Il Garante per la protezione dei dati personali ha infatti adottato il documento di indirizzo denominato: “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Registro dei provvedimenti n. 642 del 21 dicembre 2023), pubblicato dall’autorità il 6 febbraio 2024.

A determinare la necessità di adottare il nuovo approccio circa la gestione della posta elettronica in azienda, sono stati gli accertamenti effettuati dall’Autorità.

Come si legge nell’introduzione del documento in esame, infatti, da tali accertamenti è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (quali: giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale. Inoltre, tali programmi spesso limitano le possibilità del cliente (datore di lavoro) di modificare le impostazioni di base al fine di disabilitare la raccolta sistematica di tali dati o di ridurne il periodo di conservazione.

Si ricorda che, il contenuto dei messaggi di posta elettronica – al pari dei dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza costituzionalmente tutelate (Artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona ed il pieno sviluppo della sua personalità nelle formazioni sociali. Ne deriva che, anche per quei messaggi inviati nel contesto lavorativo sussiste una legittima aspettativa di riservatezza.

In sintesi, il Garante chiede ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti, consentano di modificare le impostazioni di base impedendo la raccolta dei metadati o in alternativa limitandone la conservazione ad un massimo di 7 giorni, estensibili di ulteriori 48 ore in presenza di comprovate e documentate esigenze che giustifichino il prolungamento. Detto lasso temporale, secondo il Garante, è perfettamente congruo ad assicurare il regolare funzionamento della posta elettronica in uso ai dipendenti.

I datori di lavoro a cui risulti indispensabile, per necessità organizzative e produttive ovvero al fine di tutelare il patrimonio anche informavo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi), conservare i metadati in questione per un lasso di tempo maggiore di quello di cui sopra dovranno espletare le procedure di garanzia previste dall’art. 4, c.1 dello Statuto dei lavoratori, e dunque pervenire ad un accordo sindacale oppure ottenere l’autorizzazione da parte dell’ispettorato del lavoro.

Diversamente, la condotta del datore sarà da considerarsi in contrasto con la normativa in materia di protezione dei dati personali e con la disciplina sui controlli a distanza, con conseguenti responsabilità sul piano sia amministrativo che penale.

L'articolo Garante Privacy – Nuove tutele per le email dei dipendenti proviene da Tesoro & Partners.

Il trattamento dei dati effettuato mediante tecnologie informatiche deve conformarsi al rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato, a prescindere dalla tipologia contrattuale che regola il rapporto di lavoro.

Così il Garante Privacy, con l‘ordinanza ingiunzione del 7 aprile 2022 [9771545] in forza della quale ha imposto ad una società la sanzione di € 50.000 per aver gestito l’account e-mail di un agente violando le tutele previste dal GDPR .

Nel caso di specie, la società inibiva ad una propria collaboratrice – agente in esclusiva – l’accesso all’account e-mail aziendale fornitole in costanza di rapporto, senza preavviso né successiva giustificazione, modificandone le password d’accesso.

L’agente notificava reiterate richieste di immediato ripristino dell’account, fondamentale per l’esecuzione delle attività lavorative nonché a tutela della propria dignità, immagine, onore e riservatezza, in quanto in esso erano serbate anche comunicazioni strettamente personali.

La società, invece, ignorava le richieste dell’agente e manteneva attivo l’account anche successivamente alla cessazione del rapporto di lavoro, pervenuta due mesi dopo.

A seguito del reclamo dell’agente e delle indagini del Nucleo Speciale Privacy della Guardia di Finanza, il Garante Privacy muoveva numerose contestazioni alla società, tra cui:

1) La violazione del principio di “limitazione della conservazione” ex art. 5, par. 1 del GDPR, in virtù della persistente vitalità dell’account aziendale assegnato alla reclamante;

2) Il mancato rilascio da parte della società di alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account e-mail aziendale in costanza di rapporto ed al termine di questo, in violazione dell’obbligo previsto dall’art. 13 del GDPR, anche alla luce delle linee guida del Garante per posta elettronica e internet del 1° marzo 2007, pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007 (doc. web n. 1387522);

3) La violazione degli artt. 12, par. 3, e 15 del GDPR, rispettivamente in virtù del mancato riscontro dell’istanza dell’interessata e dell’inibito accesso all’account aziendale in questione.

La società si difendeva sostenendo, per quanto di interesse, che l’inibizione era giustificata da un’indebita rivelazione di informazioni aziendali riservate da parte dell’agente, di aver mantenuto attiva la casella per eventuali indagini difensive e che in ogni caso l’agente non era equiparabile al lavoratore subordinato, stante la connaturata autonomia organizzativa ed operativa.

In merito a tale ultimo aspetto, il Garante (Newsletter del 19/05/2022) ricorda che la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in tale occasione si sviluppano relazioni dove si esplica la personalità del lavoratore. Pertanto, «pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia, il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi».

Sotto diverso profilo, il Garante ha confermato anche la violazione dell’art. 13 del GDPR, sostenendo che il ruolo professionale di agente assegnato alla reclamante non rileva né rispetto all’obbligo informativo né rispetto a quello di corretta e trasparente gestione dell’account aziendale assegnato, in quanto «tali obblighi devono ritenersi sussistenti in ragione già del trattamento di dati personali che riguardano una determinata persona fisica in quanto ‘interessata’».

Per il Garante è confermata, inoltre, anche la violazione da parte della società del principio di “limitazione della conservazione” e del connesso principio di “minimizzazione”, stante la mancata rimozione dell’account dopo la cessazione del rapporto di lavoro, previa disattivazione dello stesso e la contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale.

Tale violazione è resa ancora più grave quando, come nel caso di specie, l’account contiene anche informazioni e comunicazioni di natura strettamente personale, «la cui conoscibilità potrebbe arrecare un grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa».

L'articolo Tutele sul trattamento dati applicabili a qualsiasi rapporto di lavoro proviene da Tesoro & Partners.

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.
È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9669974
L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.
Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal GDPR.
Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.
Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare «al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro».
Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per rendere anonimo il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

L'articolo Garante Privacy: no al controllo indiscriminato dei lavoratori proviene da Tesoro & Partners.