Accedere all’e-mail del dipendente o del collaboratore e usare un software per conservare copia dei messaggi rappresenta illecito trattamento dei dati personali. Lo ha stabilito il Garante privacy che ha sanzionato la società Selectra e l’uso illecito del software Mail Store. I punti focali del provvedimento.
Il 17 luglio 2024, il Garante per la protezione dei dati personali ha emesso un provvedimento di grande rilevanza contro Selectra S.p.A., stabilendo l’illiceità del trattamento dei dati personali compiuto dall’azienda mediante l’uso del software Mail Store.
La vicenda trae origine dal reclamo di un ex collaboratore, che ha denunciato la società per aver mantenuto attivo e accessibile il proprio account di posta elettronica anche dopo la cessazione del rapporto lavorativo.
Selectra, infatti, aveva conservato per tre anni le e-mail scambiate durante il rapporto di collaborazione, giustificando tale condotta con presunte esigenze di sicurezza e tutela giudiziaria. Tuttavia, il Garante ha ravvisato numerose violazioni del Regolamento (UE) 2016/679, GDPR, rilevando che il trattamento dei dati eccedeva i limiti di liceità e proporzionalità imposti dalla normativa.
Questo provvedimento pone una questione di particolare rilevanza, poiché coinvolge l’uso di strumenti tecnologici volti a sorvegliare in modo sistematico i lavoratori, incidendo profondamente sulla sfera della riservatezza e sui diritti costituzionali a tutela della dignità personale.
Il punto centrale dell’analisi critica risiede nella tensione tra il diritto del datore di lavoro a proteggere i propri interessi aziendali e la tutela della dignità e riservatezza del lavoratore.
Il Garante ha osservato come l’accesso sistematico e la conservazione prolungata delle e-mail abbiano ecceduto i limiti della liceità, violando i principi di minimizzazione e proporzionalità del trattamento, come stabilito dal GDPR.
Le violazioni GDPR nel caso Selectra
In questo contesto, il controllo sui lavoratori tramite strumenti di sorveglianza, senza adeguate garanzie procedurali, rischia di configurarsi come una violazione dell’art. 4 dello Statuto dei Lavoratori.
Infatti, la raccolta sistematica dei metadati e delle comunicazioni elettroniche per fini di sicurezza, in assenza di un accordo sindacale o di autorizzazione da parte dell’Ispettorato del Lavoro, rappresenta un’indebita compressione dei diritti individuali.
La liceità del trattamento dei dati personali
La liceità del trattamento dei dati personali, come stabilito dall’art. 5 del GDPR, impone che il trattamento sia fondato su una base giuridica solida e conforme alle finalità dichiarate.
Tuttavia, la condotta di Selectra S.p.A. si discosta nettamente da tale principio, poiché la conservazione dei dati personali e delle comunicazioni e-mail per un periodo di tre anni dopo la cessazione del rapporto lavorativo non appare giustificata da una reale necessità o proporzionalità.
La corretta regolazione dei controlli a distanza
L’articolo 88 del GDPR, che riguarda il trattamento dei dati personali in ambito lavorativo, permette agli Stati membri di adottare norme specifiche per garantire che i diritti dei lavoratori non vengano compromessi dall’uso di strumenti tecnologici.
Il legislatore italiano ha fatto ricorso a questa possibilità, riaffermando con l’art. 114 del Codice Privacy l’importanza dello Statuto dei Lavoratori, in particolare l’art. 4, che regola i controlli a distanza.
In questo caso, Selectra ha violato anche questo principio, poiché non ha rispettato la procedura legale che richiede l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro prima di poter implementare strumenti di sorveglianza digitale.
La ratio di tale previsione è chiaramente fondata sulla necessità di proteggere i lavoratori da pratiche invasive che potrebbero ledere la loro dignità e limitare ingiustamente la loro libertà.
Questo controllo surrettizio delle attività personali e lavorative dei dipendenti, mascherato da ragioni di sicurezza o di continuità aziendale, si pone in netto contrasto con l’architettura costituzionale italiana, che tutela la persona in ogni aspetto della vita lavorativa e personale.
Riflessioni sul provvedimento del Garante privacy
Da tali riferimenti normativi possono trarsi le seguenti riflessioni.
Nel contesto del provvedimento emesso dal Garante della Privacy contro Selectra S.p.A., si evidenziano violazioni sostanziali dei principi fondamentali del GDPR, che meritano una riflessione approfondita alla luce delle norme europee e nazionali.
La violazione più evidente riguarda il principio di minimizzazione dei dati, previsto dall’art. 5, par. 1, lett. c) del Regolamento (UE) 2016/679, il quale impone che il trattamento dei dati sia limitato a quanto necessario rispetto alle finalità dichiarate.
La decisione di Selectra di conservare i dati relativi alle e-mail di un ex collaboratore per un periodo di tre anni, senza una giustificazione specifica, rappresenta una evidente eccedenza rispetto a quanto previsto dal GDPR.
La giustificazione addotta dall’azienda, ossia la necessità di proteggere la sicurezza informatica, non può legittimare una tale estensione temporale, che si presenta sproporzionata rispetto agli obiettivi iniziali dichiarati.
L’utilizzo improprio del software Mail Store rappresenta, inoltre, una violazione del principio di liceità stabilito dall’art. 5, par. 1, lett. a) del GDPR.
Sebbene l’azienda avesse giustificato l’utilizzo del software con esigenze di sicurezza informatica, è emerso che lo stesso è stato impiegato anche per verificare il contenuto delle e-mail a fini giudiziari, un’operazione non solo in contrasto con le finalità dichiarate, ma anche con le norme che regolano il trattamento dei dati nell’ambito della difesa giudiziaria.
Secondo il Garante, questo utilizzo travalica i limiti del trattamento lecito, configurandosi come una indebita estensione del controllo sui dati personali, destinata a scopi ulteriori non preventivamente comunicati.
In ultima analisi, il tema centrale del provvedimento riguarda il controllo a distanza dei lavoratori, vietato dall’art. 4 dello Statuto dei Lavoratori, se non effettuato secondo precise condizioni giuridiche, ovvero tramite accordo con le rappresentanze sindacali o autorizzazione dell’Ispettorato del Lavoro.
Selectra, ignorando tali requisiti procedurali, ha utilizzato il software Mail Store non solo per gestire le e-mail aziendali, ma anche per monitorare sistematicamente le attività di un ex collaboratore, configurando una violazione del diritto alla riservatezza e della dignità del lavoratore.
La conservazione prolungata e senza informativa adeguata è una delle componenti più gravi, poiché la mancanza di trasparenza nel trattamento dei dati mina la fiducia del lavoratore e viola il suo diritto a conoscere pienamente il destino dei propri dati.
La sanzione pecuniaria di 80.000 euro, benché significativa, rivela come il Garante abbia tenuto conto anche della cooperazione di Selectra, che ha sospeso l’utilizzo del software durante l’istruttoria.