Garante Privacy: nuovo stop ai software che consentono di accedere alle email dei dipendenti

Con provvedimento n. 472 del 17 luglio 2024 (il “Provvedimento”), l’Autorità garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”) è tornata ad occuparsi della gestione della posta elettronica in ambito lavorativo, infliggendo una sanzione di 80.000 euro nei confronti di una società, per violazione della normativa in materia di protezione dei dati personali. Nello specifico, il Garante Privacy ha accertato che la società aveva:

1. mantenuto attivo l’account di posta elettronica aziendale assegnato ad un proprio collaboratore, anche a seguito dell’interruzione del rapporto lavorativo;
2. effettuato, nel corso del rapporto di collaborazione, un backup della posta elettronica e dei log di accesso, conservandoli oltre il termine del rapporto, per un periodo di data retention ritenuto non giustificato;
3. utilizzato tali informazioni in un contenzioso contro il collaboratore, dopo averle analizzate attraverso indagini forensi.

I fatti alla base della segnalazione al Garante Privacy

Il caso in esame ha origine da un reclamo presentato al Garante Privacy da un ex-agente di commercio, collaboratore dell’azienda sanzionata, il quale ha segnalato l’accesso da parte della società alla propria casella di posta elettronica, in un periodo successivo all’interruzione del rapporto di collaborazione. L’accesso, come affermato dalla società, era finalizzato alla raccolta di prove nell’ambito di un contenzioso relativo a un presunto caso di concorrenza sleale, connesso al furto di informazioni aziendali.

In particolare, il Garante Privacy, nel corso dell’istruttoria, ha rilevato che la società aveva incaricato uno studio di ingegneria forense di svolgere un’indagine sul contenuto della posta elettronica del reclamante utilizzando il software di backup Mail Store, installato sui PC aziendali. Attraverso quest’ultimo applicativo, la società conservava sia i contenuti delle email che i log di accesso alle caselle di posta e al gestionale aziendale, proseguendo la conservazione anche dopo la cessazione del rapporto di lavoro, il tutto in assenza di un’adeguata informativa ai dipendenti.

Al termine del procedimento, il Garante Privacy ha ribadito l’illiceità di questa prassi, considerandola una forma di controllo illecito, in violazione dei principi fondamentali del Regolamento (UE) 679/2016 (“GDPR”) – in particolare quelli relativi alla liceità, minimizzazione e limitazione della conservazione – nonché delle disposizioni dello Statuto dei Lavoratori (L. 300/1970, come modificata dal D.Lgs. 81/2015).

Le contestazioni del Garante Privacy

1. Informativa privacy incompleta e inidonea

Il Garante Privacy ha rilevato che l’informativa privacy predisposta dalla società risultava inidonea e incompleta, non rispettando i requisiti stabiliti dal GDPR. In particolare, l’informativa non forniva informazioni sufficienti sulle caratteristiche e modalità del trattamento dei dati, con specifico riferimento al periodo di conservazione delle email e ai metodi e finalità del controllo aziendale.

Nello specifico:

• l’informativa non includeva alcuna indicazione sul backup dell’account individuale di posta elettronica in vigenza del rapporto di lavoro né sulla conservazione di tali contenuti (conservati per 3 anni) dopo la cessazione del rapporto lavorativo;
• né l’informativa né il regolamento interno sull’utilizzo degli strumenti informatici (le “Regolamento IT”) fornivano informazioni sulla possibilità per l’azienda di effettuare controlli sui dati memorizzati nei dispositivi aziendali.
  In particolare, il Regolamento IT prevedeva la possibilità della società di accedere alla casella di posta elettronica dei lavoratori a seguito della cessazione del rapporto lavorativo o in caso di assenza, solo per garantire la “continuità aziendale”. Il Garante Privacy, tuttavia, ha sottolineato che la legittima necessità di assicurare la conservazione della documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale deve essere soddisfatta tramite l’implementazione di sistemi di gestione documentale.
  Questi sistemi, attraverso l’adozione di misure organizzative e tecnologiche adeguate, devono individuare i documenti che, nel corso delle attività lavorative, devono essere progressivamente archiviati con modalità idonee a garantire caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità. Il Garante ha precisato altresì che tali caratteristiche non possono essere assicurate, per loro natura, dai sistemi di posta elettronica (come chiarito anche nei provvedimenti n. 53/2018, doc. web n. 8159221 e n. 214/2020, doc. web. n. 9518890).
  Inoltre, i documenti aziendali sottesi alle attività di controllo non prevedevano i necessari chiarimenti sulle eventuali ragioni legittime, specifiche e non generiche, alla base dei controlli e le relative modalità, che devono essere conformi ai principi di liceità, proporzionalità e gradualità (come indicato nelle Linee Guida del Garante Privacy per posta elettronica e internet).

