Il Garante della Privacy ribadisce il divieto di controllo indiscriminato su e-mail e smartphone aziendali
Con provvedimento dello scorso 22 dicembre 2016, il Garante della Privacy ha accolto un reclamo presentato da un ex dipendente il quale aveva lamentato l’illegittimità del trattamento dei propri dati personali da parte dell’azienda per cui aveva lavorato, sia durante il rapporto lavorativo che dopo la sua cessazione.
Il reclamante aveva contestato, da un lato, l’accesso e l’archiviazione indiscriminati dei dati contenuti nel suo account email aziendale– account, peraltro, rimasto attivo ben oltre il suo licenziamento – dall’altro, la possibilità per l’azienda, tramite il proprio dipartimento IT, di accedere e controllare da remoto i file contenuti nello smartphone aziendale posto a sua esclusiva disposizione, anche per fini diversi dalla manutenzione del dispositivo.
Con riferimento ai dati contenuti nell’account email, il Garante ha rilevato che la società non avesse fornito al reclamante alcuna informativa – nemmeno all’interno di alcune policy aziendali esistenti relative all’uso degli strumenti informatici a disposizione dei lavoratori – circa: i) la conservazione sui server aziendali, per ben dieci anni, di tutte le email transitate sull’account; ii) il fatto che l’account, in caso di interruzione del rapporto lavorativo, sarebbe stato cancellato solo entro sei mesi dalla data della stessa; iii) l’esistenza di una procedura in grado di consentire l’accesso ai dati contenuti nei server aziendali. Ha, poi, evidenziato come, a prescindere dalla mancata informativa, la conservazione indiscriminata per dieci anni da parte della società di tutte le email scambiate dal reclamante costituisse in ogni caso un trattamento di dati illegittimo, essendo del tutto sproporzionata rispetto alle “ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi di dati” rivendicate dalla società.
Allo stesso modo, anche il trattamento di dati posto in essere dalla società successivamente al licenziamento del reclamante è stato ritenuto illegittimo. Il Garante ha, infatti, stabilito che, in virtù del principio secondo cui “l‘interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività (…) deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti nonché dei terzi”, gli account aziendali riconducibili a singoli dipendenti dopo l’interruzione dei rispettivi rapporti lavorativi debbano essere tempestivamente disattivati, prevedendo sistemi automatici di risposta che informino i terzi dell’imminente loro disattivazione; precauzioni di certo non rispettate dal datore di lavoro nel caso di specie, avendo questo, da un lato, mantenuto attivo l’account email del reclamante per molto tempo dopo l’interruzione del rapporto lavorativo, dall’altro, previsto un meccanismo di risposta automatica indicante ai terzi la non attività dello stesso account, senza che questo fosse stato in realtà ancora disattivato.
La condotta di quest’ultimo, peraltro, non è stata ritenuta conferme nemmeno alla normativa relativa ai controlli a distanza sull’attività dei lavoratori, che – come è noto – pur riconoscendo al datore la facoltà di verificare a distanza l’esatto adempimento della prestazione lavorativa del dipendente, nonostante la recente parziale riforma dell’articolo 4 dello Statuto dei Lavoratori, vieta comunque il controllo massivo, prolungato e indiscriminato delle attività dei dipendenti, al fine di salvaguardarne libertà e dignità. La raccolta sistematica delle email del reclamante, la loro memorizzazione per dieci anni e la possibilità per la società datrice di accedervi, infatti, consentivano come tali un controllo sulle attività lavorative svolte dallo stesso reclamante contrarie al divieto contenuto nell’articolo 4.
Con riguardo all’accesso e al controllo dei file (potenzialmente anche personali) salvati dal reclamante sullo smartphone aziendale, poi, il Garante ha rilevato che, nonostante il documento informativo sull’uso dello stesso – comunque ritenuto carente – riconoscesse la possibilità in capo alla società di accedere, conservare senza limiti di tempo e cancellare da remoto i dati contenuti sul dispositivo, il trattamento posto in essere non fosse comunque conforme ai principi di liceità, necessità, pertinenza e non eccedenza, dal momento che tale possibilità veniva ammessa “in occasione del verificarsi di eventi genericamente indicati ed in assenza della predisposizione di alcuna procedura di garanzia”. Sotto un altro profilo – come già rilevato per il trattamento dei dati contenuti nelle email aziendali – una simile possibilità di accesso e controllo dei dati da remoto secondo il Garante viola il divieto di controllo sistematico e massivo dell’attività dei dipendenti da parte del datore di lavoro.
Il Garante ha vietato pertanto alla società resistente di proseguire il trattamento dei dati contestato, fatta salva la possibilità di conservarli per la sola finalità della difesa in giudizio in un eventuale contenzioso col lavoratore licenziato, disponendo, al contempo, l’avvio di un autonomo procedimento volto a verificare l’applicazione di eventuali sanzioni amministrative a suo carico.