Garante privacy: vietato il controllo massivo e la conservazione illimitata delle email
Il Garante per la protezione dei dati personali, nella newsletter n. 439 del 29 marzo 2018, ha confermato il suo No al controllo massivo e alla conservazione senza limite delle email.
Il Garante ha vietato ad una società il trattamento di dati personali effettuato sulle email aziendali dei dipendenti in violazione della normativa sulla protezione dei dati e di quella sulla disciplina lavoristica. La società dovrà ora limitarsi a conservare i dati a fini di tutela dei diritti nel giudizio pendente.
L’Autorità – intervenuta a seguito del reclamo di un dipendente – ha accertato che la società trattava in modo illecito i dati personali contenuti nelle email in entrata e in uscita, anche di natura privata e goliardica, scambiate dal lavoratore con alcuni colleghi e collaboratori. I dati raccolti nel corso di un biennio erano poi stati utilizzati per contestare un provvedimento disciplinare cui era seguito il licenziamento del dipendente poi annullato dal giudice del lavoro.
Nel disporre il divieto l’Autorità ha rilevato numerose e gravi violazioni. La società non ha infatti fornito ai dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all’uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale. Un comportamento in contrasto con l’obbligo della società di informare i lavoratori riguardo alle caratteristiche essenziali dei trattamenti effettuati, comprese le operazioni che possono svolgere gli amministratori di sistema (ad es., accesso ai contenuti delle email). La società, inoltre, conservava in modo sistematico i dati esterni e il contenuto di tutte le email scambiate dai dipendenti per l’intera durata del rapporto di lavoro e anche dopo la sua interruzione, violando così i principi di liceità, necessità e proporzionalità stabiliti dal Codice privacy.
Il Garante, ha inoltre fornito alcune linee guida per una corretta gestione dell’email dei lavoratori: l’azienda avrebbe potuto agire in modo più efficiente e più rispettoso della riservatezza dei lavoratori predisponendo dei sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati. Inoltre – continua il Garante – la conservazione estesa e sistematica delle mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consente il controllo dell’attività dei dipendenti. Controllo vietato dalla disciplina di settore che non autorizza, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate. Il datore di lavoro infatti pur potendo controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro deve sempre salvaguardare la libertà e la dignità dei dipendenti.
Ingiustificata, in particolare, la raccolta a priori di tutte le email in vista di futuri ed eventuali contenziosi, il Garante ha ribadito infatti che la conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate. Il Garante ha ritenuto, infine, non conforme alla legittima aspettativa di riservatezza della corrispondenza l’accesso della società alle email in ingresso sull’account aziendale dopo il licenziamento del lavoratore. Al cessare del rapporto di lavoro la casella di posta elettronica deve essere disattivata e rimossa e al suo posto di devono attivare eventuali account alternativi.
Fonte: Garante per la protezione dei dati personali
Trattamento di dati personali effettuato sugli account di posta elettronica aziendale – 1° febbraio 2018
Registro dei provvedimenti
n. 53 del 1° febbraio 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);
VISTO il reclamo presentato da XX concernente il trattamento di dati personali riferiti all’interessato effettuato da Sicily by Car S.p.A.;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);
VISTE le “Linee guida per posta elettronica e internet”, adottate con provvedimento n. 13 del 1° marzo 2007 (pubblicato nella G.U. 10 marzo 2007, n. 58);
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1.1. Il reclamo nei confronti della società.
Con reclamo pervenuto il 23 dicembre 2016 il Sig. XX ha chiesto all’Autorità di disporre il blocco o il divieto del trattamento effettuato da Sicily by Car S.p.A. (di seguito: la società), ritenuto illecito, di dati personali a sé riferiti contenuti nella casella di posta elettronica (XX) assegnatagli nell’ambito del rapporto di lavoro allo stato non più in essere, con particolare riferimento ai dati esterni ed al contenuto di alcune email conservate e utilizzate dalla società al fine di elevare una contestazione disciplinare.
