Controllo delle e-mail dei lavoratori, arriva il provvedimento del Garante. Il parere dell'esperto - Studio Legale Lisi

L’Autorità Garante per la protezione dei dati personali ha sanzionato, con una multa di 80mila euro, un’azienda che utilizzava un software per fare il backup della posta elettronica dei propri dipendenti durante il rapporto di lavoro. La notizia ha suscitato diverso scalpore tra le pagine del social web, innescando una serie di fraintendimenti e commenti affrettati che ad oggi necessitano di un’analisi attenta e accurata da parte dei professionisti del campo. Specialmente alla luce di quanto emerso dall’indagine denunciata su Equalize che ha profondamente scosso il sistema Paese.

Alla luce di tale vicenda, l’Avv. Andrea Lisi è intervenuto sulla sua Newsletter di Linkedin, “Appunti di ICT Law”, per analizzare il provvedimento del Garante in punto di diritto e risolvere alcuni dubbi sulla questione.

La vicenda e la sanzione del Garante

In seguito ad un reclamo presentato da un agente di commercio, il Garante è intervenuto per accertare che una società, nel corso del rapporto di lavoro, aveva effettuato un backup della posta elettronica dei propri dipendenti e collaboratori, conservando sia i contenuti che i log di accesso alle email e al gestionale aziendale, utilizzando un apposito software. Le informazioni raccolte, tra l’altro, erano poi state utilizzate dalla società in un contenzioso.
Come stabilito dall’Autorità, il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore, né utilizzare un software per conservare una copia dei messaggi. Un simile trattamento di dati personali, infatti, oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore. Il Garante ha poi appurato l’inidoneità e la carenza dell’informativa resa ai lavoratori, e una più generale non conformità alla disciplina sulla protezione dei dati, decidendo di irrogare una sanzione di 80mila euro e stabilire il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.

Il parere dell’esperto

Secondo l’Avv. Andrea Lisi “Un’attività in “stile Gestapo” che porti datori di lavoro a fare indagini comportamentali sui propri dipendenti, ispirati magari anche da pruriti voyeuristici, non può essere tollerata e sarebbe da considerarsi in aperto contrasto con l’art. 4 dello Statuto dei lavoratori perchè porrebbe in essere evidentemente un immotivato (e assolutamente illecito) controllo a distanza. […] In relazione a questa materia rimangono attuali le Linee Guida del Garante per posta elettronica e internet del 10 marzo 2007 e il recente provvedimento (il secondo , di chiarimento, del 6 giugno 2024) sui metadati. La lettura di questi provvedimenti può aiutare a fare ordine in materia, anche in questo specifico caso sottoposto all’attenzione del Garante, perché senz’altro il datore di lavoro ha operato con scarsa trasparenza.
Tuttavia, non si può non evidenziare che si era in presenza di un datore di lavoro che ha correttamente informato, attraverso documenti nella disponibilità di dipendenti e collaboratori, sulla possibilità di effettuare controlli sugli strumenti aziendali, esplicitando regole e procedure attraverso le quali quei controlli potevano essere posti in essere e chiarendo le tempistiche di conservazione dei dati personali acquisiti. In questo specifico caso, peraltro, il controllo era stato effettuato per verificare gravi illeciti perpetrati ai danni dell’impresa, al fine quindi di acquisire prove digitali utili per un procedimento avviato a carico di quel collaboratore, e per esercitare il proprio diritto di difesa in giudizio, base giuridica che, seppur non riportata espressamente nell’informativa, meriterebbe forse una particolare considerazione.
[…] In conclusione, il provvedimento del Garante è severo, meticoloso, formalmente corretto nell’evidenziare una manchevolezza informativa, ma -in questi casi- occorrerebbe, a mio modesto avviso, operare un delicato bilanciamento degli interessi in gioco e andrebbe anche considerato con attenzione ciò che il titolare del trattamento ha deciso di fare e documentare nelle sue azioni di trattamento, valutando con maggiore coraggio interpretativo quell’essenziale principio di responsabilizzazione che altrimenti rischia di svuotarsi del tutto nelle applicazioni concrete del GDPR da parte di PA e imprese.”

Per leggere il contenuto completo:

VAI ALLA NEWSLETTER

Immagine creata con Image Creator, Microsoft, 2024

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Controllo delle e-mail dei lavoratori, arriva il provvedimento del Garante. Il parere dell’esperto

Controllo delle e-mail dei lavoratori, arriva il provvedimento del Garante. Il parere dell’esperto

La vicenda e la sanzione del Garante

Il parere dell’esperto

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Privacy Symposium 2026

AI e Commercialisti. Responsabilità, Etica e Futuro

Lo ho-BIT – Andata e Ritorno

Di

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco