Il backup delle e-mail configura un controllo illecito.
Nota a Garante per la protezione dei dati personali, provvedimento del 17 luglio 2024, n. 472
Fabrizio Girolami
Il datore di lavoro non può accedere alla posta elettronica dei dipendenti e dei collaboratori, né utilizzare un software di backup (installato sui pc aziendali) per conservare una copia dei messaggi. Tali condotte, oltre a configurare una violazione della disciplina in materia di protezione dei dati personali (Regolamento UE 2016/679; D.Lgs. n. 196/2003 e s.m.i.), sono idonee a realizzare un’illecita attività di controllo dell’attività lavorativa (art. 4, L. 20.5.1970, n. 300, c.d. Statuto dei diritti dei lavoratori).
Lo ha stabilito il Garante per la privacy con il provvedimento n. 472 del 17.7.2024, ingiungendo a Selectra S.p.A. il pagamento, quale sanzione amministrativa pecuniaria, di Euro 80.000,00, nonché il divieto dell’ulteriore trattamento dei dati estratti attraverso il software.
Il Garante si è pronunciato sul reclamo di un agente di commercio, il quale aveva rappresentato che la Società, nel corso del rapporto di collaborazione, attraverso un software (“Mail Store”), aveva effettuato un backup del contenuto dei messaggi di posta elettronica, conservando sia i contenuti che i log di accesso alla casella e-mail e al gestionale aziendale, in modo sistematico e automatico per un considerevole periodo di tempo (tutta la durata del rapporto e 3 anni dopo la cessazione del rapporto stesso). Le informazioni raccolte erano state poi prodotte dalla Società in un contenzioso giudiziale.
Con il provvedimento in commento, il Garante ha osservato quanto segue:
- il trattamento dei dati effettuato dalla Società è illecito, stante l’inidoneità e la carenza della “informativa sul trattamento dei dati personali”, in violazione degli artt. 5, par. 1, lett. a) (principio di correttezza) e 13 del Regolamento. In detta informativa, infatti, era previsto che la Società potesse accedere alla posta elettronica di dipendenti e collaboratori per garantire “la continuità dell’attività aziendale” (in caso di loro assenza o cessazione del rapporto), senza prevedere alcuna informazione sul backup e sulla conservazione temporale;
- la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo (3 anni successivi alla cessazione del rapporto), nonché la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori: a) non risulta giuridicamente motivata, anche tenuto conto di quanto affermato dal Garante sui tempi di conservazione dei log della posta elettronica nel provvedimento n. 364 del 6.6.2024 (in q. sito, con nota di F. GIROLAMI); b) non è conforme alla disciplina di protezione dei dati, in quanto non “proporzionata” e “necessaria” al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale;
- il software utilizzato è idoneo a realizzare “un’attività di controllo sull’attività dei lavoratori”, in violazione dell’art. 4, Stat. lav. (espressamente richiamato dall’art. 114, D.Lgs. n. 196/2003), in quanto, attraverso il menzionato software, la Società ha ricostruito “minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via e-mail, sia attraverso i log del gestionale utilizzato per svolgere l’attività lavorativa”;
- l’art. 4, co. 1, Stat. lav. individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti (dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori) possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro);
- nel caso di specie, le operazioni di trattamento non erano preordinate a realizzare una delle finalità tassativamente indicate dall’art. 4, co. 1, Stat. lav., e, in ogni caso, anche “se in ipotesi” sussistenti, “non risulta che la Società abbia attivato la procedura di garanzia ivi prevista”;
- per quanto riguarda, infine, l’accesso alla posta elettronica effettuato secondo la Società per la “finalità determinata e legittima di tutela in ambito giudiziario”, va precisato che il trattamento dei dati personali effettuato per finalità di tutela dei propri diritti in giudizio “deve riferirsi a contenziosi già in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti”, come nel caso di specie.
Provvedimento 17 luglio 2024, n. 472