Privacy: stop al software che accede alle mail dei dipendenti

Il Garante per la protezione dei dati personali, con provvedimento del 17 luglio 2024 reso noto il 24 ottobre 2024, ha affermato che il datore di lavoro non può accedere alla posta elettronica dei propri dipendenti o collaboratori né utilizzare un software per conservare una copia dei messaggi.

Questo trattamento, continua il Garante, non solo configura una violazione della disciplina in materia di protezione dei dati personali, ma anche un’illecita attività di controllo dei medesimi.

Nel caso specifico, il Garante è intervenuto a seguito del reclamo proposto da un agente, accertando che la società preponente nel corso del rapporto di agenzia, attraverso un software, aveva effettuato un backup della posta elettronica, conservando i contenuti ed i log di accesso alle mail e al gestionale aziendale.

Le informazioni così estratte sono state utilizzate dalla società in un procedimento giudiziario avviato nei confronti dell’agente dinnanzi al Tribunale.

Il Garante ha anche accertato l’inidoneità e la carenza dell’informativa resa ai lavoratori, poiché prevedeva la possibilità, per la società, di accedere alla posta elettronica dei propri dipendenti e collaboratori unicamente per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto. Essa non citava l’effettuazione del backup ed il relativo tempo di conservazione.

Il Garante ha, anche, rilevato che la sistematica conservazione delle email - effettuata per un considerevole periodo di tempo (ossia tre anni successivamente alla cessazione del rapporto) - e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla normativa in materia di protezione dei dati.

Tale conservazione è stata considerata non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale, consentendole di ricostruire, minuziosamente, l’attività dell’agente.

Sotto altro profilo, secondo il Garante, emerge che il trattamento effettuato dalla società in qualità di datore di lavoro sui dati contenuti nelle caselle di posta elettronica assegnate ai dipendenti è idoneo a consentire un’attività di controllo vietata dall’art. 4 dello Statuto dei lavoratori.

Per quanto riguarda infine l’uso dei dati in giudizio, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto o a situazione precontenziose, non ad astratte ed indeterminate ipotesi di possibile difesa o tutela dei diritti come nel caso in esame.

Oltre alla sanzione pecuniaria di 80mila euro, il Garante ha disposto a carico della società il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.