Illegittimo trattamento della posta elettronica dei dipendenti.
Garante per la Protezione dei Dati Personali, Registro provvedimenti 409 del 2022.
A fronte della presunta rivelazione di notizie d’ufficio, la Regione Lazio aveva effettuato un controllo sulle e-mail dei legali dell’Amministrazione regionale chiedendo al responsabile delle reti informatiche una verifica sui flussi di mail in uscita dalle caselle di posta elettronica istituzionale, attribuite agli avvocati dell’avvocatura regionale.
Nell’ambito della ispezione scaturita a seguito di segnalazione, il Garante ha rilevato che non è stata data prova che i dipendenti siano stati informati della possibilità di consultare il disciplinare sull’utilizzo della posta elettronica all’interno dell’intranet regionale.
L’obbligo di fornire tutti gli elementi informativi essenziali risponde all’esigenza di consentire di essere pienamente consapevole delle caratteristiche dello stesso.
Gli oneri informativi nei confronti dei dipendenti sono una precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici da parte del datore di lavoro.
La Regione non ha provveduto a rendere agli interessati tutti gli elementi informativi previsti dal Regolamento e non ha agito in maniera non conforme al principio di liceità, correttezza e trasparenza.
Il contenuto dei messaggi di posta elettronica riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, che proteggono la dignità della persona. Anche nel contesto lavorativo, sussiste una legittima aspettativa di riservatezza in relazione ai messaggi.
La conservazione dei metadati relativi all’utilizzo della posta elettronica dei dipendenti, ancorché sul presupposto della sua necessità per finalità di sicurezza informatica, può comportare un indiretto controllo a distanza, che la legge consente esclusivamente al ricorrere di esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, e in presenza delle garanzie procedurali previste dalla legge 300/1970 (accordo sindacale o autorizzazione pubblica).
La generalizzata raccolta e la conservazione, per un periodo esteso, della posta elettronica rientra tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare.
La Regione, invece, non ha attuato le procedure di garanzia di cui all’articolo 4 della legge 300/1970, prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica e alla conservazione degli stessi per un ampio arco temporale.
I trattamenti di dati personali connessi all’impiego di strumenti dai quali possa derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori devono essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste dalla cornice legislativa di riferimento, che ne costituisce la base giuridica. Ai sensi dell’articolo 4 della legge 300/1970, anche le esigenze di tutela del patrimonio datoriale sono state espressamente incluse tra le sole finalità lecite perseguibili mediante sistemi che possono comportare il controllo indiretto sulla generalità dei dipendenti, subordinandone l’installazione e l’utilizzazione all’accordo sindacale o, in alternativa, all’autorizzazione pubblica.
Al datore di lavoro, pubblico e privato, è fatto divieto di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.
La generalizzata raccolta e la conservazione della posta elettronica, per un periodo di tempo esteso, comporta, altresì, la possibilità per il datore di lavoro di acquisire informazioni sulla vita privata o su fatti non rilevanti ai fini della valutazione dell'attitudine professionale.
Né può essere ritenuto sufficiente, a tal fine, che il datore di lavoro, si limiti a richiamare il corretto utilizzo della posta elettronica da parte dei propri dipendenti per soli fini istituzionali o connessi al rapporto di lavoro, facendo leva esclusivamente sulla responsabilità dei dipendenti e sul divieto di utilizzo degli strumenti informativi per fini personali. Ciò in quanto, considerato che la linea di confine tra ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto, non può essere prefigurato il completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale.
Il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, la conformità ai principi applicabili al trattamento dei dati. Dalla circostanza che la Regione abbia chiesto ad una società di effettuare i controlli su tali metadati si desume, peraltro, che la stessa fosse a conoscenza della raccolta degli stessi, che veniva effettuata per proprio conto e nel proprio esclusivo interesse.
Il Garante ha, dunque, ingiunto alla Regione Lazione di pagare la somma di euro centomila a titolo di sanzione amministrativa pecuniaria per le violazioni realizzate.
20 settembre 2023