Il datore di lavoro ha diritto di accedere e conservare le email aziendali del dipendente solo dopo una preventiva informativa all’interessato circa le modalità del trattamento. Così si è espresso il Garante della privacy.

Il Garante per la protezione dei dati personali, con il recentissimo provvedimento n. 53/2018, si è occupato della dibattuta questione circa la legittimità o meno di un trattamento, posto in essere dal titolare/datore di lavoro, di dati personali ricavati dagli account di posta elettronica aziendali dei dipendenti. Il provvedimento del Garante ha preso le mosse da un reclamo pervenuto, nei confronti dell’ex datore di lavoro, da un dipendente che riteneva illecito il trattamento di dati personali posto in essere relativo ‹‹al contenuto di alcune email conservate ed utilizzate dalla Società al fine di elevare una contestazione disciplinare››.

Per completezza, occorre precisare che lo stesso dipendente aveva avviato anche un contenzioso giuslavoristico dinnanzi alla sez. Lavoro del Tribunale di Palermo con cui aveva richiesto e ottenuto la declaratoria di illegittimità del licenziamento intimatogli a seguito della contestazione disciplinare basata sulle espressioni goliardiche e colorite utilizzate nei confronti dell’azienda in una corrispondenza email intercorsa con alcuni colleghi. In principio, è opportuno far presente che il Garante, a seguito del reclamo del dipendente interessato, ha avviato una vera e propria istruttoria con tanto di audizioni, chiarimenti richiesti per iscritto ed esame documentale, all’esito della quale è stato emanato il provvedimento oggetto del nostro commento. Il Garante ha, quindi, osservato che il datore di lavoro ha potuto venire a conoscenza dei fatti divenuti oggetto di contestazione nei confronti del proprio dipendente in quanto ‹‹la Società conserva[va] sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti››. Tuttavia, secondo il giudizio espresso dal Garante, il diritto di accedere alle email aziendali del dipendente, così come il diritto di conservare tali email presuppone necessariamente l’esistenza di una preventiva informativa e la presenza di una policy in grado di assolvere alla funzione di rendere consapevole l’interessato (il dipendente nel caso de quo) circa le modalità del trattamento.

Nello specifico, il Garante ha rilevato come, invece, né l’informativa all’interessato né la policy aziendale fossero, in concreto, in grado di rispondere a questa esigenza, non essendoci in queste ‹‹alcun riferimento alla conservazione sui server aziendali… di tutte le email scambiate nel corso dell’attività lavorativa››. Ancora, il Garante ha osservato, inoltre, che la condotta della Società non poteva in alcun caso ritenersi conforme e rispettosa dei principi fondamentali di ‹‹liceità, necessità e proporzionalità del trattamento››, anche in considerazione della mancanza di chiarezza in merito alle modalità ed ai tempi di conservazione delle email dei dipendenti. Al riguardo, nel corso dell’istruttoria effettuata dal Garante, è risultato, addirittura, che il datore di lavoro aveva continuato a ricevere e a “trattare” le email pervenute all’indirizzo del dipendente interessato, anche successivamente alla conclusione del rapporto di lavoro. Peraltro, nel provvedimento oggetto di esame si evidenzia, oltre alla non conformità del trattamento oggetto del reclamo alle disposizioni in materia privacy anche la violazione dello Statuto dei Lavoratori, in quanto il comportamento del datore di lavoro si traduceva di fatto in un costante controllo a distanza dell’attività dei lavoratori in aperto contrasto con le disposizioni dell’art. 4 della Legge 300 del 1970. Alla luce delle osservazioni espresse, il Garante, ritenendo illecito il trattamento di dati personali effettuato dalla Società relativamente agli account aziendali di posta elettronica, da un lato ne ha vietato la prosecuzione, dall’altro ha richiesto alla Società, nel termine di un 30 giorni, di dare comunicazione circa le iniziative poste in essere per dare piena attuazione al provvedimento.