Più specificamente, il reclamante ha rappresentato che in data 14 novembre 2016 la società ha contestato in sede disciplinare, all’esito di “verifiche effettuate dal responsabile amministrativo”, l’invio di alcune email a colleghi di lavoro ˗ “nel periodo che va dal mese di luglio al mese di ottobre 2015” ˗ utilizzando il menzionato account di posta elettronica e “rinvenute nel server aziendale” (cfr. reclamo cit., All. 1 “Contestazione di addebiti ex art. 7 dello statuto dei lavoratori”). Successivamente, avendo avuto accesso alla copia delle email oggetto di contestazione, il reclamante ha verificato che la raccolta delle comunicazioni elettroniche scambiate con i colleghi si è estesa fino al gennaio 2016. Quanto al contenuto delle email, questo sarebbe stato caratterizzato “dagli evidenti toni personali […] espressione di goliardia e […] ironia fra colleghi” (cfr. reclamo cit., p. 2). Tale attività di raccolta (e successivo trattamento) delle email da parte della società sarebbe inoltre avvenuto in assenza di informativa circa le specifiche politiche aziendali adottate in proposito.
1.2. La società, in risposta alla richiesta di elementi formulata dall’Ufficio, ha dichiarato che:
a. “le comunicazioni e-mail successivamente utilizzate per la contestazione disciplinare […] sono state rinvenute in occasione di un accesso tramite server aziendale alla casella di posta elettronica di un altro dipendente […], che era uno dei destinatari delle predette e-mail” (cfr. nota 25.5.2017, p. 4);
b. a seguito della relazione presentata nel giugno 2016 dall’advisor incaricato dalla società di “verificare la fattibilità del possibile utilizzo, nell’attività e quindi nella contabilità aziendale, dei principi contabili internazionali al posto di quelli nazionali […] sono emerse rilevanti non conformità nella tenuta della contabilità […]”(cfr. nota cit., p. 4 e 5);
c. la società ha conseguentemente proceduto alla “ricerca della documentazione necessaria, da un canto, per la verifica dei conti e, dall’altro, per comprovare le responsabilità personali di chi […] aveva dato causa alla riscontrata non correttezza della contabilità negli esercizi in esame […]” (cfr. nota cit., p. 5);
d. “in occasione di tale consultazione […] sono state rinvenute le e-mail poste, in uno ad altre rilevanti circostanze, a base della contestazione disciplinare e del licenziamento” (cfr. nota cit., p. 5);
e. le e-mail scambiate dal reclamante sono state ritenute “tendenti a destabilizzare l’intero ufficio contabilità […], a mortificare il lavoro svolto […], a denigrare pesantemente l’azienda [e] dimostrano che il reclamante con la sua condotta […] ha consentito il perseverare di gravi errori nella redazione dei bilanci […]”(cfr. nota cit., p. 6);
f. il trattamento effettuato sarebbe pertanto legittimo in quanto preordinato “alla tutela degli interessi dell’impresa (anche di protezione del patrimonio aziendale) e all’esercizio del potere disciplinare del datore di lavoro” (cfr. nota cit., p. 7);
g. a seguito del licenziamento del reclamante la società “ha provveduto ad attivare un sistema di risposta automatica che invitava il mittente a inviare future comunicazioni” ad un diverso indirizzo aziendale; inoltre in vista delle “richiamate ragioni di tutela aziendale e di difesa giudiziale […] sono state effettuate operazioni di sola lettura sulle e-mail in ingresso sull’account aziendale del [reclamante] per un periodo […] inferiore a sei mesi (oggi del tutto terminato), dopo la sospensione cautelare del rapporto di lavoro e il successivo licenziamento” (cfr. nota cit., p. 7 e 8);
h. relativamente alle modalità con le quali è stata fornita un’informativa ai dipendenti circa le modalità consentite di utilizzo della posta elettronica e del pc aziendale, la società ha fornito una “informativa personalizzata inserita nella lettera di designazione quale incaricato del trattamento” nonché reso noto il menzionato “Disciplinare interno sull’utilizzo delle risorse informatiche aziendali” (cfr. nota cit., p. 9);
i. con il menzionato Disciplinare interno la società ha “vieta[to] la tenuta nella rete interna di file non attinenti all’attività lavorativa […] e prescri[tto] che i dispositivi hardware e software concessi in uso dalla società – e quindi anche gli account e-mail aziendali – devono essere utilizzati solo per scopi aziendali”;
j. quanto alla normativa in materia di controlli a distanza (art. 4, legge 20.5.1970, n. 300) la società ha dichiarato di “non [aver] attivato alcun tipo di controllo o controllo automatizzato del lavoratore”; pertanto le procedure ivi previste non sono state attivate (cfr. nota cit., p. 11).
