E-mail_protezione_dati

Accesso e-mail dei dipendenti: Garante Privacy, no ad uso indiscriminato di software di backup

359 0

Il Garante Privacy ha comminato una sanzione di 80mila euro a un’azienda che effettuava i backup della posta ai propri dipendenti durante il rapporto di lavoro. Oltre alla sanzione, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.

Il caso ha riguardato un reclamo presentato da un agente di commercio contro una società che, nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale.

  • Il Garante ne approfitta per ricordare i limiti del potere di controllo del Datore di lavoro rispetto alle caselle mail dei dipendenti.

Posta elettronica: no ad accesso alla Posta e a software di archiviazione e controllo

Il Garante nel Provvedimento del 17 luglio 2024 afferma e ricorda che il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi. Tale trattamento di dati personali, oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore.

Inoltre, il Garante ha riscontrato una carenza informativa ai lavoratori circa il trattamento della Posta: si prevedeva infatti che il datore di lavoro potesse accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.

Conservazione della posta elettronica e dei log in di accesso: limiti temporali e modalità

Nella pronuncia il Garante ha affermato che la sistematica conservazione delle email – effettuata per un considerevole periodo di tempo (pari a tre anni successivamente alla cessazione del rapporto) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla disciplina di protezione dei dati.

Tale conservazione, infatti, risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.

Software di backup ed uso non conforme

Il software di Backup, scrive il Garante, è stato utilizzato per finalità diverse da quella di garantire la sicurezza dei sistemi informatici. Infatti, nel caso di specie, la Società ha analizzato le e-mail presenti sull’account del reclamante, ne ha verificato il contenuto e avviato il contenzioso.

Secondo il Garante, tale attività permetteva anzi, alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.

Software di backup della posta: quando l’uso è legittimo?

L’utilizzo del software, in questa fattispecie, risulta in contrasto con i principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del Regolamento RGDP.

Ma quando è legittimo?

Il Garante richiama la disciplina europea in materia di protezione dei dati personali nell’ambito di rapporti di lavoro/collaborazione.

Il titolare può trattare lecitamente i dati personali, di regola, solo se il trattamento è necessario per la gestione del rapporto stesso oppure se è necessario per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili (art. 6, par. 1, lett. a) e c) del Regolamento, con riferimento ai dati c.d. comuni), e comunque può trattare solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattate e per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Accesso alle mail dei dipendenti e violazione del Codice privacy

Il Garante riscontra una violazione anche dell’art.114 del Codice in materia di dati personali, (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101) ed afferma che il trattamento che la Società effettua in qualità di datore di lavoro sui dati contenuti nelle caselle di posta elettronica (ad esempio a seguito della conservazione delle e-mail ricevute e inviate durante l’attività lavorativa) assegnate ai propri dipendenti è idoneo a consentire un’attività di controllo sull’attività dei lavoratori in violazione di quanto previsto dall’art. 4 della legge n. 300 del 20/05/1970, norma richiamata dall’art. 114 del Codice.

In base all’art. 114 del Codice, infatti, il rispetto della disposizione di cui all’art. 4 della citata legge n. 300/1970 costituisce condizione di liceità dei trattamenti di dati personali effettuati in ambito lavorativo, in quanto è una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento (v. artt. 5, par. 1, lett. a) e 88 del Regolamento).

Come accedere alle email dei propri dipendenti? le indicazioni del Garante

Ricordiamo che nel giugno scorso il Garante della protezione dei dati personali ha aggiornato il proprio Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati sulla gestione della posta elettronica attraverso programmi forniti anche in modalità cloud.

Il Documento, che si rivolge a datori di lavoro pubblici e privati e ai produttori degli applicativi, affronta alcune criticità emerse relative ai metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).

Scopri di più sulle news sotto

Diritto di Internet e protezione dei Dati: volumi e corsi di formazione per i professionisti della security

Per informarti sui temi della protezione dei dati sul web, InSic suggerisce fra i libri di EPC Editore in materia di Security e Privacy, i seguenti titoli:

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara

Libro

Edizione: marzo 2021

Pagine: 384

Formato: 150×210 mm

Le nuove disposizioni nazionali sulla protezione dei dati personali

Iaselli Michele

Libro

Edizione: novembre 2018

Pagine: 136

Formato: 170×240 mm

La protezione dei dati nella piccola e media impresa

Biasiotti Adalberto

Libro

Edizione: novembre 2018 (II ed.)

Pagine: 352

Formato: 150×210 mm

€ 23,75

Il nuovo regolamento europeo sulla protezione dei dati

Biasiotti Adalberto

Libro

Edizione: novembre 2018 (IV ed.)

Pagine: 1072

Formato: 170×240 mm

KIT PROTEZIONE DEI DATI: libro + corso di formazione + informazione per gli incaricati

Libro

Edizione: 2018

Pagine: per un totale di 1.300 pagine

Formato: volumi in brossura

InSic suggerisce fra i Corsi a catalogo in materia di Security, I.C.T. e Privacy il segue corso:

Valutazione e applicazione delle sanzioni nel Regolamento europeo per la protezione dei dati

Valido come Aggiornamento per il mantenimento delle Certificazioni “DPO” e “Professionista della security aziendale” rilasciate da ICMQ/CERSA – 8 crediti formativi
INFORMA- Roma

Antonio Mazzuca

Coordinamento editoriale Portale InSic.it -redattore giuridico Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in "Gestione integrata di salute e sicurezza nell'evoluzione del mondo del lavoro" INAIL-Sapienza (I° Ed. 2018-19). Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore. Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro. Content editor e Social media per InSic.it su Linkedin e X (ex Twitter). Contatti: Linkedin Mail: a.mazzuca@insic.it