Spiare l’email è controllo a distanza

Con il provvedimento 53/2018 il Garante della privacy pone un freno alla prassi di molti datori lavoro di conservare in modo massivo le email scambiate dai dipendenti attraverso gli account di posta aziendale.

Un lavoratore ha evidenziato che, in occasione dei controlli effettuati sul contenuto della corrispondenza elettronica di un altro dipendente, il datore di lavoro ha avuto accesso a numerose email scambiate dall’interessato nel corso del biennio precedente, messaggi il cui contenuto - caratterizzato da «evidenti toni personali…espressioni di goliardia e…ironia fra colleghi» - sarebbe stato posto dall’azienda a fondamento di una contestazione disciplinare poi sfociata in licenziamento.

L’accesso a tali messaggi è stato possibile in quanto il datore di lavoro ha conservato sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai dipendenti per l’intera durata del rapporto di lavoro e anche successivamente.

Un siffatto operato, giustificato dall’azienda con il fine di precostituire elementi utili alla difesa in giudizio e alla tutela dei propri diritti «in vista di futuri ed eventuali contenziosi», è stato ritenuto illecito dal Garante sotto svariati profili.

In primo luogo, infatti, è risultato violato l’obbligo di informativa (articolo 13 del Dlgs 196/2003), in quanto la società non ha debitamente informato i dipendenti «circa modalità e finalità della descritta attività di raccolta e conservazione dei dati relativi all’utilizzo della posta elettronica, né con informativa individualizzata né con la messa a disposizione della policy aziendale».

In secondo luogo, la conservazione sistematica di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, «anche in vista di possibili contenziosi, per l’intera durata del rapporto di lavoro e successivamente all’interruzione dello stesso», non è risultata conforme ai principi di liceità, necessità e proporzionalità del trattamento (articoli 3 e 11 del Dlgs 196/2003).

Quanto, poi, al rispetto della disciplina lavoristica, il Garante ha affermato che «la raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio, la loro memorizzazione per un periodo non predeterminato e comunque, allo stato, amplissimo e la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto e in termini generali» consentiva alla società di effettuare un vero e proprio controllo a distanza dell’attività dei dipendenti, risultando perciò - in assenza di procedura autorizzativa - «in contrasto con la disciplina di settore in materia» (articolo 4 dello statuto dei lavoratori).

Con riferimento, infine, ai trattamenti effettuati dopo la cessazione del rapporto di lavoro, il Garante ha ribadito quanto già espresso in precedenti occasioni (provvedimenti 456/2015, 136/2015 e 551/2014), ossia che «gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi», mentre non è risultata conforme ai suesposti principi la procedura adottata dall’azienda consistente nel mantenere temporaneamente attivi gli account in questione.