1.3. Con nota di replica pervenuta il 19.6.2017 il reclamante ha ribadito le richieste già avanzate all’Autorità, rappresentando ˗ tra l’altro ˗ che “il range di ricerca sulle email contestate”, inizialmente individuato tra i mesi di luglio/ottobre 2015 (con lettera di contestazione disciplinare), è stato successivamente esteso dalla società “a tutto l’anno 2015” (nella lettera di licenziamento del 23.11.2016) e, secondo quanto rappresentato in un ulteriore documento depositato nel giudizio di impugnazione del licenziamento incardinato dinnanzi all’autorità giudiziaria competente, anche all’anno 2016 (cfr. nota 19.6.2017, p. 2). Successivamente il reclamante ha inoltrato all’Autorità copia dell’ordinanza del Tribunale di Palermo, Sezione lavoro, 21 giugno 2017 che, disponendo l’annullamento del licenziamento del reclamante, ha tra l’altro stabilito che “l’estrazione dal server aziendale delle predette mail inviate dal ricorrente dal suo account aziendale non appare giustificata – che sia stata o meno effettuata dalla posta [di altro dipendente] – in relazione alle motivazioni addotte dalla società […]”; inoltre “nel merito, il contenuto delle mail […] non appare avere alcuna rilevanza disciplinare, trattandosi di comunicazioni private scambiate tra colleghi con tono scherzoso e senza che ne emerga alcun intento destabilizzante o denigratorio, anche in considerazione del fatto che dovevano essere lette solo dai destinatari che partecipavano alla conversazione […]”; “il ricorrente poneva in essere con lo spedirle [le email oggetto di contestazione] una condotta disciplinarmente irrilevante (anche a mente del regolamento depositato in atti dalla convenuta, peraltro non sottoscritto e, quindi, non valutabile come documento, stante la contestazione relativa alla sua stessa esistenza)”.
1.4. Con successiva nota pervenuta il 3.11.2017, la società – rispondendo ad una richiesta di integrazioni e chiarimenti formulata dall’Ufficio – ha precisato che:
a. “gli account aziendali assegnati ai dipendenti […] vengono configurati all’interno del server aziendale, sito nell’apposita sala server presso la sede della società. […] a ciascuna casella email corrisponde un database, residente sul server, il quale raccoglie e conserva tutta la corrispondenza in entrata e in uscita dalla casella medesima” (cfr. nota 3.11.2017, p. 3);
b. “la finalità per cui è stata adottata la decisione di utilizzare il server aziendale per la gestione delle email [è] principalmente riconducibile alla determinante importanza delle comunicazioni per via telematica in un’attività come quella esercitata dalla [società]. Si pensi alle email scambiate con i tour operator […], i clienti […], i fornitori […], le compagnie assicurative […], i professionisti […], nonché tra i diversi uffici della società” (cfr. nota cit., p. 3);
c. “il server allocato all’interno della rete locale della sede societaria […] consente lo svolgimento continuativo del lavoro anche quando si verificano malfunzionamenti della linea internet; infatti […] in tali circostanze ogni operatore può […] continuare a lavorare in modalità offline, anche accedendo alla propria corrispondenza pregressa […]” (cfr. nota cit., p. 3);
d. quanto ai tempi di conservazione delle email in transito sugli account di posta elettronica aziendale, in base a “nuove misure” introdotte “recentemente” e allo stato in essere, “le e-mail dei dipendenti sono conservate […] sino a un mese dopo la cessazione del rapporto di lavoro per gli impiegati e sino a dodici mesi dopo la cessazione del rapporto di lavoro per i dirigenti o altre figure apicali. L’esigenza di conservazione delle suddette e-mail è strettamente correlata all’importanza nell’attività della [società] delle comunicazioni per via telematica, che molto spesso hanno significativa rilevanza giuridica e commerciale” (cfr. nota cit., p. 4); invece “all’epoca del licenziamento del reclamante […] non erano ancora stati prefissati tempi massimi per la conservazione sul server della posta elettronica in transito sugli account dei dipendenti” (cfr. nota cit., p. 5);
e. oltre alla necessità che tali comunicazioni e-mail siano accessibili agli intestatari degli account “per ragioni di efficienza aziendale […] è […] comprensibile che possa sorgere l’esigenza di dimostrare – anche in giudizio e anche dopo tempo – l’avvenuto invio o la ricezione di uno o più messaggi di posta elettronica (ad esempio, nell’ambito di contenziosi relativi ad accordi conclusi tramite scambio di corrispondenza e-mail, oppure riguardanti inadempimenti di incarichi conferiti con l’invio di disposizioni per via telematica, oppure ancora in relazione a contenziosi nascenti da reclami di clienti […])” (cfr. nota cit., p. 4 e 5);