Il Regolamento europeo sulla protezione dei dati personali ha abolito le misure minime di sicurezza poste a base del sistema “privacy” ed elencate nell’allegato B del D.Lgs. n. 196/03. All’art. 32 il Regolamento statuisce, infatti, che il Titolare e il Responsabile del trattamento – tenuto conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento – devono mettere in atto misure idonee a “garantire un livello di sicurezza adeguato al rischio”. Ciò poiché il Titolare e il Responsabile devono essere in grado di garantire e dimostrare, appunto, d’aver fatto tutto il possibile per arginare il verificarsi di una situazione di rischio, nel rispetto del principio dell’“accountability” che lascia loro ampi margini di libertà nell’individuare le misure tecniche ed organizzative adeguate. A tal fine, sia il Titolare sia il Responsabile non potranno prescindere dall’effettuare una gap analysis ed un risk assessment, ossia una valutazione preliminare dei vari rischi. Se poi dovesse essere rilevato un rischio di impatto negativo sui diritti e sulle libertà fondamentali dell’interessato, detto rischio dovrà essere analizzato attraverso un apposito processo di valutazione (c.d. valutazione d’impatto). In tal senso dovranno – sulla base di quanto precede – essere aggiornati i protocolli relativi alla Parte Speciale del Modello 231 sui delitti informatici, anche al fine di poter dimostrare d’essere compliant con la normativa europea sulla protezione dei dati.

Alberto De Luca ha partecipato alla tavola rotonda organizzata in occasione dell’HR FORUM di Le Fonti lo scorso 31 maggio, per approfondire l’impatto su imprese e lavoratori del Nuovo Regolamento Europeo per il trattamento dei dati personali.

In particolare, l’attenzione dell’avvocato De Luca si è focalizzata sull’incidenza del regolamento privacy sulla compliance aziendale, tenendo in considerazione sia l’impatto sui modelli di organizzazione gestione e controllo sia sulla nuova normativa in tema di whistleblowing, interrogandosi circa quello che deve essere un contemperamento di interessi in tema tra il diritto del segnalante all’anonimato e del segnalato a che i suoi dati non vengano trattati senza il suo consenso.

Clicca qui per vedere la registrazione della tavola rotonda.

Lo studio legale De Luca & Partners ha lanciato un premio per le aziende più responsabili in ambito lavoro e risorse umane. Indicando questi temi come leve strategiche per le aziende. Candidature entro il 31 luglio. In giuria anche il direttore di ETicaNews.

Gli studi legali, abitualmente, concorrono all’assegnazione di premi. Questa volta, i ruoli si invertono. Ed è significativo che l’inversione avvenga su un aspetto di Csr. Nei giorni scorsi, infatti, lo studio De Luca & Partners, specializzato in tema di diritto del lavoro e relazioni

industriali, ha lanciato la prima edizione dell’Excellence & Innovation HR Award, premio destinato alle aziende più responsabili.

In particolare, visto il know how dello studio, il premio si rivolge alle imprese operanti in Italia, in relazione a iniziative e progetti in ambito lavoro e risorse umane, messi in atto nei 18 mesi precedenti (a partire dal 1° gennaio 2017). L’Award, conferito «sotto forma – si legge nel regolamento – di riconoscimento professionale di natura esclusivamente simbolica», sarà assegnato da una giuria sulla base di questi specifici criteri:

• capacità di incentivare competitività e produttività;

• capacità di promuovere coesione sociale e di risolvere conflitti;

• capacità di perseguire lo sviluppo e il benessere dell’individuo;

• ampiezza di visione e portata;

• inclusività.

Le candidature vanno inoltrate entro il 31 luglio 2018 seguendo le istruzioni sul sito www.hraward.it.

Clicca qui per leggere la versione integrale dell’articolo.

Vittorio De Luca illustra in questa intervista (in lingua inglese) i principali vantaggi del mercato del lavoro in Lombardia per gli investitori stranieri interessati a entrare nella regione. Flessibilità per le imprese, nuovi strumenti per la risoluzione dei contenziosi, migliore prevedibilità dei costi di separazione sono alcuni degli asset di un’area del Paese che eccelle per produttività e per l’alta qualità del capitale umano.

Il 2017 è stato infatti un anno positivo per l’economia lombarda: la crescita generalizzata, insieme al miglioramento del mercato del lavoro, ha portato a un aumento del numero degli occupati e a una riduzione del tasso di disoccupazione. I dati mostrano che i livelli occupazionali sono saliti del 1,3% rispetto all’anno precedente, spinti dal settore dei servizi (+4,1%, 116mila nuovi lavoratori), dalle donne (+2,6%, 47mila lavoratrici in più) e dai contratti a termine.

L’intervista a Vittorio De Luca è stata realizzata nell’ambito della iniziativa “Why invest in Lombardy #AskOurPartner” di Invest in Lombardy, il servizio dedicato alla promozione degli investimenti esteri gestito da Promos (Azienda Speciale della Camera di Commercio Metropolitana di Milano Monza Brianza Lodi), promossa da Unioncamere Lombardia e sostenuta da Regione Lombardia.

Clicca qui per vedere l’intervista.