Con un interessante provvedimento del Garante della Privacy, esplicato nella sua struttura in data odierna sul sito ufficiale dell’Autorità, è stato fornito un chiarimento riguardo il controllo massivo dei lavoratori e la conservazione delle Email dei dipendenti.
Con il Provvedimento è stata contestata a un’Azienda una modalità illecita di supervisione dei lavoratori, in violazione sia delle disposizioni in tema di protezione dei dati personali sia nell’ambito della disciplina lavoristica. Nello specifico, il Garante, in seguito ad un reclamo fatto pervenire da un dipendente, ha evidenziato il manifestarsi di un trattamento illecito dei dati personali dei lavoratori, generatosi, in concreto, con la consultazione e l’archiviazione “sine die” non solo delle comunicazioni aziendali, ma anche di quelle di natura privata, scambiate tra colleghi e collaboratori a mezzo mail. Le informazioni, raccolte avvalendosi di modalità in antitesi con i principi di liceità, necessità e proporzionalità del trattamento[1], sono state in seguito utilizzate per l’emanazione di un provvedimento disciplinare, evolutosi nel licenziamento del lavoratore, successivamente annullato grazie all’intervento del Giudice del lavoro. La società ha giustificato tale controllo massivo e a distanza, appellandosi al legittimo interesse e alla necessità di una eventuale difesa in giudizio. Una linea difensiva abbastanza lacunosa, infatti, le modalità poste in essere risultano in contrasto con la legittima aspettativa di riservatezza dei lavoratori, che dovrebbero vedere cancellato il proprio account email aziendale e le informazioni in esso contenute una volta cessato il rapporto di lavoro. Inoltre la stessa disciplina giuslavoristica[2] stabilisce, che il controllo sulla corretta esecuzione della prestazione lavorativa può essere effettuato solo con precise modalità, a tutela della libertà e della dignità dei dipendenti. Va altresì rilevata la totale inconsapevolezza di tali controlli da parte degli interessati, che non ne hanno ricevuto notizia né tramite una apposita informativa, né attraverso la lettura della policy aziendale, in contrasto con lo specifico obbligo, posto in capo al titolare, in tal senso[3].
L’Azienda, secondo quanto definito dall’Autorità, avrebbe potuto avvalersi di sistemi di gestione documentale atti ad effettuare una selezione delle informazioni rilevanti, procedendo quindi ad una loro archiviazione per un tempo adeguato, evitando una raccolta di informazioni massiva e indiscriminata.
Il Garante, si è altresì riservato di emanare eventuali sanzioni con un autonomo provvedimento.
[1] cfr. Decreto legislativo 30 giugno 2003, n. 196(Codice in materia di protezione dei dati personali) artt.3 e 11.
[2] cfr. Legge 1970, n. 300 (Statuto dei lavoratori) art.4;
[3] cfr. Decreto legislativo 30 giugno 2003, n. 196(Codice in materia di protezione dei dati personali), art. 11 lett.(a e art.13.