Sistematica conservazione di email? È controllo del lavoratore

---

Condividi l'articolo:

---

Viola la disciplina in materia di protezione dei dati personali e configura un illecito controllo del lavoratore, l’attività di indagine e di monitoraggio condotta dal datore di lavoro sul contenuto della posta elettronica del collaboratore mediante un software installato sui pc aziendali e tesa a conservare copia dei messaggi da utilizzare nell’ambito di un procedimento giudiziario avviato nei confronti dello stesso.

Con il provvedimento del 17 luglio 2024 n. 472, trasmesso con newsletter del 22 ottobre 2024, il Garante privacy torna sulla delicata questione della raccolta e conservazione di email aziendali e metadati, richiamando le indicazioni fornite con il documento di indirizzo del 6 giugno 2024.

Andiamo al caso oggetto del provvedimento in parola.

Account di posta elettronica aziendale assegnato a un agente di commercio

L’attività istruttoria del Garante privacy è stata avviata a seguito di reclamo, da parte di un agente di commercio, per una presunta violazione della privacy da parte della società con cui lo stesso aveva collaborato.

L’ex collaboratore denunciava che la società aveva:

• mantenuto attivo l’account di posta elettronica aziendale a lui assegnato durante il rapporto di collaborazione anche dopo l’interruzione del rapporto di collaborazione (avvenuta in data 24/02/2021);
• fatto accesso al contenuto di tutta la corrispondenza in transito sull'account;
• prodotto le email aziendali raccolte nel corso di un giudizio instaurato nei suoi confronti.

Attività istruttoria del Garante

A seguito del reclamo, l'Autorità garante per la protezione dei dati ha avviato un'istruttoria, formulando una richiesta di informazioni alla società.

Dalle informazioni ricevute è emerso, in particolare, che la società:

• ha eseguito periodicamente un backup, con modalità automatiche, delle caselle di posta elettronica aziendali mediante un software;
• il backup di ciascuna casella di posta elettronica aziendale è stato conservato per un periodo massimo di 3  anni dopo la cessazione di ogni rapporto lavorativo o di collaborazione;
• l’account di posta elettronica aziendale del collaboratore è stato disattivato entro i 3 giorni successivi al 5 marzo 2021, data in cui la società ha inviato una specifica direttiva al reparto IT
• ha avviato un’azione giudiziaria nei confronti del collaboratore per violazione dei segreti aziendali, affidando ad uno studio di ingegneria forense il mandato ad eseguire una perizia. Perizia per la quale la stessa società ha acquisito una copia forense del backup della casella di posta elettronica direttamente dall’applicativo.

La società inoltre produceva copia sia dell’informativa sia del documento allegato (“Attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze”).

In particolare, in quest’ultimo documento la società dichiarava:

• di effettuare la registrazione, con il sistema informatico, degli accessi alle caselle di posta elettronica e al gestionale, con l’elaborazione costante di report di log conservati dal sistema per una durata di almeno 6 mesi.
• di essersi riservata la facoltà di accedere alla casella di posta nell’ipotesi di cessazione dell’attività lavorativa o di assenza e "nell’ipotesi in cui lo ritenesse strettamente utile e/o strettamente necessario”, nonché di effettuare verifiche a campione finalizzate ad accertare la correttezza della prestazione e controlli tesi alla verifica del regolare utilizzo degli strumenti in dotazione e dei relativi sistemi e del loro regolare funzionamento.

All’esito dell’istruttoria, il Garante privacy ritiene che la società abbia trattato i dati relativi agli account di posta elettronica aziendale individualizzati in violazione della disciplina di protezione dei dati.

Informativa privacy sotto la lente del Garante

In primo luogo, fa presente l’Autorità, l’informativa resa dalla società non è conforme alla disciplina di protezione dei dati con particolare riguardo ai tempi di conservazione dei dati relativi alla posta elettronica e alle modalità e le finalità con cui sono effettuati i controlli da parte della stessa in qualità di titolare del trattamento.

L’informativa rilasciata al collaboratore prevede, in via generale, la conservazione dei dati personali unicamente per consentire l’espletamento di tutti gli adempimenti connessi o derivanti dalla conclusione del rapporto di lavoro, indicando come tempo di conservazione il termine di 10 anni

E inoltre, come si evince dall’allegato “Attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e strumenti di registrazione degli accessi e delle presenze”, l’interessato è informato della elaborazione di log degli accessi alla posta elettronica e al gestionale, che sono conservati “per una durata di almeno 6 mesi”.

Nessuna informazione, evidenzia il Garante privacy, è invece fornita riguardo l’effettuazione di back up del contenuto della casella individuale di posta elettronica, in vigenza di rapporto, e la conservazione del relativo contenuto, prevista per 3 anni secondo le dichiarazioni rese dalla società all’Autorità in fase istruttoria.

In merito poi facoltà di accedere alla casella di posta elettronica dei lavoratori a seguito della cessazione del rapporto lavorativo o in caso di assenza al dichiarato scopo di garantire la continuità della prestazione lavorativa, il Garante, richiamando, nel provvedimento del 17 luglio 2024 n. 472, il suo costante orientamento, ha ricordato che, per assicurare l’ordinario svolgimento e la continuità dell’attività aziendale, è necessario predisporre sistemi di gestione documentale in grado di archiviare e conservare i documenti “con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile”.

Tali caratteristiche, evidenzia, non possono rinvenirsi nei sistemi di posta elettronica che rispondono ad altre finalità.

Utilizzo improprio del software per controllo del lavoratore

Venendo poi all’utilizzo del dispositivo software per il backup del contenuto delle caselle di posta elettronica in uso ai dipendenti e ai collaboratori, il Garante rileva che lo stesso è stato utilizzato per finalità diverse da quella di garantire la sicurezza dei sistemi informatici.

Le operazioni di trattamento realizzate per mezzo del suddetto software (quali la raccolta, la conservazione, la consultazione, avvenute peraltro per ampi tempi) che hanno consentito di ricostruire l’attività dell’interessato, risultano in contrasto con la disciplina in materia di protezione dei dati personali

Il richiamo qui va anche alle indicazioni di cui al Provvedimento del 6 giugno 2024 sui tempi di conservazione dei log della posta elettronica.

Le caratteristiche del software, così come descritte dalla parte e vista l’informativa rilasciata ai lavoratori, denotano, avverte il Garante privacy, un’attività di controllo sull’attività dei lavoratori in violazione di quanto previsto dall’art. 4 della legge n. 300 del 20 maggio 1970.

Provvedimenti e sanzioni del Garante privacy

Alla luce delle violazioni accertate, l’Autorità, con il provvedimento del 17 luglio 2024 n. 472, ha adottato i seguenti provvedimenti correttivi:

• divieto dell’ulteriore trattamento dei dati estratti tramite il software, vietando alla Società di accedere e trattare ulteriormente i dati personali conservati nei backup.
• sanzione amministrativa pecuniaria di 80.000 euro, commisurata alla gravità delle violazioni riscontrate e all’ampiezza del trattamento illecito effettuato nei confronti di un numero significativo di soggetti coinvolti.
• obbligo di conformarsi alle disposizioni normative in materia di protezione dei dati personali.