« Indietro
01.052018

Posta elettronica aziendale e trattamento dati (Legal – Le Fonti, N. 24 Maggio 2018, Vittorio De Luca)

Il datore di lavoro ha diritto di accedere e conservare le email aziendali del dipendente solo dopo una preventiva informativa all’interessato circa le modalità del trattamento. Così si è espresso il Garante della privacy.

Il Garante per la protezione dei dati personali, con il recentissimo provvedimento n. 53/2018, si è occupato della dibattuta questione circa la legittimità o meno di un trattamento, posto in essere dal titolare/datore di lavoro, di dati personali ricavati dagli account di posta elettronica aziendali dei dipendenti. Il provvedimento del Garante ha preso le mosse da un reclamo pervenuto, nei confronti dell’ex datore di lavoro, da un dipendente che riteneva illecito il trattamento di dati personali posto in essere relativo ‹‹al contenuto di alcune email conservate ed utilizzate dalla Società al fine di elevare una contestazione disciplinare››.


Per completezza, occorre precisare che lo stesso dipendente aveva avviato anche un contenzioso giuslavoristico dinnanzi alla sez. Lavoro del Tribunale di Palermo con cui aveva richiesto e ottenuto la declaratoria di illegittimità del licenziamento intimatogli a seguito della contestazione disciplinare basata sulle espressioni goliardiche e colorite utilizzate nei confronti dell’azienda in una corrispondenza email intercorsa con alcuni colleghi. In principio, è opportuno far presente che il Garante, a seguito del reclamo del dipendente interessato, ha avviato una vera e propria istruttoria con tanto di audizioni, chiarimenti richiesti per iscritto ed esame documentale, all’esito della quale è stato emanato il provvedimento oggetto del nostro commento. Il Garante ha, quindi, osservato che il datore di lavoro ha potuto venire a conoscenza dei fatti divenuti oggetto di contestazione nei confronti del proprio dipendente in quanto ‹‹la Società conserva[va] sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti››. Tuttavia, secondo il giudizio espresso dal Garante, il diritto di accedere alle email aziendali del dipendente, così come il diritto di conservare tali email presuppone necessariamente l’esistenza di una preventiva informativa e la presenza di una policy in grado di assolvere alla funzione di rendere consapevole l’interessato (il dipendente nel caso de quo) circa le modalità del trattamento.


Nello specifico, il Garante ha rilevato come, invece, né l’informativa all’interessato né la policy aziendale fossero, in concreto, in grado di rispondere a questa esigenza, non essendoci in queste ‹‹alcun riferimento alla conservazione sui server aziendali… di tutte le email scambiate nel corso dell’attività lavorativa››. Ancora, il Garante ha osservato, inoltre, che la condotta della Società non poteva in alcun caso ritenersi conforme e rispettosa dei principi fondamentali di ‹‹liceità, necessità e proporzionalità del trattamento››, anche in considerazione della mancanza di chiarezza in merito alle modalità ed ai tempi di conservazione delle email dei dipendenti. Al riguardo, nel corso dell’istruttoria effettuata dal Garante, è risultato, addirittura, che il datore di lavoro aveva continuato a ricevere e a “trattare” le email pervenute all’indirizzo del dipendente interessato, anche successivamente alla conclusione del rapporto di lavoro. Peraltro, nel provvedimento oggetto di esame si evidenzia, oltre alla non conformità del trattamento oggetto del reclamo alle disposizioni in materia privacy anche la violazione dello Statuto dei Lavoratori, in quanto il comportamento del datore di lavoro si traduceva di fatto in un costante controllo a distanza dell’attività dei lavoratori in aperto contrasto con le disposizioni dell’art. 4 della Legge 300 del 1970. Alla luce delle osservazioni espresse, il Garante, ritenendo illecito il trattamento di dati personali effettuato dalla Società relativamente agli account aziendali di posta elettronica, da un lato ne ha vietato la prosecuzione, dall’altro ha richiesto alla Società, nel termine di un 30 giorni, di dare comunicazione circa le iniziative poste in essere per dare piena attuazione al provvedimento.