Il Garante della Privacy, con provvedimento n. 547 del 22/12/2016, interviene nuovamente sul tema dell’accesso alla posta elettronica contenuta, in questo caso, negli smartphone in dotazione al personale dipendente.

Il controllo illeggittimo

È un comportamento illecito, il datore di lavoro non può accedere in maniere indiscriminata ai dispositivi elettronici dati in uso ai propri dipendenti, può verificare l’esatto adempimento della prestazione professionale e il corretto utilizzo degli strumenti di lavoro, attenendosi ai limiti imposti dalla legge.

La vicenda nasce dal reclamo di un ex dipendente che si era rivolto al Garante lamentando un illegittimo trattamento dei dati effettuato da una multinazionale, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

Il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa. La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

Successivamente al licenziamento, l’account in entrata e uscita della email veniva controllato dalla società, senza procedure atte ad informare i terzi mittenti che le comunicazioni inviate non venivano più ricevute a quell’indirizzo.

gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento. L’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività, pertanto, deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti  nonché dei terzi

L’informativa privacy

I lavoratori, inoltre, non erano stati informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali (posta elettronica e pc) e di eventuali verifiche. La società, poteva accedere tramite l’area IT, allo smartphone in uso al dipendente, prendendo visione e scaricando i file personali attinenti alla vita privata sul pc dello stesso, senza che il medesimo ne fosse informato o avesse autorizzato detta attività.

Dai riscontri effettuati dall’Autorità, la società non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Non aveva fatto riferimento alla conservazione sui server aziendali, delle mail.

La conservazione dei dati

L’azienda in questione, aveva configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. E’ inoltre emerso che la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che  il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

(Garante Privacy)

Potrebbe interessarti:

Dati biometrici dei dipendenti vietato senza autorizzazione del Garante
Vietato il controllo sui dipendenti