Garante Privacy: stop al software che accede all’email del dipendente
Con un recente provvedimento (v. Newsletter del Garante del 22 ottobre 2024 qui), il Garante Privacy ha sanzionato un’azienda al pagamento di 80mila euro per aver effettuato i backup della posta elettronica di un collaboratore durante il rapporto di lavoro, affermando che il datore di lavoro non può accedere alla posta elettronica del dipendente né utilizzare un software per conservare una copia dei messaggi.
Il Garante, intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software (”MailStore”), aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale. L’Azienda aveva poi utilizzato le informazioni raccolte in un contenzioso contro il lavoratore.
In primo luogo, l’Autorità ha appurato che, a fronte del trattamento svolto, che ha riguardato prevalentemente i dati contenuti nella casella di posta elettronica, è risultato che l’informativa resa dalla Società era inidonea e incompleta nel rappresentare compiutamente le caratteristiche e le modalità dei trattamenti svolti. Il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.
Il Garante, inoltre, ha accertato che la Società, per mezzo di un dispositivo software di back up denominato Mail Store, conservava le email in modo sistematico e automatico per un periodo di tempo pari a tre anni, dopo la cessazione dei rapporti lavorativi, e i file di log di accesso per ben 6 mesi, senza motivarne le specifiche ragioni. Tale trattamento risultava quindi non proporzionato e necessario al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
Secondo il Garante, il trattamento realizzato dalla Società le ha consentito di ricostruire l’attività dell’interessato, anche a distanza di tempo, effettuando un controllo illecito sull’attività lavorativa, e ciò in contrasto con i principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del GDPR).
Per quanto riguarda, infine, l’uso dei dati in un procedimento giudiziale, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate come in questo caso.
Oltre alla sanzione sopra indicata, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.