La conservazione delle email del lavoratore alla luce dei provvedimenti del Garante per la protezione dei dati personali

Massima

I provvedimenti del Garante della privacy riaffermano il diritto alla riservatezza dei lavoratori, bilanciando le esigenze aziendali di controllo con i principi di proporzionalità e minimizzazione del GDPR.

Il monitoraggio dei dati personali, incluso l’accesso alla posta elettronica aziendale successiva alle dimissioni, è lecito solo se limitato, giustificato e trasparente. Le aziende sono obbligate ad informare i dipendenti sulle attività di controllo e a garantire adeguate misure di sicurezza contro violazioni informatiche.

Il caso

Il provvedimento del Garante emesso il 17 luglio 2024 analizza la situazione in cui l’accesso del datore di lavoro alla casella di posta elettronica di un dipendente avviene dopo la cessazione del rapporto lavorativo. Nello specifico è stato presentato un reclamo da parte di un dipendente per violazione della protezione dei dati personali. Il reclamante rappresentava che il suo account di posta elettronica aziendale era stato mantenuto attivo anche successivamente all’interruzione del rapporto di lavoro.  La società ha giustificato la propria azione precisando che esegue periodicamente backup e che, nel caso di specie, aveva avviato un’azione giudiziaria al seguito di fondati sospetti di sottrazione di segreti aziendali richiedendo una perizia e rendendo inattivo il profilo nel momento successivo. Veniva inoltre prodotta l’informativa per i collaboratori nel quale si precisa la possibilità di effettuare verifiche e accertare la correttezza della prestazione attraverso l’utilizzo della casella di posta.         All’esito dell’esame delle dichiarazioni rese durante il procedimento, risulta che la società titolare del trattamento ha effettuato operazioni non conformi alla disciplina in materia di protezione dei dati personali.

La questione

Questo tema è particolarmente delicato poiché tocca aspetti di riservatezza e di autonomia dell'individuo anche in ambito lavorativo. La normativa GDPR (articoli 5,6 e 88) e le disposizioni del Codice della Privacy (d.lgs. 196/2003) richiedono che ogni trattamento dei dati, anche nel contesto aziendale, rispetti i principi di minimizzazione, liceità, correttezza e trasparenza. Si può evincere che il datore di lavoro non può disporre liberamente dei dati e delle comunicazioni elettroniche dei dipendenti senza una base giuridica adeguata e proporzionata.

Un elemento innovativo del provvedimento del Garante è la limitazione dell'accesso da parte del datore di lavoro ai dati di un dipendente, anche dopo la cessazione del rapporto lavorativo. Secondo il Garante, il diritto di controllo non può estendersi oltre la durata necessaria per garantire la continuità aziendale o l'assistenza tecnica. La protezione della privacy dei dipendenti trova radici nel principio di proporzionalità, che limita l'invasività dei controlli. Il Garante ha osservato che anche i principi generali del GDPR, quali il rispetto della dignità e della riservatezza, devono sempre guidare l'uso delle informazioni raccolte tramite monitoraggio elettronico.

In tal senso, è utile richiamare le linee guida elaborate dalla Corte Europea dei Diritti dell'Uomo (CEDU), che ha enfatizzato la necessità di mantenere la sorveglianza proporzionata rispetto allo scopo. La CEDU ha chiarito che i controlli difensivi devono basarsi su un sospetto legittimo di illecito e devono essere notificati ai dipendenti, in modo tale da evitare qualsiasi arbitrarietà o invasività eccessiva nei confronti dei lavoratori.

Le soluzioni giuridiche

Il Garante ha ribadito l'obbligo per il datore di lavoro di implementare sistemi di protezione che garantiscano la sicurezza delle informazioni anche nel contesto di archiviazione e gestione cloud. Questo punto è stato enfatizzato nel documento di indirizzo del 6 giugno 2024, dove si raccomanda ai datori di lavoro di scegliere soluzioni informatiche che permettano di modulare i periodi di conservazione dei dati, in modo da ridurre al minimo l'esposizione ai rischi.

Più di recente, il 22 ottobre 2024 il garante si è focalizzato su una violazione dei dati personali da parte di una società derivante da un attacco informatico. Questo evento ha evidenziato la necessità di rafforzare le misure di sicurezza in azienda, considerando che l'articolo 32 GDPR impone ai titolari del trattamento di adottare misure adeguate e proporzionate per proteggere i dati personali da accessi non autorizzati o perdite di dati. Tale responsabilità è evidenziata dalla giurisprudenza nazionale, che considera l'omessa adozione di misure tecniche adeguate come una violazione della privacy, in conformità con i precedenti interventi del Garante.

La giurisprudenza italiana, come evidenziato nella sentenza Cassazione civ., sez. lav., n. 18168/2023, ha riaffermato che il controllo difensivo sulla posta elettronica aziendale è consentito solo in presenza di concreti e giustificati sospetti di illecito e solo previa adeguata informazione ai lavoratori. Infatti, è ritenuta illegittima l'acquisizione indiscriminata di corrispondenza aziendale senza che il lavoratore ne fosse informato o che esistesse una valida giustificazione.

Il Garante, richiamando questi principi, ha ribadito che il diritto alla privacy del lavoratore non può essere sacrificato senza giustificazioni proporzionate, anche se la corrispondenza è generata su sistemi aziendali. Questo principio rispecchia anche la sentenza Cass. pen., sez. V, n. 47096/2007, che ha sottolineato come l'accesso alla posta elettronica dei dipendenti senza adeguata autorizzazione configuri una violazione della privacy, salvo che il dipendente abbia ricevuto notifica preliminare e chiara sulle modalità di controllo.

In linea con la sentenza della Cassazione n. 25732/2021, il provvedimento del Garante stabilisce che ogni controllo difensivo deve essere soggetto a una valutazione rigorosa basata sui principi di necessità e proporzionalità. Il Codice della Privacy, infatti, stabilisce che i dati personali trattati per scopi difensivi debbano essere limitati allo stretto necessario, per evitare una violazione della dignità del lavoratore. Ad esempio, se un datore di lavoro sospetta una condotta illecita, può effettuare un controllo sulle comunicazioni del dipendente solo se vi sono ragioni giustificate e se il controllo è proporzionato rispetto al sospetto. Questo principio trova supporto nella suindicata sentenza della Cassazione Penale che sottolinea come l'accesso alla corrispondenza aziendale debba avvenire solo per motivi legittimi e senza eccedere i limiti della riservatezza.

Osservazioni

In conclusione, il quadro che emerge dai recenti provvedimenti del Garante e dalla giurisprudenza esaminata rappresenta un rafforzamento dei diritti dei lavoratori in ambito di tutela della privacy. Il Garante ha chiaramente stabilito che i controlli sui dati e le comunicazioni dei dipendenti devono essere eseguiti in modo trasparente, proporzionato e limitato allo stretto necessario, e sempre preceduti da un’informativa chiara e dettagliata. Queste direttive, supportate dalla giurisprudenza, pongono limiti precisi alla capacità del datore di lavoro di monitorare e accedere alle informazioni aziendali e alle comunicazioni dei dipendenti, assicurando che tali attività siano sempre bilanciate rispetto ai diritti di riservatezza e dignità del lavoratore.

In questo modo, il Garante intende promuovere un ambiente di lavoro che sia rispettoso della dignità personale e della libertà individuale, nel quale il monitoraggio sia l’eccezione e non la regola, e dove ogni attività di controllo sia sempre giustificata da esigenze legittime e documentate.