2. Trattamento illecito del contenuto delle email

Dopo aver rilevato che la società avesse utilizzato un software per effettuare il backup del contenuto degli account, sia durante il rapporto di lavoro che per 3 anni dopo la sua cessazione, il Garante Privacy ha osservato che:

• la società non ha specificato le ragioni per le quali ha ritenuto necessario conservare il contenuto delle email per un periodo così esteso per finalità di sicurezza dei propri sistemi;
• la società non ha indicato le specifiche ragioni in virtù delle quali ha ritenuto necessario conservare per 6 mesi i log di accesso alla posta elettronica e al gestionale utilizzato dai dipendenti. Sul punto, il Garante Privacy ha richiamato il proprio provvedimento del 6 giugno 2024, intitolato “Documento di indirizzo: Programmi e servizi di gestione della posta elettronica in ambito lavorativo e trattamento dei metadati” (il “Documento di Indirizzo”),che prevede un periodo massimo di conservazione di 21 giorni per metadati/log (per maggiori approfondimenti si veda il nostro precedente contributo, disponibile qui);
• il software è stato utilizzato per finalità diverse dalla protezione dei sistemi IT. La società, infatti, lo aveva utilizzato per analizzare le email degli account dei dipendenti, verificarne il contenuto e avviare un procedimento giudiziale, violando così i principi di liceità, minimizzazione dei dati e limitazione della conservazione. Il Garante Privacy ricorda che nell’ambito dei rapporti di lavoro i dati personali possono essere trattati lecitamente (i) solo se il trattamento è necessario per la gestione del rapporto o per adempiere a specifici obblighi/compiti previsti dalle normative applicabili, e (ii) solo se adeguati, pertinenti e limitati a quanto necessario per le finalità previste e per il tempo strettamente necessario a raggiungere tali finalità.
  Oltre alla violazione del GDPR, queste attività, avendo consentito alla società di ricostruire in dettaglio le attività dei dipendenti, hanno configurato altresì una forma di controllo vietata dall’articolo 4, comma 1, dello Statuto dei Lavoratori, richiamato dall’art. 114 del Codice Privacy (l’art. 4 dello Statuto dei Lavoratori costituisce una condizione di liceità del trattamento dei dati personali in ambito lavorativo). La società, infatti, non ha implementato le garanzie necessarie richieste da tale disposizione, quali l’accordo con le rappresentanze sindacali o, in mancanza, l’autorizzazione dell’ispettorato del lavoro.

3. Utilizzo improprio dei dati in giudizio

Per quanto riguarda l’uso dei dati in procedimenti legali, il Garante Privacy ha ribadito che il trattamento dei dati effettuato accedendo alla posta elettronica dei dipendenti per finalità di tutela giudiziaria deve riguardare esclusivamente contenziosi in corso o situazioni precontenziose, non anche ad ipotesi di tutela astratte o indeterminate, come in questo caso.

Considerazioni finali

Il provvedimento del Garante Privacy sembra sollevare, ancora una volta, questioni rilevanti sul bilanciamento tra il diritto alla privacy dei lavoratori (e dei collaboratori) e le esigenze delle imprese di proteggere il proprio patrimonio. Se la sanzione inflitta sottolinea la necessità di rispettare rigorosamente le normative sulla protezione dei dati personali, dovrebbe tuttavia invitare anche a riflettere sulle sfide pratiche che le aziende si trovano a dover affrontare in un contesto digitale sempre più complesso.

Raggiungere un equilibrio tra tutela della privacy e sicurezza richiederebbe un approccio attento e bilanciato. Da un lato, l’accesso non autorizzato ai dati dei lavoratori rappresenta, infatti, una violazione non solo normativa ma anche della fiducia nei rapporti aziendali, con potenziali ripercussioni significative. Dall’altro lato, tuttavia, le imprese dovrebbero poter salvaguardare nel modo più adeguato possibile il proprio patrimonio informativo, essenziale per mantenere competitività e prevenire condotte lesive come la sottrazione di segreti industriali.

La crescente digitalizzazione dei processi aziendali e la diffusione di tecnologie avanzate rendono tuttavia sempre più complesso gestire questi aspetti in modo efficace. Queste sfide, infatti, oltre a richiedere soluzioni tecniche, a volte complesse, comportano costi rilevanti, che non tutte le imprese sono sempre in grado di sostenere. Garantire una compliance stringente, infatti, significa investire in tecnologie, formazione e risorse umane, sforzi che pesano particolarmente sulle piccole e medie imprese, e ciò potrebbe creare disparità nel livello di sicurezza e protezione dei dati, lasciando alcune realtà più esposte a rischi e sanzioni.

Un approccio più multidisciplinare e flessibile potrebbe quindi rendere la compliance più sostenibile per tutte le aziende. Il Garante Privacy, ad esempio, potrebbe fornire linee guida più pratiche e dettagliate, adattate alle diverse realtà operative, e chiarire meglio le aspettative sui requisiti tecnici e organizzativi. Ciò aiuterebbe le imprese a evitare errori interpretativi, facilitando l’adozione di pratiche conformi alle normative. Allo stesso modo, il legislatore potrebbe considerare, laddove necessario, aggiornamenti normativi che tengano conto delle trasformazioni tecnologiche e delle necessità concrete del tessuto economico.

Le imprese, da parte loro, dovrebbero invece investire maggiormente in programmi di formazione e sensibilizzazione dei dipendenti volti a rafforzare la consapevolezza interna sull’importanza della protezione dei dati e a ridurre il rischio di errori o violazioni.

In conclusione, il diritto alla protezione dei dati personali dovrebbe essere conciliato con le legittime esigenze aziendali senza rappresentare un onere insostenibile per le imprese. Un dialogo costruttivo tra autorità, imprese e legislatore, accompagnato da normative chiare e applicabili, potrebbe garantire un sistema più equilibrato, in cui i diritti individuali e la sicurezza aziendale si rafforzino reciprocamente, favorendo uno sviluppo economico sostenibile e inclusivo.