1

Giu 2017

Il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.

Il Garante privacy lo ha ribadito in un provvedimento emesso nei confronti di una multinazionale [doc. web n. 5958296] in seguito al reclamo di un dipendente che lamentava l’illegittimo trattamento dei propri dati personali da parte della società, che aveva acquisito informazioni anche private contenute nella sua casella e-mail e nel suo cellulare aziendali, sia durante il rapporto di lavoro sia dopo il suo licenziamento.

Nel corso dell’istruttoria, in effetti, è emerso che la multinazionale aveva configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, tempo che il Garante ha ritenuto non proporzionato allo scopo della raccolta; esisteva anche una procedura che consentiva l’accesso al contenuto dei messaggi che potevano avere anche carattere privato (tanto più dal momento che la policy informatica dell’azienda consente l’uso dell’e-mail anche a scopo privato al di fuori dell’orario lavorativo).

La società, inoltre, manteneva attive le caselle e-mail per un periodo che poteva arrivare a sei mesi dalla cessazione del rapporto, senza necessariamente informare i mittenti che le comunicazioni non sarebbero più state visionate dai legittimi destinatari ma da altri soggetti.

Il datore di lavoro poteva altresì accedere da remoto ai dati contenuti nei blackberry in dotazione ai dipendenti e ciò anche al di fuori delle ordinarie operazioni di manutenzione, con la possibilità di copiarli o cancellarli e di comunicarli a terzi in violazione dei principi di liceità, necessità, pertinenza e non eccedenza del trattamento di cui agli artt. 3, 11, comma 1, lett. a), d) ed e) del Codice Privacy.

I lavoratori, infine, non erano stati adeguatamente informati sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei loro dati.

Nel vietare gli ulteriori trattamenti, il Garante ha ribadito che il datore di lavoro -pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti- deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa privacy; pure a seguito delle modifiche introdotte dal c.d. Jobs Act. Inoltre, la disciplina in materia di controlli a distanza (artt. 11 e 114 Codice Privacy e art. 4 L. 300/1970) non consente di effettuare anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore. I lavoratori, inoltre, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali e su eventuali verifiche.

Il Garante ha aperto anche un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative nei confronti della società.

Risulta, dunque, evidente ancora una volta l’importanza per le aziende di dotarsi di una policy aziendale completa in materia di gestione degli account aziendali e dei dispositivi elettronici affidati ai dipendenti, per evitare di generare una legittima aspettativa del lavoratore o di terzi di confidenzialità di quelle forme di comunicazione.