Con il provvedimento n. 472/2024 del 17 luglio 2024 il Garante per la protezione dei dati personali ha sanzionato una società con una multa di €80.000 per violazione dei principi del GDPR, dovuta al trattamento illegittimo tramite un software di gestione e archiviazione sistematica delle mail (compreso backup delle stesse).
La vicenda origina da un reclamo presentato da un ex collaboratore della società, il quale lamentava un trattamento illecito dei propri dati personali, riconducibile alla gestione della casella di posta elettronica aziendale a lui assegnata durante il rapporto di collaborazione. L’indagine del Garante ha evidenziato come la società conservasse i backup delle email dei collaboratori per un periodo prolungato – fino a tre anni – dalla cessazione del rapporto lavorativo. Tale pratica è risultata in contrasto con il principio di minimizzazione, sancito dall’articolo 5, paragrafo 1, lettera c), del GDPR, poiché il periodo di conservazione eccedeva le finalità dichiarate e non era adeguatamente giustificato rispetto alle esigenze di continuità aziendale.
Successivamente, il Garante ha analizzato l’informativa condivisa dalla società rilevando la violazione degli obblighi di trasparenza e liceità del trattamento previsti dall’articolo 5, paragrafo 1, lettera a), e dall’articolo 13 del GDPR. In particolare, l’informativa ometteva dettagli relativi alle modalità del trattamento – limitandosi a menzionare genericamente la possibilità di accesso alla casella di posta per esigenze di sicurezza informatica e continuità operativa – senza specificare i tempi di retention dei backup delle email successivi alla cessazione del rapporto lavorativo.
In ultima analisi, sotto al profilo giuslavoristico l’utilizzo di questa soluzione software “aggiuntiva” sollevava questioni sotto il profilo del controllo a distanza sui lavoratori, ai sensi dell’articolo 4 dello Statuto dei Lavoratori (Legge n. 300/1970), richiamato dall’articolo 114 del Codice Privacy. Secondo tale disciplina, l’impiego di strumenti che permettono un controllo indiretto dell’attività lavorativa è consentito solo previo accordo con le rappresentanze sindacali aziendali o autorizzazione dell’Ispettorato del lavoro. L’utilizzo del software per il backup delle email, senza l’adozione delle citate garanzie, comportava un potenziale monitoraggio delle attività lavorative, poiché il sistema permetteva di conservare i dati, trattare il contenuto della posta elettronica che transitava sugli account aziendali, e infine accedere ai log di accesso alle caselle di posta e al gestionale in uso ai dipendenti (metadati che venivano conservati per un periodo di 6 mesi).
Appare evidente che questa raccolta poteva quindi consentire alla società sia di ricostruire l’attività dei collaboratori attraverso l’analisi delle comunicazioni sia di mappare i metadati relativi agli accessi, offrendo una ricostruzione dettagliata dell’attività lavorativa dei dipendenti – anche oltre la cessazione del rapporto – risultando così eccessiva e non proporzionata rispetto al conseguimento delle finalità dichiarate (di sicurezza della rete informatica e di continuità dell’attività aziendale) e trasformando potenzialmente il software in uno strumento di potenziale controllo a distanza.
Il Garante criticando il sistema di back-up delle caselle di posta elettronica aziendale, ha affermato che “per assicurare l’ordinario svolgimento e la continuità dell’attività aziendale, è necessario predisporre sistemi di gestione documentale in grado di archiviare e conservare i documenti “con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile” e che tali caratteristiche “non possono rinvenirsi nei sistemi di posta elettronica che, infatti, rispondono ad altre finalità”.
In esito alla propria istruttoria, l’Autorità ha comminato alla società una sanzione amministrativa di €80.000, calcolata tenendo conto delle gravi carenze riscontrate, nonché dell’assenza di precedenti specifici a carico della società e della sua collaborazione per conformarsi alle indicazioni dell’Autorità sospendendo l’utilizzo del software. Il Garante ha altresì disposto il divieto di ulteriore trattamento dei dati estratti tramite il software.
Dal provvedimento emerge quindi, ancora una volta, l’esigenza per i titolari di indicare sempre in sede di informativa ai propri collaboratori le finalità del trattamento assieme la limitazione del periodo di conservazione dei dati personali in maniera puntuale e specifica in modo da non incorrere in eventuali sanzioni.
