data privacy framework

Un agente di commercio ha sporto reclamo all’Autorità Garante per la protezione dei dati, lamentando che la società per la quale lavorava, aveva mantenuto attivo l’account di posta elettronica aziendale di tipo individualizzato, a lui assegnato in costanza del rapporto di collaborazione anche dopo la cessazione del rapporto di lavoro, accedendo al contenuto di tutta la corrispondenza in transito sul predetto account che, infatti, veniva prodotta nel corso di un giudizio instaurato dinanzi al Tribunale.

Il Garante è intervenuto e ha accertato che la società, attraverso un software, aveva effettuato il backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale. Durante l’istruttoria è emerso che la Società ha incaricato uno studio di ingegneria forense di svolgere un’attività di indagine sul contenuto della posta elettronica del reclamante utilizzando l’applicativo Mail Store (installato sui pc aziendali).

L’Autorità ha appurato, inoltre, l’inidoneità e la carenza dell’informativa resa ai lavoratori. La società aveva un documento “Attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e strumenti di registrazione degli accessi e delle presenze – Modalità e limiti di impiego” che allegava all’informativa consegnata al reclamante in qualità di collaboratore e rivolto anche ai dipendenti della Società, che prevedeva la possibilità, per il datore di lavoro, di accedere all’email dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.

Nel definire il procedimento, il Garante ha affermato che la sistematica conservazione delle email – effettuata per un considerevole periodo di tempo (pari a tre anni successivamente alla cessazione del rapporto) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla disciplina di protezione dei dati.

Tale conservazione:

  • risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale
  • aveva consentito alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori

Per quanto riguarda infine l’uso dei dati in Tribunale, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate come in questo caso.

Il Garante ha comminato alla società una sanzione da 80.000 euro e ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.

Riferimenti: provvedimento GPDP n. 472/2024.