Non si può fare il back up delle e_mail dei dipendenti o dei collaboratori attraverso software a ciò destinati, conservando i messaggi ivi contenuti e i file di log di accesso alla e_mail stessa e al gestionale aziendale.
Una tale condotta non solo viola la normativa in materia di trattamento dei dati personali, ma configura un vero e proprio controllo del lavoratore, contravvenendo anche alla disciplina giuslavoristica.
E’ il Garante privacy a ribadirlo, comminando una sanzione pari a 80mila euro ad un’azienda a seguito della segnalazione promossa da parte di un agente di commercio, che lamentava siffatta invadenza da parte della datrice di lavoro nel contenuto dei suoi messaggi scambiati via email.
L’Autorità, nel corso delle indagini, ha appurato che la società conservava sistematicamente copia dei messaggi inviati e ricevuti via email dai propri collaboratori e dipendenti attraverso un software. Tali informazioni erano poi utilizzate dalla società in un contenzioso.
Il Garante ha, inoltre, evidenziato come l’informativa resa ai dipendenti fosse inidonea e carente delle informazioni necessarie per rendere agli interessati la chiarezza e la trasparenza del trattamento dei loro dati personali imposte dal GDPR, in quanto prevedeva una generica possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza precisare, in dettaglio, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.
Nel decidere sulla questione, il Garante ha sottolineato che la sistematica conservazione delle email - effettuata per un lasso di tempo particolarmente lungo (pari a tre anni successivi alla cessazione del rapporto di lavoro) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, non rispettavano le norme in materia di privacy.
Si trattava, infatti, di un periodo di conservazione particolarmente eccessivo e illogico, rispetto alle finalità dichiarate nell’informativa dalla società, quali, garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
Tramite tale condotta la Società era stata in grado di ricevere minuziose informazioni circa l’attività dell’agente reclamante, violando altresì lo Statuto dei lavoratori, rispetto, in particolare, alle norme che vietano il controllo a distanza.
Per quanto concerne, infine, l’utilizzo delle informazioni nel procedimento giudiziario, l’autorità ha precisato che il trattamento dei dati personali effettuato accedendo alla posta elettronica del dipendente per fini di tutela giudiziaria, deve essere riferito a contenziosi già in corso e non invece ad ipotesi potenziali e astratte.
Oltre alla sanzione, l’Autorità ha imposto alla società di bloccare il trattamento illecito dei messaggi trasmessi e ricevuti dai dipendenti via email.