Con provvedimento del 17 luglio 2024 [n. 10053224] per il Garante il trattamento dei dati in tale contesto, oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore.
Il fatto
Un agente di commercio presentava reclamo al Garante, lamentando una violazione della disciplina in materia di protezione dei dati personali posta in essere dalla Società con cui aveva intrattenuto un rapporto di collaborazione.
In particolare, il reclamante rappresentava che, a seguito dell’interruzione del rapporto di collaborazione avvenuta, la Società aveva mantenuto attivo l’account di posta elettronica aziendale di tipo individualizzato, a lui assegnato in costanza del rapporto di collaborazione, accedendo al contenuto di tutta la corrispondenza in transito sul predetto account che, infatti, veniva prodotta nel corso di un giudizio instaurato dinanzi al Tribunale di Venezia da parte della stessa Società, che aveva scoperto le attività di concorrenza sleale ex art. 2589 n. 3 c.c. e di sottrazione di dati segreti attuate dall’agente di commercio ai suoi danni.
Successivamente alla cessazione del rapporto di collaborazione, la Società aveva fatto eseguire – da parte di un outsourcer – un back up sulle caselle e-mail mediante l’applicativo Mail Store, (misura tecnica di sicurezza disposta in ottemperanza all’art. 5, par. 1, lett. f del Regolamento UE). Il periodo massimo di conservazione delle e-mail sulle quali veniva eseguito il back up era pari a tre anni, tempo per cui era possibile recuperare dati e/o informazioni a ritroso in caso di disservizio o attacco informatico.
La Società peraltro, aveva provveduto a fornire apposita informativa a dipendenti e collaboratori nella quale specificava la possibilità di accedere al contenuto delle caselle e-mail per eventuali e comprovate esigenze di continuità lavorativa
Le risultanze delle indagini del Garante
All’esito dell’esame, per il Garante la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento sono conformi alla disciplina in materia di protezione dei dati personali.
In particolare, è emerso che la Società ha incaricato uno studio di ingegneria forense di svolgere un’attività di indagine sul contenuto della posta elettronica del reclamante utilizzando l’applicativo Mail Store.
A fronte del trattamento svolto, è risultato che l’informativa resa dalla Società non era conforme alla disciplina di protezione dei dati, in quanto inidonea e incompleta nel rappresentare le caratteristiche e le modalità dei trattamenti svolti, con particolare riferimento ai tempi di conservazione dei dati relativi alla posta elettronica e alle modalità e le finalità con cui sono effettuati i controlli da parte della Società in qualità di titolare del trattamento.
Inoltre, nessuna informazione veniva invece fornita riguardo l’effettuazione di back up del contenuto della casella individuale di posta elettronica, in vigenza di rapporto, e la conservazione del relativo contenuto, successivamente alla cessazione del rapporto con la Società.
Il software Mail Store, in realtà, era stato utilizzato per finalità diverse da quella di garantire la sicurezza dei sistemi informatici. Infatti, la Società aveva analizzato le e-mail presenti sull’account del reclamante, ne aveva verificato il contenuto e avviato il contenzioso.
A ciò si aggiunga il fatto che tale software, proprio per le sue caratteristiche è risultato essere idoneo a realizzare un controllo dell’attività lavorativa in quanto in grado di ricostruire minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via e-mail, sia attraverso i log del gestionale utilizzato per svolgere l’attività lavorativa.
Peraltro, anche se, in ipotesi, tali trattamenti fossero preordinati a realizzare una delle finalità tassativamente indicate dall’art. 4, comma 1, legge n. 300/1970 la Società non aveva nemmeno attivato la procedura di garanzia prevista (accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro).
Le conclusioni del Garante
Ergo, per il Garante per la Privacy
- il trattamento di dati personali (contenuti nella posta elettronica) configura una violazione della disciplina in materia di protezione dei dati personali ed è idoneo a realizzare un’illecita attività di controllo del lavoratore (in violazione dei principi di liceità, di minimizzazione e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del Regolamento UE) e della disciplina di settore in materia di controlli a distanza).
- l’informativa predisposta risulta inidonea e incompleta nel rappresentare compiutamente le caratteristiche e le modalità dei trattamenti svolti, con particolare riferimento ai tempi di conservazione dei dati relativi alla posta elettronica e alle modalità e le finalità con cui sono effettuati i controlli da parte della Società.
Considerazioni
Con la sanzione pari ad 80.000 euro irrogata nei confronti della Società per le ragioni sopra esposte, il Garante conferma la sua posizione garantista nei confronti dei lavoratori e (a dir poco) limitante nei confronti delle aziende rispetto alla dibattuta tematica relativa alla conservazione e all’utilizzo delle e-mail aziendali da parte del datore di lavoro.
Tale approccio è in linea con i precedenti (e criticati) provvedimenti di febbraio e giugno di quest’anno nei quali l’Autorità, tra l’altro, si è mostrata ferma nel ritenere necessario un limitato termine di conservazione delle e-mail aziendali (prima pari a 7 giorni poi diventati 21 nel provvedimento di giugno), precisando che la conservazione può avvenire per un termine più ampio ma solo in presenza di particolari condizioni che ne rendano necessaria l’estensione.
Il provvedimento in esame, in realtà, stabilisce un ulteriore limite, poiché il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica per finalità di tutela in ambito giudiziario può essere ammesso soli in caso di contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate.
Appare evidente che una tale impostazione, correlata di impianto sanzionatorio, non fa altro che limitare fortemente le attività di verifica dei datori di lavoro e ciò, anche a scapito di controlli che potrebbero essere effettuati per scopi meramente difensivi che, peraltro, sono oramai pacificamente ammessi dalla giurisprudenza di merito.
Nel caso di specie, le conseguenze (economiche) derivanti dal contenzioso sulla concorrenza sleale instaurato dalla Società contro il collaboratore sono state – nella pratica – neutralizzate dall’applicazione di una rilevante sanzione nei confronti della Società, mentre quest’ultima si era attivata al fine di interrompere o arginare le conseguenze pregiudizievoli di una condotta scorretta del collaboratore.
Una tale impostazione, seppur con argomentazioni coerenti con i principi dettati dalla normativa sulla privacy, pone le aziende nella difficile posizione di bilanciare interessi il più delle volte contrapposti (tutela del patrimonio aziendale da un lato e garanzia della privacy del singolo dall’altro), che in ambito gestionale si traducono in un appesantimento delle procedure informatiche ed informative per il datore di lavoro, oltre che un aggravio di costi (a volte) nemmeno preventivabili.
Si rimane a disposizione per qualsiasi eventuale ulteriore confronto si dovesse ritenere opportuno.