Il Garante ha emanato un provvedimento contro Selectra S.p.a. per aver effettuato il backup delle email dei dipendenti ed averle conservate per anni.
Backup email dipendenti: la vicenda
Il 17 luglio 2024, il Garante ha emesso un provvedimento contro Selectra S.p.a., azienda che opera nel settore della distribuzione elettrica. Il motivo principale del provvedimento è stato l’utilizzo del software Mail Store per effettuare il backup delle email dei dipendenti.
La vicenda è origina dal reclamo di un ex collaboratore. Quest’ultimo aveva denunciato la società per aver mantenuto attivo il suo account email anche dopo aver cessato la sua attività lavorativa presso quell’azienda.
Selectra non solo aveva avuto accesso, ma aveva anche effettuato il backup delle email dei dipendenti, conservando per tre anni le comunicazioni che erano state inviate e ricevute durante il rapporto lavorativo. Aveva giustificato questo comportamento dicendo che ciò era dovuto a esigenze di sicurezza e tutela giudiziaria. Tuttavia, il Garante ha rilevato che tale trattamento superava i limiti di liceità e proporzionalità imposti dal GDPR.
Per approfondire > Garante privacy: la difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore
Le violazioni riscontrate dal Garante
Accedere e raccogliere i metadati e le comunicazioni elettroniche per fini di sicurezza, in assenza di un accordo sindacale o di un’autorizzazione dell’Ispettorato del Lavoro, rappresenta una violazione dei diritti individuali.
I principi violati sono stati i seguenti:
- principio di accountability: il datore di lavoro, oltre a rispettare i limiti imposti dalla legge, deve anche giustificare ogni trattamento connesso alla sicurezza. In questo modo potrà dimostrare la reale necessità delle misure adottate. L’adozione di strumenti di controllo massivo può condurre a un monitoraggio sistematico dei lavoratori, in contrasto con il quadro normativo.
- liceità del trattamento dei dati personali: la liceità del trattamento dei dati personali impone che il trattamento sia fondato su una base giuridica solida e conforme alle finalità dichiarate. Selectra, avendo conservato i dati per tre anni dopo la cessazione del rapporto lavorativo, non può essere giustificata da una necessità né può parlare di proporzionalità del trattamento dei dati.
- minimizzazione dei dati: questo principio richiede che vengano trattati i dati essenziali alle finalità dichiarate, ma la conservazione prolungata dei metadati e delle email in questo caso ha superato questi limiti.
- tempi di conservazione dati: è stata violata la limitazione della conservazione dei dati, perché Selectra non ha fornito i motivi per cui ha agito in questo modo.
L’uso illegittimo del software Mail Store per accedere alle comunicazioni personali dell’ex collaboratore dell’azienda è stato considerato un elemento cruciale del provvedimento. La mancanza di informativa adeguata e la conservazione prolungata dei dati minano il diritto del lavoratore di conoscere il destino dei propri dati, compromettendo la fiducia nei confronti dell’azienda.
Per saperne di più > Informativa privacy? L’ultima cosa da fare (e non con copia e incolla)
Backup delle email dei dipendenti? Il Garante opta per la sanzione
Il Garante per la protezione dei dati personali ha quindi optato per una sanzione amministrativa di 80.000 euro. Nel provvedimento il Garante ha specificato come il comportamento dell’azienda abbia violato più previsioni del GDPR, essendo emerso come avesse conservato:
- l’accesso alle email degli ex dipendenti;
- il contenuto e i metatdati delle email dei dipendenti;
- i log di accesso all’email;
- i log di accesso al gestionale aziendale.
Dati conservati per un periodo di tempo troppo lungo (ben 3 anni) e utilizzati poi dalla società in un contenzioso. Questo nonostante il Garante abbia già ribadito in precedenti provvedimento come la difesa in giudizio non giustifichi l’accesso all’email dei lavoratori.
Violato anche il dovere di informare gli interessati. Il documento prevedeva si la possibilità di accesso alla posta elettronica dei lavoratori, ma solo in caso di assenza o cessazione del rapporto, senza citare tra l’altro i backup e il tempo di conservazione di questi dati.
Oltre alla sanzione, il Garante Privacy ha vietato la continuazione dell’utilizzo del software per il backup della posta elettronica.
Sorveglianza dei lavoratori: una questione delicata
Oltre a risolvere specificatamente la questione legata al comportamento di Selecta S.p.A., il provvedimento solleva una questione di particolare rilevanza, poiché riguarda l’uso di strumenti tecnologici destinati a sorvegliare i lavoratori, incidendo così sulla privacy e sui diritti costituzionali a tutela della dignità personale. Si tratta di un tema delicato, in cui si bilanciano i diritti del datore di lavoro di proteggere i propri interessi aziendali e quelli del lavoratore di tutelare la propria riservatezza. Fino a che punto è legittimo introdurre tecnologie volte al monitoraggio dei dipendenti in un contesto lavorativo?
Il Garante, con il provvedimento, ribadisce che strumenti di questo tipo non possono essere utilizzati in modo indiscriminato. Il controllo a distanza dei lavoratori deve essere sottoposto a rigorosi limiti giuridici. In caso contrario, rischia di compromettere diritti inviolabili, come la dignità e la riservatezza.
Una delle novità più importanti sottolineate dal provvedimento risiede nell’importanza del diritto all’informazione. L’informativa fornita ai lavoratori non rappresenta infatti unicamente un adempimento formale, ma un elemento essenziale volto a rispettare i diritti dei dipendenti. Il compito delle aziende è quindi quello di bilanciare le proprie esigenze di sicurezza con il rispetto dei diritti dei lavoratori, senza trasformare la tecnologia in un controllo pervasivo.
Per approfondire > Videosorveglianza e controllo a distanza: il Garante Privacy sanziona un’azienda per violazione normativa privacy e Statuto dei lavoratori
Il provvedimento completo è disponibile qui.
I temi della privacy e della riservatezza, anche in ambito lavorativo, sono molto delicati. Non improvvisare e affidati agli esperti. Se cerchi un esperto privacy o hai bisogno di una consulenza specifica per la tua azienda…