Con provvedimento n. 472 del 17 luglio 2024, pubblicato il 22 ottobre, il Garante per la Protezione dei Dati Personali (in seguito, il “Garante” o l’“Autorità”) ha sanzionato per 80 mila euro la società che, durante il rapporto di lavoro e tramite un apposito software, aveva effettuato il backup della posta elettronica del collaboratore conservando sia i contenuti che i file di log, informazioni che erano poi state utilizzate in giudizio.
I fatti alla base del provvedimento
Un agente di commercio, ex collaboratore della società in questione, aveva presentato un reclamo al Garante, rappresentando che, anche a seguito dell’interruzione del suo rapporto lavorativo con la società, il suo account e-mail aziendale era stato mantenuto attivo; ciò aveva consentito alla società di accedere al contenuto della corrispondenza e di produrla successivamente in un giudizio incardinato innanzi al Tribunale di Venezia.
Alla richiesta di informazioni dell’Autorità, la società aveva risposto di non aver mai fatto accesso alla casella e-mail durante il periodo di collaborazione del reclamante, ma di eseguire periodicamente – e con modalità automatiche – il backup delle caselle di posta, tramite il software “MailStore”; tale backup rimane conservato per un periodo massimo di tre anni dopo la cessazione del rapporto lavorativo. La società aveva aggiunto che, nei confronti dell’ex collaboratore, era stata avviata un’azione giudiziaria per il sospetto di sottrazione di informazioni riservate e segreti aziendali. Sul punto, aveva incaricato uno studio di ingegneria forense affinché verificasse che tali dati non fossero stati esfiltrati dall’interessato durante il periodo lavorativo, fornendogli una copia del suddetto backup. La società aveva anche ricordato che l’account e-mail in questione era stato disattivato dopo neanche due settimane dall’interruzione del rapporto lavorativo.
La società aveva poi fatto presente di aver fornito al reclamante un apposito documento, denominato “attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze”, nel quale erano puntualizzati alcuni aspetti:
-
in caso di cessazione dell’attività lavorativa, la società si sarebbe riservata di accedere alla casella e-mail per consentire la continuità lavorativa;
-
il sistema informativo utilizzato registra gli accessi alla casella e-mail, elaborando dei file di log conservati dal sistema per almeno sei mesi;
-
in conformità all’art. 4 della Legge n. 300/1970 (“Statuto dei Lavoratori”) e dell’art. 13 del Regolamento 2016/679 (“GDPR”), i lavoratori erano informati che tali strumenti fossero idonei ad attuare un controllo a distanza della prestazione lavorativa;
-
se ritenuto utile o necessario, la società avrebbe potuto effettuare verifiche a campione peer accertare la correttezza della prestazione lavorativa o controlli per appurare il regolare utilizzo degli strumenti lavorativi.
Infine, la società ha ribadito il fatto che il trattamento dei dati sarebbe avvenuto nel rispetto dei principi di pertinenza e non eccedenza, invocando come base giuridica il diritto di tutelare i propri diritti in caso di sospetto di sottrazione di segreti commerciali.
La fase istruttoria e la sanzione del Garante
All’esito della fase istruttoria, il Garante ha accertato che le operazioni di trattamento compiute dalla società in qualità di titolare non sono risultate conformi alla normativa vigente. In particolare, l’Autorità ha stabilito che la società avesse violato, in primo luogo, il principio di correttezza, ai sensi del combinato disposto dell’art. 5 par. 1 lett. a) e dell’art. 13 del GDPR.
Infatti, l’informativa resa all’interessato è risultata inidonea e incompleta nel rappresentare compiutamente le caratteristiche e le modalità dei trattamenti svolti, con particolare riferimento ai tempi di conservazione dei dati relativi all’e-mail e alle modalità con le quali la società ha effettuato i controlli in qualità di titolare. Al collaboratore non era stata fornita alcuna informazione circa il backup della casella di posta e la conservazione del suo contenuto in seguito alla cessazione del rapporto lavorativo, prevista per un periodo di tre anni. Inoltre, il Garante ha ricordato che, al contrario di quanto affermato dalla società, per garantire la continuità dell’attività aziendale non è possibile prevedere l’accesso alle e-mail dei propri collaboratori, ma occorre implementare sistemi di gestione che consentano di archiviare e conservare i documenti, come prescritto dalla normativa di settore.
Il Garante ha rilevato che il perseguimento della finalità della sicurezza dei sistemi informatici non può legittimare la conservazione dei dati per un periodo di tempo così prolungato, pari almeno alla durata del rapporto di lavoro e a tre anni dopo la cessazione. Peraltro, l’Autorità ha accertato che il software sia stato utilizzato per finalità diverse, perché la società aveva analizzato le e-mail per verificarne il contenuto – in spregio delle cautele prescritte dallo Statuto dei Lavoratori – e per dare avvio ad un’azione giudiziaria. Sul punto, il Garante ha precisato che “il trattamento dei dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi già in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti”. La società, inoltre, non ha argomentato le ragioni in virtù delle quali ha ritenuto necessario conservare i log di accesso alla posta elettronica e al gestionale in uso ai propri collaboratori per il periodo di 6 mesi. Di conseguenza, le operazioni di trattamento svolte tramite il software sono risultate in violazione dei principi di liceità, minimizzazione e limitazione della conservazione, in violazione dell’art. 5 par. 1 lett. a), c) ed e) del GDPR e della disciplina in materia di controlli a distanza, di cui all’art. 88 del GDPR e 114 del d. lgs. 196/2003 (“Codice Privacy”), che richiama l’art. 4 dello Statuto dei Lavoratori.
Infatti, il trattamento compiuto tramite il software ha consentito di ricostruire minuziosamente, anche a distanza di tempo, l’attività dei lavoratori, sia tramite le comunicazioni inviate per e-mail che per mezzo dei file di log.
L’Autorità, dopo aver la violazione di tali principi, ha disposto il divieto dell’ulteriore trattamento dei dati tramite il software ed ha, pertanto, comminato una sanzione di 80.000 euro ai danni della società.
Avv. Rossella Bucca e Dott. Lapo Lucani