Con il provvedimento n°547 del 22 dicembre 2016, il Garante Privacy ha confermato i propri precedenti orientamenti in materia di accesso alla posta elettronica dei lavoratori.
Il ricorso di un ex-dipendente ha offerto al Garante l’occasione di ribadire che le dotazioni (posta elettronica, computer, cellulare) che vengono assegnate in uso a singoli lavoratori, seppur di proprietà aziendale e non destinate all’uso personale, non consentono per ciò solo al datore di lavoro di accedervi in maniera indiscriminata: pur essendo possibile verificare l’adempimento della prestazione e il corretto utilizzo degli strumenti di lavoro, le operazioni di trattamento devono comunque sempre rispondere ai principi di liceità, pertinenza, non eccedenza e correttezza.
Il trattamento sottoposto al controllo dell’Autorità era quello di una multinazionale che raccoglieva informazioni anche private contenute nella e-mail e nel telefono aziendale, durante il rapporto professionale e fino a sei mesi dopo la sua cessazione; informazioni, queste, che venivano poi conservate per dieci anni, in un server gestito da una società consociata con sede al di fuori dell’Unione Europa.
Questi, in sintesi, i profili di illiceità del trattamento rilevati:
- non è stata fornita ai dipendenti un’idonea informativa su modalità e finalità della raccolta e della conservazione dei dati, mancando in particolare ogni riferimento alla conservazione per lungo periodo, su server aziendali, di tutte le mail scambiate nell’ambito del rapporto di lavoro e all’esistenza di una procedura di disattivazione dell’account che prevede la continuata ricezione delle comunicazioni sino a sei mesi dopo la cessazione del rapporto;
- la procedura di disattivazione dell’account personale non è compatibile con il diritto alla riservatezza in quanto, nonostante l’attivazione di un messaggio di risposta automatico, le caselle di posta elettronica vengono mantenute attive sino a sei mesi dopo la cessazione del rapporto;
- il tempo di conservazione dei dati esterni e dei contenuti delle comunicazioni elettroniche su server aziendali, non inferiore a dieci anni, è eccessivo e non giustificabile in rapporto alle ordinarie necessità di gestione dei servizi di posta, comprese le esigenze di sicurezza dei sistemi;
- la società che fornisce i servizi di posta elettronica, parte del medesimo gruppo, non risulta essere stata designata quale responsabile del trattamento ed aver ricevuto adeguate istruzioni operative;
- il titolare del trattamento può accedere da remoto alle informazioni contenute nei cellulari aziendali dei lavoratori, non solo per attività di manutenzione.
Il Garante ha rilevato, altresì, profili di illiceità con la normativa giuslavoristica: il trattamento descritto rischia, infatti, di consentire al datore di lavoro un controllo massivo, prolungato ed indiscriminato dell’attività dei lavoratori, nonché l’accesso a informazioni non rilevanti ai fini della valutazione dell’attitudine professionale.
