Il Garante della Privacy con la nuova newsletter del 22 ottobre ha riacceso il dibattito sul controllo delle e-mail dei dipendenti da parte dell’azienda. Il caso discusso riguarda una violazione della privacy da parte di un datore di lavoro che ha adottato un software di backup della posta elettronica senza rispettare la normativa, dimostrando una gestione scorretta dei dati personali dei propri lavoratori.
La questione, che si basa sulla violazione del GDPR e dello Statuto dei Lavoratori, ha portato a sanzioni significative e a nuove prescrizioni per l’azienda, con importanti riflessi per tutte le imprese.
Vediamo nei dettagli cosa e accaduto e quali sono le “punizioni” inflitte all’azienda.
Il caso
Tutto ha avuto origine da un caso in cui un agente di commercio, lavoratore dipendente di un’azienda, ha scoperto che le sue e-mail venivano monitorate senza alcuna informazione preventiva. Il datore di lavoro sosteneva che il controllo fosse necessario per la sicurezza dei propri sistemi e per garantire la continuità operativa in caso di cessazione del rapporto di lavoro. In realtà, l’uso di un software di backup delle e-mail non era stato comunicato chiaramente ai lavoratori inconsapevoli della conservazione dei loro dati a fini di sicurezza.
Nel dettaglio, il software di monitoraggio raccoglieva i log di accesso alle email aziendali, conservando tutte le comunicazioni per periodi prolungati, anche oltre la fine del rapporto lavorativo. Tale condotta è stata considerata dal Garante della Privacy non solo una violazione del diritto alla riservatezza, ma anche un controllo occulto e sproporzionato, non giustificato da reali necessità aziendali.
Lo Statuto dei Lavoratori, infatti, vieta controlli a distanza non concordati con le rappresentanze sindacali o approvati dall’Ispettorato del Lavoro, condizioni non rispettate in questo caso. L’agente, sentendosi leso nei propri diritti, ha presentato un reclamo al Garante, che ha prontamente avviato un’indagine approfondita.
Le sanzioni del Garante della privacy
Al termine dell’indagine, il Garante della Privacy ha emesso una sanzione di 80.000 euro nei confronti dell’azienda per diverse violazioni del GDPR. In primo luogo, è stata riscontrata una violazione del principio di trasparenza, poiché i dipendenti non erano stati informati correttamente sulle modalità e finalità del trattamento dei loro dati. Non solo: il monitoraggio non rispettava il principio di minimizzazione, in quanto la raccolta e conservazione dei dati era eccessiva rispetto alle esigenze dichiarate dall’azienda.
Un altro aspetto rilevante della vicenda riguarda l’uso improprio delle informazioni ottenute. L’azienda, infatti, aveva utilizzato alcuni dati estratti dalle email dei dipendenti per supportare le proprie posizioni in contenziosi legali.
Il Garante ha specificato che tali pratiche non sono ammissibili: i dati raccolti tramite strumenti di monitoraggio possono essere utilizzati a fini legali solo se strettamente necessari e in casi di contenziosi esistenti, e non per scopi preventivi o difensivi generali. Il controllo delle email dei lavoratori deve essere proporzionato e limitato ai casi di sospetto concreto di uso illecito delle risorse aziendali, cosa che nel caso specifico non è stata dimostrata.
Oltre alla sanzione pecuniaria, l’azienda è stata obbligata a interrompere immediatamente l’uso del software di backup per le e-mail dei dipendenti e a cancellare tutti i dati raccolti in modo illegittimo. Inoltre, il Garante ha richiesto che l’azienda riveda tutte le sue politiche di trattamento dei dati personali e modifichi le procedure interne in modo da garantire il rispetto delle normative vigenti in futuro. Questo include la necessità di un’informativa più trasparente e di misure che riducano l’invasività dei controlli.
Le prescrizione che l’azienda deve rispettare
Il provvedimento del Garante non si è limitato alla sanzione, ma ha incluso una serie di prescrizioni vincolanti che l’azienda dovrà rispettare. In primis, ha ribadito l’importanza di fornire ai propri lavoratori un’informativa chiara e dettagliata su come verranno trattati i loro dati personali, incluse le modalità di monitoraggio delle e-mail.
Ogni controllo, infatti, deve essere accompagnato da una comunicazione preventiva che indichi quali dati saranno trattati, per quanto tempo e con quali finalità. Il datore di lavoro, inoltre, è tenuto a rispettare il principio di proporzionalità, secondo cui il monitoraggio deve essere limitato alle circostanze strettamente necessarie e non può essere generalizzato o indiscriminato.
Un altro punto saliente delle prescrizioni riguarda il principio di minimizzazione, che impone di raccogliere solo i dati indispensabili per lo scopo legittimo dichiarato. Questo significa che l’azienda non può conservare le e-mail per un tempo indeterminato o senza un motivo specifico, né può monitorare le comunicazioni dei dipendenti senza un fondato sospetto di irregolarità. Il monitoraggio deve essere sempre proporzionato e giustificato, evitando controlli eccessivi che invadono la sfera privata del lavoratore.
Il Garante ha poi richiesto l’adozione di strumenti tecnici adeguati, affinché ogni accesso alla posta elettronica aziendale dei dipendenti sia documentato e tracciabile. In tal modo, qualsiasi controllo effettuato sarà trasparente e verificabile, riducendo il rischio di abusi e garantendo che i diritti dei lavoratori vengano rispettati. L’azienda dovrà dimostrare di aver implementato le modifiche richieste entro un termine stabilito, pena ulteriori sanzioni.
Il provvedimento è particolarmente rilevante poiché rappresenta un monito per tutte le imprese che adottano sistemi di monitoraggio delle email e delle comunicazioni aziendali. Il Garante ha chiarito ancora una volta che la sicurezza aziendale non può essere utilizzata come scusa per violare i diritti fondamentali dei lavoratori e che ogni trattamento di dati personali deve essere effettuato nel rispetto delle norme sulla privacy e con il massimo grado di trasparenza.