Lavoro - Garante Privacy: attenzione al datore di lavoro che spia le email aziendali

Lavoro - Garante Privacy: attenzione al datore di lavoro che spia le email aziendali
Lavoro - Garante Privacy: attenzione al datore di lavoro che spia le email aziendali

Il Garante Privacy ha vietato al datore di lavoro di accedere in maniera indiscriminata ai dispositivi elettronici in dotazione al personale, contenenti dati privati del lavoratore.

Nel caso in esame, un dipendente di una multinazionale si era rivolto all’Autorità lamentando l’illegittimo trattamento di dati personali da parte della società per avere acquisito informazioni, anche personali, dalle email e dal telefono aziendale in uso al lavoratore durante il rapporto professionale e dopo il suo licenziamento.

In particolare, il dipendente lamentava:

  1. l’operatività, anche dopo la cessazione del rapporto di lavoro con la società, dell’account di posta elettronica aziendale, senza informare i terzi mittenti che le comunicazioni non venivano più visionate dal destinatario ma da altri soggetti;
  2. la mancata comunicazione da parte della società della possibilità di acquisire e conservare dati personali contenuti nella casella di posta elettronica e nel personal computer dei dipendenti;
  3. l’accesso da parte della multinazionale al dispositivo smartphone affidato in uso esclusivo al dipendente, con presa visione e scaricamento di file personali (es. foto) attinenti alla vita privata del lavoratore.
  4. l’accesso, dopo l’interruzione del rapporto di lavoro, alla stanza assegnata al dipendente al fine di raccogliere gli effetti personali del lavoratore senza la sua autorizzazione.

Dopo le dichiarazioni di replica della società, il Garante Privacy ha affermato che: “la società in qualità di titolare ha effettuato (e tutt’ora effettua) operazioni di trattamento di dati personali riferiti al reclamante ˗ nonché ad altri dipendenti ˗ sia in costanza del rapporto di lavoro che successivamente alla sua cessazione, che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali”.

Premesso che dagli atti è risultato violato l’obbligo del titolare del trattamento di fornire una preventiva informativa all’interessato in ordine alle caratteristiche essenziali del trattamento, con riferimento ai trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, il Garante, seguendo il solco di precedenti pronunce, ha precisato che “gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informare i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento”.

A tal riguardo, è emerso che la multinazionale non aveva adottato tali misure sull’account del dipendente. Quest’ultimo non era mai neanche stato informato della procedura aziendale di gestione dell’account di posta elettronica, successiva alla cessazione del rapporto di lavoro, che prevedeva la possibilità per la multinazionale di mantenere attivo l’account fino a un periodo di sei mesi dalla cessazione del rapporto. Il Garante, infatti, ha considerato tale termine sproporzionato rispetto al bilanciamento che deve sussistere tra linteresse del titolare ad accedere alle informazioni necessarie all'efficiente gestione della propria attività […] – e  la – […] legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti nonché dei terzi”.

Ancora il Garante, sul trattamento di dati contenuti su smartphone in dotazione ai dipendenti, ha vietato alla multinazionale di accedere da remoto alle informazioni contenute nel dispositivo mobile, di copiarle o cancellarle, o comunicarle a terzi.

Dai controlli effettuati dall’Autorità è risultato che la società in questione conservava su server  copia dei dati esterni e dei contenuti delle comunicazioni elettroniche per ben 10 anni. Il Garante ha affermato che tale trattamento non risulta “conforme ai principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) e e) del Codice) […]. Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate (in relazione al quale la società non ha fornito elementi in ordine alle specifiche ragioni che lo renderebbero necessario in relazione agli scopi perseguiti) non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi”. La società potrà solo conservarli per finalità di tutela dei diritti in sede giudiziaria.

Relativamente alla restituzione degli affetti personali, l’Autorità ha invitato la società ad adottare procedure che consentono all’interessato di partecipare alla identificazione e alla ricerca di documenti o di oggetti presenti all’interno degli uffici in cui prestava la sua attività lavorativa.

Per concludere, il Garante ha affermato che: “il datore di lavoro pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale. La mancanza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione”.

Sulla base di quanto sopra esposto, il Garante Privacy ha invitato la società a comunicare le iniziative intraprese al fine di dare attuazione a quanto vietato e prescritto dall’Autorità e di fornire, comunque, riscontro adeguatamente documentato.

