Attraverso la newsletter n. 439 del 29 marzo 2018, il Garante per la protezione dei dati personali ha confermato il divieto al controllo massivo e alla conservazione senza limite delle email.
In particolare l’Autorità, chiamata ad intervenire in materia di trattamento di dati personali effettuato sugli account aziendali, a seguito di reclamo sporto da un lavoratore, accertava che la società reclamata trattava i dati personali contenuti nelle email, anche di natura privata, scambiate dal dipendente con alcuni colleghi al fine di utilizzarli illegittimamente per l’avvio di un procedimento disciplinare cui era seguito il licenziamento del lavoratore.
Nel disporre il divieto, il Garante ha stabilito che il trattamento di dati personali effettuato sulle email aziendali dei dipendenti costituisce violazione sia della normativa sulla protezione dei dati che della disciplina lavoristica.
La Società in questione, infatti, non solo non aveva fornito ai propri dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all’uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale ma, addirittura, aveva conservato in modo sistematico (per un biennio) i dati esterni e il contenuto di tutte le email scambiate dai dipendenti per l’intera durata del rapporto di lavoro e anche dopo la sua interruzione, violando così i principi di liceità, necessità e proporzionalità stabiliti dal Codice privacy.
Con questa pronuncia, l’Autorità ha tracciato delle linee guida per la corretta gestione delle email dei lavoratori stabilendo, così, alcuni principi fondamentali ai quali le società devono attenersi per una corretta gestione delle mail aziendali.
In particolare, nel caso oggetto di reclamo, il Garante ha precisato che l’azienda avrebbe potuto agire in modo più efficiente e più rispettoso della riservatezza dei lavoratori predisponendo dei sistemi di gestione documentale in grado di individuare selettivamente i documenti soggetti ad archiviazione.
Secondo l’Authority, dunque, la conservazione estesa e sistematica delle mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo), è da considerarsi illegittima in quanto finalizzata al controllo dell’attività dei dipendenti; controllo vietato dalla disciplina di cui all’art. 4 dello Statuto dei Lavoratori che non autorizza verifiche massive, prolungate e indiscriminate.
Infatti, se è vero che il datore di lavoro può controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro è anche vero che lo stesso deve sempre preoccuparsi di salvaguardare la libertà e la dignità dei dipendenti.
In quest’ottica, quindi, deve ritenersi ingiustificata la raccolta a priori di tutte le email destinate ad essere utilizzate in futuri eventuali contenziosi rimanendo legittima la sola conservazione riferita a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte ed indeterminate.
Infine il Garante, nel dettare le linee guida in materia di trattamento dati sulle mail aziendali, ha ritenuto non conforme alla legittima aspettativa di riservatezza della corrispondenza l’accesso della società alle email in ingresso sull’account aziendale dopo il licenziamento del lavoratore stabilendo l’obbligo, in capo al datore di lavoro, di disattivare e rimuovere la casella di posta elettronica al cessare del rapporto di lavoro.