Abbiamo già parlato in precedenza delle nuove disposizioni in tema di e-mail aziendale per la tutela della privacy dei dipendenti.
Ebbene il Garante torna sul tema dell’uso della posta elettronica sul luogo di lavoro, con un focus particolare sulle modalità ed i tempi di conservazione del contenuto delle e-mail estendendo le tutele anche ai rapporti di collaborazione.
Approfondiamo di seguito le novità.
Ebbene il Garante torna sul tema dell’uso della posta elettronica sul luogo di lavoro, con un focus particolare sulle modalità ed i tempi di conservazione del contenuto delle e-mail estendendo le tutele anche ai rapporti di collaborazione.
Approfondiamo di seguito le novità.
EMAIL AZIENDALI E PRIVACY: IL CASO CONCRETO
Un agente di commercio che prestava la sua attività in favore di un’azienda, viene dotato in costanza del rapporto di lavoro, di un account di posta elettronica aziendale di tipo individualizzato.
Come espressamente previsto dall’informativa e dalla policy consegnata all’interessato in costanza proprio di quel rapporto, l’azienda risultava titolata a conservare sia il contenuto delle e-mail, anche per un periodo successivo alla cessazione del rapporto e nel caso di specie fissato in tre anni, sia i file di log di accesso al gestionale ed alle mail medesime, all’incirca per un periodo di 6 mesi, sulla base di dichiarate esigenze di sicurezza informatica e di continuità organizzativa.
Cessato il rapporto, la committente/titolare del trattamento, mediante una indagine forense gestita da un soggetto terzo, scopre che la mail aziendale in questione sarebbe stata utilizzata dall’agente per sottrarre dati segreti e svolgere attività di concorrenza sleale.
L’azienda avvia quindi un’azione nei confronti dell’agente, che di suo contro reagisce presentando un reclamo al Garante lamentando l’utilizzazione in giudizio delle e-mail in maniera indebita poiché conservate in realtà in maniera illiceità.
A seguito del reclamo presentato dall’agente di commercio, il Garante della Privacy è intervenuto chiarendo come il datore di lavoro non possa in nessun caso accedere all’email dei dipendenti o comunque alla posta elettronica dello stesso, che sia egli dipendente o collaboratore, né può utilizzare un software per conservare una copia dei messaggi.
L’autorità ha infatti dichiarato che “Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore”.
L’Autorità ha, difatti, sempre affermato nei propri provvedimenti che, per assicurare l’ordinario svolgimento e la continuità dell’attività aziendale, è necessario predisporre sistemi di gestione documentale in grado di archiviare e conservare i documenti, ma tali modalità devono essere idonee a “garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità”.
Tali caratteristiche però è chiaro come non si riscontrino nei sistemi di posta elettronica che, infatti, rispondono ad altre finalità.
In particolare, nel caso concreto l’Autorità ha appurato l’inidoneità e la carenza dell’informativa resa ai lavoratori, in quanto il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale ed in caso di loro assenza o cessazione del rapporto.
Senza citare l’effettuazione del backup e il relativo tempo di conservazione.
EMAIL AZIENDALI E PRIVACY: COSA CAMBIA RISPETTO AL RAPPORTO DI LAVORO DIPENDENTE
Nel caso di specie ci troviamo in un’area differente, trattasi infatti di para-subordinazione, completamente diversa rispetto a quella del rapporto di lavoro dipendente.
In qualsiasi forma di collaborazione coordinata e continuativa, non trovano quindi applicazione le disposizioni disegnate dal Legislatore a tutela dei lavoratori dipendenti.
Stanti i principi generali indiscutibili in termini di tutela della dignità e riservatezza del collaboratore, è chiaro come non sia pensabile l’applicazione diretta ai rapporti di agenzia delle norme contenute nello Statuto dei Lavoratori e nello specifico dell’art. 4 sui cd. controlli a distanza.
Se infatti, come noto, in esito alle modifiche introdotte dal Jobs Act, la legittimità di qualsiasi apparecchiatura che consenta indirettamente il controllo sull’attività dei lavoratori dipendenti e che non sia qualificabile come strumento di lavoro è subordinata al previo accordo sindacale con le rappresentanze sindacali aziendali, questa stessa dinamica appare strutturalmente incompatibile con la para-subordinazione.
Ed il fatto che si tratti di una disposizione la cui violazione comporta anche una sanzione penale inibisce qualsiasi forma di estensione analogica in virtù del principio di stretta legalità.
Delineato il campo, il provvedimento del Garante, che richiama tesi già note dell’Autorità sul tema generale dell’uso delle e-mail sul posto di lavoro, ha determinato che la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo pari a tre anni successivamente alla cessazione del rapporto, e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori “non erano conformi alla disciplina di protezione dei dati”.
Infatti, si tratta di una conservazione “non proporzionata e necessaria al conseguimento delle finalità” dichiarate dalla Società e quindi volta a garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
Pertanto, i controlli e metodi di archiviazione che avevano permesso alla società sanzionata di ricostruire, minuziosamente l’attività del collaboratore ha fatto si che la stessa intercorresse in una forma di controllo vietata dallo Statuto dei lavoratori.
EMAIL AZIENDALI E PRIVACY: CONCLUSIONI
In conclusione, la società in questione è stata sanzionata per 80 mila euro.
Il Garante ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla e-mail e al gestionale aziendale.
La raccolta di informazioni, poi utilizzate dalla società nel contenzioso, a seguito del trattamento che la società ha effettuato in qualità di datore di lavoro sui dati contenuti nelle caselle di posta elettronica assegnate ai propri dipendenti, ha configurato un’attività di controllo sull’attività dei lavoratori in violazione di quanto previsto dall’art. 4 della legge n. 300 del 20/05/1970, norma richiamata dall’art. 114 del Codice.
Proprio con riferimento ai profili di violazione dell’art. 114 del Codice, l’Autorità osserva che “il software utilizzato dalla società (fino alla dichiarata sospensione del suo utilizzo), proprio per le sue caratteristiche (così come descritte dalla parte e vista l’informativa rilasciata ai lavoratori), è idoneo a realizzare un controllo dell’attività lavorativa”.
Oltre alla sanzione, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.
Accanto alla lista delle azioni vietate ribadite dal Garante, il provvedimento in commento contiene poi un principio innovativo, ritenendo illegittimo il trattamento posto in essere dalla committente/titolare del trattamento non solo con riguardo ai principi generali citati, ma anche perché posto in essere in “in violazione dell’art. 114 del Codice Privacy” che, come noto, richiama l’art. 4 L. 300/70.
Se vuoi avere informazioni sulla gestione della privacy, relativamente alla tua attività imprenditoriale, contattaci subito.
Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila il modulo che trovi di seguito.