(Garante per la protezione dei dati personali, Provvedimento 22 dicembre 2016, n. 547)

Il Garante Privacy ha vietato al datore di lavoro di accedere in maniera indiscriminata ai dispositivi elettronici in dotazione al personale, contenenti dati privati del lavoratore.

Nel caso in esame, un dipendente di una multinazionale si era rivolto all’Autorità lamentando l’illegittimo trattamento di dati personali da parte della società per avere acquisito informazioni, anche personali, dalle email e dal telefono aziendale in uso al lavoratore durante il rapporto professionale e dopo il suo licenziamento.

In particolare, il dipendente lamentava:

  1. l’operatività, anche dopo la cessazione del rapporto di lavoro con la società, dell’account di posta elettronica aziendale, senza informare i terzi mittenti che le comunicazioni non venivano più visionate dal destinatario ma da altri soggetti;
  2. la mancata comunicazione da parte della società della possibilità di acquisire e conservare dati personali contenuti nella casella di posta elettronica e nel personal computer dei dipendenti;
  3. l’accesso da parte della multinazionale al dispositivo smartphone affidato in uso esclusivo al dipendente, con presa visione e scaricamento di file personali (es. foto) attinenti alla vita privata del lavoratore.
  4. l’accesso, dopo l’interruzione del rapporto di lavoro, alla stanza assegnata al dipendente al fine di raccogliere gli effetti personali del lavoratore senza la sua autorizzazione.

Dopo le dichiarazioni di replica della società, il Garante Privacy ha affermato che: “la società in qualità di titolare ha effettuato (e tutt’ora effettua) operazioni di trattamento di dati personali riferiti al reclamante ˗ nonché ad altri dipendenti ˗ sia in costanza del rapporto di lavoro che successivamente alla sua cessazione, che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali”.

Premesso che dagli atti è risultato violato l’obbligo del titolare del trattamento di fornire una preventiva informativa all’interessato in ordine alle caratteristiche essenziali del trattamento, con riferimento ai trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, il Garante, seguendo il solco di precedenti pronunce, ha precisato che “gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informare i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento”.

A tal riguardo, è emerso che la multinazionale non aveva adottato tali misure sull’account del dipendente. Quest’ultimo non era mai neanche stato informato della procedura aziendale di gestione dell’account di posta elettronica, successiva alla cessazione del rapporto di lavoro, che prevedeva la possibilità per la multinazionale di mantenere attivo l’account fino a un periodo di sei mesi dalla cessazione del rapporto. Il Garante, infatti, ha considerato tale termine sproporzionato rispetto al bilanciamento che deve sussistere tra linteresse del titolare ad accedere alle informazioni necessarie all'efficiente gestione della propria attività […] – e  la – […] legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti nonché dei terzi”.

Ancora il Garante, sul trattamento di dati contenuti su smartphone in dotazione ai dipendenti, ha vietato alla multinazionale di accedere da remoto alle informazioni contenute nel dispositivo mobile, di copiarle o cancellarle, o comunicarle a terzi.

Dai controlli effettuati dall’Autorità è risultato che la società in questione conservava su server  copia dei dati esterni e dei contenuti delle comunicazioni elettroniche per ben 10 anni. Il Garante ha affermato che tale trattamento non risulta “conforme ai principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) e e) del Codice) […]. Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate (in relazione al quale la società non ha fornito elementi in ordine alle specifiche ragioni che lo renderebbero necessario in relazione agli scopi perseguiti) non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi”. La società potrà solo conservarli per finalità di tutela dei diritti in sede giudiziaria.

Relativamente alla restituzione degli affetti personali, l’Autorità ha invitato la società ad adottare procedure che consentono all’interessato di partecipare alla identificazione e alla ricerca di documenti o di oggetti presenti all’interno degli uffici in cui prestava la sua attività lavorativa.

Per concludere, il Garante ha affermato che: “il datore di lavoro pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale. La mancanza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione”.

Sulla base di quanto sopra esposto, il Garante Privacy ha invitato la società a comunicare le iniziative intraprese al fine di dare attuazione a quanto vietato e prescritto dall’Autorità e di fornire, comunque, riscontro adeguatamente documentato.

(Garante per la protezione dei dati personali, Provvedimento 22 dicembre 2016, n. 547)