f. i soggetti autorizzati ad accedere alle email conservate sul server aziendale sono: “il titolare dell’account, in forza della lettera di designazione quale incaricato del relativo trattamento”; “gli amministratori di sistema, per finalità tecniche”; “altri soggetti di volta in volta specificamente autorizzati per iscritto dal titolare del trattamento […] per le finalità previste dalla legge e, particolarmente, per quelle di difesa in giudizio o di perseguimento di un legittimo interesse […]” (cfr. nota cit., p. 6);
g. il “Disciplinare interno sull’utilizzo delle risorse informatiche aziendali” è stato adottato il 4 marzo 2010 e in pari data “trasmesso […] alla scrivente società e precisamente alla casella di posta elettronica [assegnata al reclamante] in ragione del ruolo rivestito in azienda”; il documento è stato “affisso in bacheca” ed ha “costituito uno degli argomenti trattati durante i corsi di formazione e di aggiornamento che la società organizza periodicamente per i propri dipendenti” (cfr. nota cit., p. 6 e 7);
h. per quanto riguarda la procedura relativa agli account di posta elettronica aziendale assegnati ai dipendenti dopo l’interruzione del rapporto di lavoro, le “nuove misure oggi attuate […] prevedono che alla data della cessazione del rapporto di lavoro venga disattivato l’account […]. Pertanto, nel caso di tentativo di invio di una comunicazione alla casella disattivata il mittente riceve un messaggio di mancato recapito”; diversamente, all’epoca dei fatti oggetto di reclamo, “la disattivazione […] avveniva ancora in due distinte fasi: in un primo momento veniva transitoriamente attivato un sistema di autoreply al fine di rendere noto ai mittenti un altro indirizzo e-mail a cui inviare le future comunicazioni; in una seconda fase veniva definitivamente disattivato l’account e, a quel punto, in caso di tentato invio il mittente riceveva un messaggio di mancato recapito” (cfr. nota cit., p. 7).
2. L’esito dell’istruttoria.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ nonché della documentazione acquisita, risulta che la società in qualità di titolare ha effettuato (e tutt’ora effettua) operazioni di trattamento di dati personali riferiti al reclamante ˗ nonché agli altri dipendenti ˗ che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali, nei termini di seguito descritti.
3. Trattamenti di dati effettuati sull’account di posta elettronica aziendale.
Emerge dagli atti che la società, nel corso dell’effettuazione di controlli sul contenuto della corrispondenza elettronica del responsabile amministrativo all’epoca dei fatti (disposti a seguito della ricezione di una relazione commissionata ad una società di consulenza e revisione), ha trattato i dati personali del reclamante (che svolgeva le funzioni di responsabile finanziario) contenuti nelle email in entrata e in uscita sull’account di posta elettronica aziendale a questi assegnato – individualizzato con nome e cognome – scambiate con alcuni colleghi di lavoro e collaboratori. Tali dati personali, raccolti nel corso del 2015 e del 2016, sono stati utilizzati per effettuare una contestazione disciplinare.
Tale trattamento è stato reso possibile dalla circostanza che la società conserva sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti (qualsiasi mansione essi svolgano), per l’intera durata del rapporto di lavoro ed anche successivamente all’interruzione dello stesso (v. precedente punto 1.4., lett. a. e d.), in vista del prospettato accesso anche al contenuto delle stesse materialmente effettuato da soggetti di volta in volta “autorizzati” (v. precedente punto 1.4., lett. f.). Ciò anche in vista di futuri ed eventuali contenziosi, consentendo così alla società di precostituire elementi utili alla difesa in giudizio ed alla tutela dei propri diritti (v. precedente punto 1.4., lett. d. e e.). Il flusso di email scambiate su ciascun account aziendale è altresì memorizzato per consentirne la consultazione da parte degli stessi dipendenti (ciascuno ai propri dati).
3.1. L’informativa all’interessato.
In relazione ai descritti trattamenti, in primo luogo, non risulta che la società abbia informato il reclamante ˗ e gli altri dipendenti ˗ circa modalità e finalità della descritta attività di raccolta e conservazione dei dati relativi all’utilizzo della posta elettronica, né con informativa individualizzata né con la messa a disposizione della policy aziendale.
