Divieto di controllo indiscriminato su mail aziendali e smartphone

 Avv. Francesca Frezza

Il datore di lavoro non può effettuare un controllo “massivo, prolungato e indiscriminato” all’attività del lavoratore.

E’ quanto previsto dal Garante della privacy con provvedimento n. 547 del 22 dicembre 2016, che ha dichiarato illegittimo il trattamento dei dati effettuato da una multinazionale.

Il Garante ha evidenziato, infatti, che il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti dei dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

Il provvedimento viene emesso all’esito di un reclamo promosso da un dipendente che lamentava un illegittimo trattamento effettuato dal datore di lavoro, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto sia dopo la sua risoluzione.

All’esito dell’istruttoria è emerso che la società non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati.

Con riferimento ai trattamenti di dati effettuati attraverso l’account di posta elettronica aziendale è emerso nel corso del procedimento che la società aveva raccolto i dati contenuti nelle e-mail  in transito sull’account sia nel corso del rapporto di lavoro che successivamente alla sua cessazione, quantomeno fino all’esaurimento della procedura di cancellazione dell’account (sei mesi dalla cessazione del rapporto di lavoro).

Emergeva altresì che tale procedura di cancellazione e di effettiva disattivazione era strutturata in modo da conservare copia di tutta la corrispondenza per ben dieci anni.

Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi anche di carattere privato.

E’ stato accertato inoltre, che il titolare del trattamento poteva accedere alle informazioni contenute negli smartphone in dotazione ai dipendenti, di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante, pertanto, ha affermato che “la raccolta sistematica delle comunicazioni elettroniche, la loro memorizzazione per un periodo di dieci anni e la possibilità di accedervi all’esito di una procedura, consente alla società di effettuare il controllo dell’attività dei dipendenti. Ciò risulta in contrasto con la disciplina di settore in materia di controlli a distanza. Tale disciplina, infatti, pure a seguito delle modifiche disposte con l’art. 23 del d.lgs. 14 settembre 2015 n. 151, non consente l’effettuazione di attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore”.