Il Garante per la privacy torna sul controllo delle email aziendali dei dipendenti ribadendo il divieto di controllo massivo da parte dell’azienda.
Con il provvedimento n. 53 del 1° febbraio 2018 [doc. web n. 8159221], veicolato nella newsletter del 30 marzo 2018, l’Autorità ha vietato ad una società il trattamento di dati personali effettuato sulle email aziendali dei dipendenti in violazione della disciplina sulla protezione dei dati e della normativa che regola i rapporti di lavoro. La società inoltre, in pendenza di giudizio, deve limitarsi a conservare solo i dati per la tutela dei diritti pertinenti.
Un dipendente, a seguito di contestazione disciplinare, ha chiesto all'Autorità di disporre il blocco o il divieto del trattamento effettuato dalla società datrice di lavoro.
Tale società aveva in particolare contestato al lavoratore, all'esito di "verifiche effettuate dal responsabile amministrativo", l'invio di alcune email a colleghi di lavoro caratterizzate "dagli evidenti toni personali […] espressione di goliardia e […] ironia fra colleghi". L’attività di raccolta (e successivo trattamento) delle email da parte sarebbe avvenuto in assenza di informativa circa le specifiche politiche aziendali adottate in proposito. I dati raccolti nel corso di un biennio inoltre erano stati utilizzati per contestare un provvedimento disciplinare cui era seguito il licenziamento del dipendente poi annullato dal giudice del lavoro.
L'Autorità ha rilevato numerose e gravi violazioni. In particolare la società:
- non ha fornito ai dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all'uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale
- conservava in modo sistematico i dati esterni e il contenuto di tutte le email scambiate dai dipendenti per l'intera durata del rapporto di lavoro e anche dopo la sua interruzione, violando così i principi di liceità, necessità e proporzionalità stabiliti dal Codice privacy.
La società - afferma l'Autorità - anziché mettere in atto un trattamento così invasivo, avrebbe potuto agire in modo più efficiente e più rispettoso della riservatezza dei lavoratori predisponendo dei sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati. Inoltre - continua il Garante - la conservazione estesa e sistematica delle mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consente il controllo dell'attività dei dipendenti. Controllo vietato dalla disciplina di settore che non autorizza, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate. Inoltre al cessare del rapporto di lavoro la casella di posta elettronica deve essere disattivata e rimossa e al suo posto di devono attivare eventuali account alternativi.