non si riscontrano nei sistemi di posta elettronica che, infatti, rispondono ad altre finalità.

L’Autorità ha appurato inoltre l’inidoneità e la carenza dell’informativa resa ai lavoratori. Il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto. Senza citare l’effettuazione del backup e il relativo tempo di conservazione.

La disciplina della protezione dati

Il Garante, nelle sue deduzioni, ha convenuto che la sistematica conservazione delle email – effettuata per un considerevole periodo di tempo (pari a tre anni successivamente alla cessazione del rapporto) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori “non erano conformi alla disciplina di protezione dei dati”. Una conservazione “non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale”.

Controlli e metodi di archiviazione che avevano permesso alla società sanzionata di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.

Software illegale

Il trattamento che la società ha effettuato in qualità di datore di lavoro sui dati contenuti nelle caselle di posta elettronica assegnate ai propri dipendenti ha configurato un’attività di controllo sull’attività dei lavoratori. In violazione di quanto previsto dall’art. 4 della legge n. 300 del 20/05/1970, norma richiamata dall’art. 114 del Codice.

Proprio con riferimento ai profili di violazione dell’art. 114 del Codice, l’Autorità osserva che “il software utilizzato dalla società (fino alla dichiarata sospensione del suo utilizzo), proprio per le sue caratteristiche (così come descritte dalla parte e vista l’informativa rilasciata ai lavoratori), è idoneo a realizzare un controllo dell’attività lavorativa”. Oltre alla sanzione, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.