Intervento del Garante per la privacy in materia di controllo a distanza dei lavoratori, alla luce di quanto stabilito dal Codice in materia di protezione dei dati personali e dallo Statuto dei lavoratori.  (Registro dei provvedimenti n. 547 del 22 dicembre 2016)

Il reclamo dell’ex dipendente
La vicenda ha origine da un reclamo prodotto da un ex dipendente di una società che lamentava la illegittimità del trattamento dei dati personali effettuato dal datore di lavoro e, quindi, chiedeva al Garante privacy di ordinare il divieto del trattamento di suddetti dati oltre alla cancellazione dei dati trattati in violazione di legge, previa trasmissione della corrispondenza personale presente nell’account di posta elettronica e dei files personali contenuti nel telefono aziendale assegnatogli.
La posizione del datore di lavoro
La società, dal suo canto, ha dichiarato che:

1. le dotazioni informatiche assegnate dal datore di lavoro ai dipendenti (pc e telefonini) dovrebbero essere usate solo per fini lavorativi, anche se la policy aziendale prevedeva la possibilità di un uso per fini privati di tali device;

2. non viene effettuato il backup dei dati contenuti nei dispositivi assegnati ai dipendenti;

3. l’accesso ai dati contenuti nell’account di posta elettronica è subordinato ad una procedura di autorizzazione che prevede l’impiego di una parola chiave;

4. La società non effettua controlli sistematici sull’utilizzo degli strumenti elettronici dei dipendenti ma si riserva la facoltà di effettuare accessi o controlli mirati ex post in caso di prolungata assenza o di impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività aziendale, di sicurezza del sistema o sospetto di attività illecite.

Dall’esame condotto dal Garante è emerso che la società, in qualità di titolare del trattamento, compie operazioni di trattamento di dati personali riferiti al reclamante come ad altri dipendenti, sia in costanza di rapporto di lavoro che successivamente alla sua cessazione.
Inoltre, la informativa non esplicita le modalità e le finalità della attività di raccolta e conservazione dei dati. Ciò in contrasto con l’obbligo posto in capo al titolare del trattamento di fornire una preventiva informativa all’interessato in ordine alle caratteristiche essenziali dei trattamenti effettuati. Così come la informativa deve indicare, anche, le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema  per finalità connesse alla fornitura del servizio..
 

La raccolta sistematica delle comunicazioni elettroniche veicolate attraverso gli account aziendali dei dipendenti in servizio, così come la loro memorizzazione e la possibilità di accedervi consente alla società di effettuare il controllo a distanza dell’attività dei dipendenti.
Tale condotta rientra nell’alveo della fattispecie di cui all’art. 4 della l. n. 300/1970, cd Statuto dei lavoratori, che non consente di svolgere attività idonee a realizzare il controllo massivo, prolungato ed indiscriminato dell’attività del lavoratore.
Il datore di lavoro, pur potendo verificare l’esatto adempimento della prestazione contrattuale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve salvaguardare la loro libertà e la dignità.
Ciò significa che, nel rispetto dei principi di liceità e correttezza dei trattamenti dei dati personali, deve informare il lavoratore – in modo chiaro e dettagliato – riguardo alle modalità di utilizzo degli strumenti aziendali e circa la possibilità di svolgere eventuali controlli su base individuale.
Se manca un regolamento interno che dettagli tali aspetti ciò può determinare una legittima aspettativa del lavoratore o di terzi, nel ritenere come confidenziali tali forme di comunicazione (internet e/o Telefonini).
 

Il trattamento dei dati effettuato dalla società attraverso gli account di posta elettronica aziendale risulta illecito per violazione del Codice in materia di protezione dei dati personali.
Si dispone, quindi, il divieto di ulteriore trattamento dei predetti dati, fatta salva la loro conservazione per esclusive finalità di tutela dei diritti in sede giudiziaria.