In proposito, infatti, si rileva che la lettera di designazione del reclamante quale incaricato del trattamento (datata 3.12.2012) reca tra l’altro la seguente indicazione: “Le risorse hardware e software devono essere utilizzate solo per scopi aziendali o per altri usi espressamente autorizzati” (cfr. All. 3, nota della società 25.5.2017), mentre il “Disciplinare interno sull’utilizzo delle risorse informatiche aziendali” asseritamente adottato il 4 marzo 2010, nella sezione relativa alle “Norme specifiche per l’utilizzo di internet e della posta elettronica” si limita ad avvisare i dipendenti che “potranno essere effettuati controlli sull’utilizzo illecito delle risorse aziendali ed in caso di violazione l’Azienda si riserva la possibilità di adottare le necessarie sanzioni con le modalità e i limiti previsti dallo Statuto dei lavoratori e dai CCNL applicabili” (cfr. All. 2, nota della società 25.5.2017, di cui peraltro non risulta provata la consegna al reclamante, posto che con la email 4.3.2010 ci si è limitati a chiedere allo stesso l’inoltro all’amministratore di sistema del documento allegato: v. All. 1, nota della società 3.11.2017).
All’interno di tali documenti non v’è dunque alcun riferimento alla conservazione sui server aziendali ˗ per tutta la durata del rapporto di lavoro ed anche oltre la cessazione dello stesso (si veda infra punto 3.2.) ˗ di tutte le email scambiate nel corso dell’attività lavorativa, né delle finalità e modalità di conservazione e di accesso della società a tale database. Non sono inoltre state rese note le specifiche attività di controllo ˗ indicando dettagliatamente modalità e procedure adottate ˗ che il datore di lavoro si riserva di effettuare sui dati raccolti nel corso dell’attività lavorativa (con particolare riferimento alla possibilità di accedere al contenuto di tutte le comunicazioni elettroniche scambiate).
Ciò risulta in contrasto con l’obbligo posto in capo al titolare del trattamento di fornire una preventiva informativa all’interessato in ordine alle caratteristiche essenziali dei trattamenti effettuati nonché con il principio di correttezza (in relazione agli articoli 11, comma 1, lett. a) e 13 del Codice; cfr. altresì sul punto Provv. 1° marzo 2007, n. 13, “Linee guida per posta elettronica e internet”, citate in premessa, spec. punto 3.1. “Grava […] sul datore di lavoro l’onere di indicare […], chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli”; medesime conclusioni in European Court of Human Rights, Grand Chamber, case of Bărbulescu v. Romania, Application no. 61496/08, 5 September 2017, spec. n. 140).
In relazione al prospettato accesso alle email raccolte da parte dell’amministratore di sistema per non meglio specificate “finalità tecniche” (v. precedente punto 1.4., lett. f.), si rammenta che l’informativa ai dipendenti deve altresì indicare le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio (cfr. anche Provv. 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008, modificato con provvedimento del 25 giugno 2009, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, doc. web n. 1577499, spec. n. 2, lett. c) e f) del dispositivo. In base a tale provvedimento il titolare è altresì tenuto ad adottare sistemi che registrino gli “accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema”).
3.2. Liceità, necessità e proporzionalità del trattamento. Conservazione dei dati.
La conservazione sistematica dei dati esterni e del contenuto di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, allo scopo di poter ricostruire gli scambi di comunicazioni tra gli uffici interni nonché tutti i rapporti intrattenuti con gli interlocutori esterni (clienti, fornitori, enti assicurativi, tour operator), anche in vista di possibili contenziosi, effettuata da soggetti diversi dal titolare della specifica casella di posta elettronica per l’intera durata del rapporto di lavoro e successivamente all’interruzione dello stesso, non risulta altresì conforme ai principi di liceità, necessità e proporzionalità del trattamento (v. artt. 3, 11, comma 1, lett. a) e d) del Codice).
