23/10/2024
Il Garante Privacy vieta l'uso di software per accedere alle e-mail dei dipendenti
Il Garante Privacy ha sanzionato una società per l'uso illecito di software per monitorare le e-mail aziendali. Vediamo i dettagli del caso e le conseguenze legali per le aziende.
Il datore di lavoro non ha il diritto di accedere alla casella di posta elettronica del dipendente o collaboratore, né può utilizzare software per creare e conservare copie dei messaggi. Questo tipo di trattamento dei dati personali non solo costituisce una violazione delle normative in materia di protezione dei dati personali, ma si configura anche come un'attività di controllo illecito nei confronti del lavoratore. Tale principio è stato ribadito dal Garante Privacy, che ha inflitto una sanzione di 80.000 euro a una società.
L'intervento del Garante è avvenuto in seguito a un reclamo presentato da un agente di commercio. Dalle indagini è emerso che, durante il rapporto di collaborazione, la società in questione aveva utilizzato un software per effettuare un backup della posta elettronica del dipendente, conservando non solo i contenuti delle email, ma anche i log di accesso alla casella di posta e al sistema gestionale aziendale.
Le informazioni raccolte dalla società sono state successivamente utilizzate nell’ambito di un contenzioso.
Inoltre, il Garante per la Privacy ha rilevato carenze significative nell'informativa fornita ai lavoratori. Nel documento, infatti, era previsto che il datore di lavoro potesse accedere alla posta elettronica dei propri dipendenti e collaboratori al fine di garantire la continuità dell’attività aziendale in caso di assenza o cessazione del rapporto, senza tuttavia menzionare l’esecuzione di backup né il periodo di conservazione.
Nel corso del procedimento, il Garante ha chiarito che la conservazione sistematica delle email per un periodo prolungato – pari a tre anni dopo la fine del rapporto di lavoro – e la conservazione dei log di accesso alla posta elettronica e al gestionale aziendale non erano conformi alle norme sulla protezione dei dati. Tale trattamento, infatti, si è dimostrato non proporzionato né necessario per il raggiungimento degli obiettivi dichiarati dalla società, ovvero la sicurezza della rete informatica e la continuità dell’attività aziendale.
Inoltre, questa pratica ha permesso alla società di monitorare dettagliatamente l'attività del collaboratore, configurando una forma di controllo vietata dallo Statuto dei lavoratori.
In merito all’utilizzo dei dati in tribunale, il Garante ha sottolineato che il trattamento dei dati derivante dall’accesso alla posta elettronica del dipendente può essere giustificato solo in caso di contenziosi legali già in corso, e non per scopi di tutela ipotetici e non definiti, come avvenuto in questo caso.
Oltre alla sanzione pecuniaria, l'Autorità ha imposto il divieto di continuare a trattare i dati attraverso il software utilizzato per il backup delle e-mail.
