Garante privacy: no al controllo indiscriminato delle email aziendali

TMT and Data Protection

Il Garante privacy italiano, con provvedimento n. 53 del 1 febbraio 2018, è intervenuto sul tema del trattamento di dati personali effettuato sugli account di posta elettronica aziendale, stabilendo che le società non possono effettuare un controllo massivo e una conservazione illimitata delle email aziendali dei propri dipendenti. La società, come precisato dal Garante, deve limitarsi a conservare informazioni ai soli fini della tutela dei diritti in un eventuale giudizio pendente. Nel caso di specie l’Autorità si è pronunciata su un reclamo presentato da un dipendente di una società che – a seguito di un provvedimento disciplinare comminatogli, cui era seguito il licenziamento – ha segnalato al Garante che la società in questione accedeva ai dati personali contenuti nelle email, anche di natura privata, scambiate dal reclamante con alcuni colleghi. La società, infatti, conservava sui server aziendali tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti per l’intera durata del rapporto di lavoro e anche successivamente all’interruzione dello stesso, in vista dell’accesso al contenuto delle stesse materialmente effettuato da parte di soggetti di volta in volta dalla stessa autorizzati. La società è stata ritenuta responsabile di gravi violazioni dall’Autorità, non solo per non aver comunicato ai propri dipendenti le modalità e le finalità di raccolta e conservazione dei suddetti dati, ma, anche per averli mantenuti successivamente all’interruzione del rapporto, violando in tal modo i principi di liceità, necessità e proporzionalità previsti dalla normativa in materia di protezione dei dati personali. A parere del Garante la società si sarebbe dovuta astenere dall’espletare un tale controllo invasivo – peraltro vietato dalla disciplina giuslavorista – nei confronti dei propri dipendenti ovvero avrebbe dovuto ideare un sistema di gestione che consentisse esclusivamente l’accesso al contenuto delle email strettamente necessario alle finalità di volta in volta perseguite, previo avviso del dipendente tramite apposita informativa o policy aziendale, e che prevedesse la relativa cancellazione a seguito del raggiungimento dello scopo.