Il Garante della privacy bacchetta I datori di lavoro spioni

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Con il provvedimento 53/2018 il Garante della privacy blocca la prassi di molti datori lavoro di conservare le email scambiate dai dipendenti attraverso gli account di posta aziendale.

Un lavoratore ha evidenziato che, il datore di lavoro a fondamento di una contestazione disciplinare sfociata poi in licenziamento, ha effettuato controlli sul contenuto della corrispondenza elettronica di un altro dipendente, avendo così accesso a numerose email scambiate dal interessato, messaggi il cui contenuto – caratterizzato da «evidenti toni personali…espressioni di goliardia e…ironia fra colleghi».

L’accesso a tali messaggi è stato possibile in quanto il datore di lavoro ha conservato sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai dipendenti per l’intera durata del rapporto di lavoro e anche successivamente.

Un tale operato,  pur se giustificato dalla datrice «in vista di futuri ed eventuali contenziosi», è stato ritenuto illecito dal Garante sotto diversi profili.

  1. E’ risultato violato l’obbligo di informativa (articolo 13 del Dlgs 196/2003), in quanto la società non ha debitamente informato i dipendenti «circa modalità e finalità della descritta attività di raccolta e conservazione dei dati relativi all’utilizzo della posta elettronica, né con informativa individualizzata né con la messa a disposizione della policy aziendale».
  2.  La conservazione sistematica di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, «anche in vista di possibili contenziosi, per l’intera durata del rapporto di lavoro e successivamente alla interruzione dello stesso», non è risultata conforme ai principi di liceità, necessità e proporzionalità del trattamento (articoli 3 e 11 del Dlgs 196/2003).

Infine il Garante ha affermato che «la raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio, la loro memorizzazione per un periodo non predeterminato e comunque, allo stato, amplissimo e la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto e in termini generali» consentiva alla società di effettuare un vero e proprio controllo a distanza dell’attività dei dipendenti, risultando perciò – in assenza di procedura autorizzativa – «in contrasto con la disciplina di settore in materia» (articolo 4 dello statuto dei lavoratori).

Con riferimento, infine, ai trattamenti effettuati dopo la cessazione del rapporto di lavoro, il Garante ha ribadito quanto già espresso in precedenti occasioni (provvedimenti 456/2015, 136/2015 e 551/2014), ossia che «gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi».

Facebooktwittergoogle_pluslinkedinrssyoutube