La legittima necessità di assicurare l’ordinario svolgimento e la continuità dell’attività aziendale nonché di provvedere alla dovuta conservazione di documentazione in base a specifiche disposizioni dell’ordinamento è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali ˗ attraverso l’adozione di appropriate misure organizzative e tecnologiche ˗ individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile (si veda quanto stabilito dal D.P.C.M. 3 dicembre 2013, recante le Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005; parimenti i documenti che rivestano la qualità di “scritture contabili” devono essere memorizzati e conservati con modalità determinate: artt. 2214 c.c.; artt. 43 e 44, d. lgs. 7 marzo 2005, n. 82, “Codice dell’amministrazione digitale”). I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche.
Pertanto lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali può ben essere perseguito ˗ conformemente alle disposizioni vigenti oltre che più efficacemente ˗ con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto alla sopra descritta attività di sistematica ed estesa conservazione delle comunicazioni elettroniche, che risulta pertanto non necessaria né proporzionata rispetto allo scopo.
Come si evince infatti dal caso oggetto di reclamo, attraverso l’accesso ai contenuti delle email scambiate tra colleghi e collaboratori, la società ha ricostruito lo scambio di comunicazioni anche di natura privata, destinate a rimanere all’interno della cerchia dei soggetti partecipanti alle comunicazioni.
Inoltre si osserva che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione ˗ avanzata dalla società ˗ risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento (v. artt. 23 e 24 del Codice; si vedano anche i provv.ti 19 marzo 2015, doc. web n. 4039439, 20 febbraio 2014, doc. web n. 3115239 e 4 giugno 2009, doc. web n. 1629029).
Risulta inoltre non conforme ai principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) e e) del Codice) la conservazione dei predetti dati, in relazione alle descritte eterogenee finalità, per tutta la durata del rapporto di lavoro e anche successivamente all’interruzione dello stesso, al fine di consentirne l’accesso al datore di lavoro nei termini su esposti. Ciò sia con riferimento alla prassi vigente al momento dei fatti oggetto di reclamo ˗ ossia la conservazione senza fissazione di alcun limite temporale ˗ sia in relazione ai termini allo stato fissati dalla società (rispettivamente uno e dodici mesi dopo la cessazione del rapporto per impiegati e dirigenti/figure apicali: v. precedente punto 1.4., lett. d.).
Diversa valutazione riguarda invece la prevista messa a disposizione del dipendente dell’intero archivio delle email scambiate tramite il proprio account aziendale. Tale facoltà, che rientra tra le modalità di messa a disposizione degli strumenti di lavoro, può ˗ se del caso ˗ essere oggetto di istruzioni da parte del datore di lavoro (ad es. individuando limiti temporali di conservazione anche diversificati in base alle funzioni svolte e coerenti con i limiti di spazio a disposizione e/o fornendo indicazioni sulla necessità di effettuare periodicamente la selezione e cancellazione dei messaggi conservati, al fine di evitare eccessivi appesantimenti del sistema di gestione della posta elettronica).
Resta fermo che al database relativo al singolo account, così costituito, può avere accesso (anche effettuando le operazioni consentite dal sistema) solo l’interessato, intestatario dell’account stesso. Resta fermo altresì che in relazione alle attività di raccolta e conservazione necessarie a consentire le operazioni di trattamento da parte dell’interessato, il titolare è tenuto ad osservare quanto stabilito dall’Autorità con il citato Provvedimento 27 novembre 2008 sugli amministratori di sistema.
Si rammenta che l’Autorità si è pronunciata sulle condizioni di liceità di alcuni trattamenti di dati tratti dall’utilizzo di strumenti di lavoro, tra cui la posta elettronica, per finalità di sicurezza dei sistemi e di gestione dei servizi (v. Provv. n. 303 del 13.7.2016, doc. web n. 5408460, spec. par. 4.2., 4.3. e 5, anche con riferimento ai tempi di conservazione, con il quale sono stati indicati tra i “sistemi e le misure che […] consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore” i “sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni”).
3.3. La disciplina lavoristica.
La raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio, la loro memorizzazione per un periodo non predeterminato e comunque, allo stato, amplissimo e la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto e in termini generali ˗ quali la difesa in giudizio o il perseguimento di un legittimo interesse ˗ consente alla società di effettuare il controllo dell’attività dei dipendenti.
Ciò risulta in contrasto con la disciplina di settore in materia di controlli a distanza (cfr. artt. 11, comma 1, lett. a) e 114 del Codice e art. 4, legge 20.5.1970, n. 300). Tale disciplina infatti, pure a seguito delle modifiche disposte con l’art. 23 del decreto legislativo 14 settembre 2015, n. 151, non consente l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore (v. Linee guida per posta elettronica e internet citate in premessa, spec. par. 4, 5.2. lett. b) e 6; Consiglio di Europa, Raccomandazione del 1 aprile 2015, CM/Rec(2015)5, spec. princ. 14).
