Privacy dei dipendenti: controlli e conservazione dei dati su e-mail e smartphone aziendali

Lo scorso 17 febbraio, il Garante della Privacy ha diffuso un importante provvedimento (n. 547 del 22 dicembre 2016)relativo alla privacy dei dipendenti, che ha, di fatto, confermato l’orientamento applicativo formatosi nella prassi secondo cui il datore di lavoro non è legittimato ad accedere in maniera indiscriminata alla posta elettronica aziendale e ai dati personali contenuti negli smartphone forniti al personale dipendente.
In tali fattispecie il datore di lavoro, pur avendo la facoltà di operare delle verifiche circa l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve necessariamente operare un bilanciamento tra i propri interessi e la necessità di salvaguardare la libertà, la dignità dei lavoratori ed il rispetto delle disposizioni normative applicabili.

Dal punto di vista concreto, il provvedimento del Garante della Privacy trae origine da un reclamo promosso da un lavoratore che lamentava di aver subito un trattamento illegittimo da parte del proprio datore di lavoro, sia in costanza di rapporto che a seguito della cessazione dello stesso. L’illegittimità del trattamento si riferiva, nello specifico, alla presunta violazione di diverse norme del Codice della Privacytra cui l’acquisizione di informazioni, anche di natura privata, contenute nell’account di posta elettronica aziendale e nello smartphone assegnatoli dall’azienda.
A seguito dell’istruttoria e dei riscontri posti in essere dal Garante della Privacy è, altresì, emerso che:
ai lavoratori non era stata fornita una adeguata informativa in merito alle modalità e alle finalità di utilizzo degli strumenti elettronici in dotazione, né in riferimento al processo di acquisizione e trattamento dei relativi dati;
la società poteva accedere da remoto, non solo per attività di manutenzione, alle informazioni contenute negli smartphone in dotazione ai lavoratori;
le caselle di posta elettronica venivano mantenute attive fino a sei mesi dopo la cessazione del rapporto di lavoro senza consentire, all’ormai ex personale dipendente, di consultarle e/o di informare i mittenti che l’eventuale corrispondenza inviata non sarebbe stata visionata dal legittimo destinatario; il datore di lavoro aveva adottato una configurazione del sistema di posta elettronica tale per cui veniva conservata copia della corrispondenza e-mail per un periodo di dieci anni.
Alla luce di quanto sopra, il Garante della Privacy ha avuto modo di affermare, in primo luogo, l’illiceità del comportamento datoriale atto a raccogliere i dati delle comunicazioni elettroniche in transito sull’account di posta elettronica del lavoratore in corso e dopo la cessazione del rapporto di lavoro, senza avergli preventivamente consegnato adeguata informativa in merito alle modalità, alle finalità di raccolta/conservazione dei dati e alle tempistiche di disattivazione dell’account stesso.
L’Autorità per la Privacy ha ritenuto, altresì, illecita la possibilità del datore di lavoro di riservarsi la facoltà di accedere da remoto ai dati contenuti nello smartphone aziendale, se la stessa non è regolamentata da procedure apposite che attestino il rispetto dei principi di necessità, liceità, pertinenza e non eccedenza del trattamento dei dati (Cfr. art. 11 del Codice della Privacy).
Infine, il Garante, ha ritenuto opportuno censurare la durata eccessiva del periodo di conservazione, sui sistemi informatici aziendali, dei dati e dei contenuti delle comunicazioni elettroniche afferenti al lavoratore in quanto non sorretta da alcuna ragione giustificatrice in ordine ad “esigenze di ordinaria gestione dei sevizi di posta elettronica” e/o “esigenze di sicurezza dei sistemi”. Sul punto è opportuno rammentare che al datore di lavoro, nonostante le modifiche apportate dal D.lgs. n. 151/2015 in materia di controlli a distanza, non è consentito porre in essere delle attività volte a configurare, anche direttamente, un controllo massivo, prolungato ed indiscriminato dell’attività del lavoratore (Cfr. sul punto le “linee guida del Garante per posta elettronica ed internet” e la Raccomandazione del Consiglio d’Europa del primo aprile 2015 “CM/Rec 2015-5”).
L’orientamento espresso dal Garante della Privacy conferma, dunque, l’importanza per il datore di lavoro di dotarsi di adeguate policy dirette a disciplinare l’utilizzo degli strumenti di lavoro aziendali (ad es. PC, Notebook, tablet, smartphone, e-mail ecc.) nonché di fornire un’adeguata informativa in merito alle modalità di acquisizione e trattamento dei relativi dati, al fine di garantire un utilizzo legittimo degli stessi e non incorrere in sanzioni.