Inoltre il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità (v., tra gli altri, Provv. n. 139 del 7 aprile 2011, doc. web n. 1812154; Provv. n. 308 del 21.7.2011, doc. web n. 1829641; Provv. 23 dicembre 2010, doc. web n. 1786116; si veda in proposito Cass. 31.3.2016, n. 13057, laddove si afferma che qualora “siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle «caselle» rappresentano il domicilio informatico proprio del dipendente […]. La casella rappresenta uno «spazio» a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza”). Tanto più che l’assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione (cfr. Linee guida per posta elettronica e internet, cit., spec. 3; 5.2. lett. b), e 6.1.).
3.4. Trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro. Disattivazione account.
Con riferimento ai trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, come già precisato dal Garante in precedenti occasioni, in conformità ai principi in materia di protezione dei dati personali, gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento. L’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività, pertanto, deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti nonché dei terzi (v. provv.ti 30 luglio 2015, n. 456, doc. web n. 4298277; 5 marzo 2015, n. 136, doc. web n. 3985524 e 27 novembre 2014, n. 551, doc. web n. 3718714).
Non risulta conforme ai suesposti principi la procedura adottata dalla società a seguito del licenziamento del reclamante, consistente nella raccolta e accesso alle “e-mail in ingresso sull’account aziendale […] per un periodo […] inferiore a sei mesi” (v. precedente punto 1.2., lett. g.). Ciò indipendentemente dall’attivazione di un messaggio di risposta automatico che indicava al mittente un diverso account aziendale da contattare, considerato che la formula adottata risulta per di più fuorviante in quanto reca l’indicazione (ai terzi) che la casella “è stata disattivata” (v. e-mail 6.3.2017, All. 10 nota del reclamante 19.6.2017).
Si prende altresì atto che, allo stato, la società avrebbe invece adottato un sistema coerente con quanto indicato in proposito dall’Autorità, posto che in caso di cessazione del rapporto di lavoro l’account viene “disattivato” con attivazione di un “messaggio di mancato recapito” in caso di tentato invio di una comunicazione elettronica sull’account (v. precedente punto 1.4., lett. h.).
Si rammenta infine che, come precisato dal Garante, la disattivazione deve essere realizzata “secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali” (v. Provv. 5 marzo 2015, n. 136, doc. web n. 3985524).
3.5. Conclusioni: illiceità del trattamento.
Per i suesposti motivi, considerato che il trattamento dei dati personali effettuato dalla società sugli account di posta elettronica aziendale risulta illecito per violazione degli articoli 3, 11, comma 1, lett. a), d) ed e), 13 e 114 del Codice, si dispone il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti posti dall’articolo 160, comma 6, del Codice, in base al quale “la validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali, ancorché non conforme a disposizioni di legge o di regolamento, restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale”.
4. Aspetti sanzionatori.
L’Autorità si riserva di valutare, con autonomo procedimento, la sussistenza dei presupposti per la contestazione di violazioni amministrative nei confronti della società, in relazione all’omessa informativa agli interessati per i trattamenti effettuati attraverso il servizio di posta elettronica (v. precedente punto 3.1., in relazione all’art. 13 del Codice).
Si ricorda che, ai sensi dell’articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell’articolo 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.
TUTTO CIÒ PREMESSO, IL GARANTE
1. ritenuto illecito, nei termini di cui in motivazione (punto 3.5.), il trattamento di dati personali effettuato dalla società sugli account di posta elettronica aziendale in violazione degli articoli 3, 11, comma 1, lett. a), d) ed e), 13 e 114 del Codice, ai sensi degli articoli 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice vieta l’ulteriore trattamento dei dati indicati in premessa, salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti di cui all’articolo 160, comma 6 del Codice;
2. ai sensi dell’art. 157 del Codice, invita, altresì, entro 30 giorni dalla data di ricezione del presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto vietato nel presente provvedimento e di fornire comunque un riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta si sensi dell’articolo 157 è punito con la sanzione amministrativa di cui all’articolo 164 del Codice.
Ai sensi degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 1° febbraio 2018
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia