Controlli sulla email aziendale: quando il datore di lavoro è sanzionabile

E' illecita l'attività di controllo sui metadati connessi all’utilizzo della posta elettronica dei dipendenti, svolta dal datore di lavoro in maniera non conforme ai principi dettati dalla normativa privacy e in maniera difforme dalla disciplina in materia di controlli a distanza dei lavoratori.

Lo afferma il Garante per la privacy con ordinanza di ingiunzione 1° dicembre 2022, emessa nei confronti della Regione Lazio e pubblicata lo scorso 19 dicembre.

Posta elettronica aziendale: controlli per presunta rivelazione di notizie d’ufficio

Al Garante privacy giunge la segnalazione di un sindacato autonomo nella quale si rappresentava che la Regione Lazio aveva avviato un controllo sulle email dei propri legali, necessitato da una presunta rivelazione, da parte degli stessi, di notizie d’ufficio da tenere segrete.

Il controllo era stato effettuato sui flussi delle mail in uscita dalle caselle di posta elettronica istituzionale attribuite agli avvocati dell’avvocatura regionale, verificando mittente, oggetto e destinatario delle stesse nonchè effettuando una “ricognizione e pesatura” degli eventuali allegati.

Il sindacato evidenziava che le verifiche, massive ed indiscriminate, non erano giustificate da ragioni oggettive, nè formalmente richieste dal datore di lavoro (per la Regione Lazio da individuarsi “nel Direttore della Direzione regionale “Organizzazione e Personale” e non dal Segretario Generale, come invece risultava avvenuto).

Infine, non era stata fornita ai lavoratori alcuna informativa in relazione alla possibilità di detti controlli.

L'Amministrazione, in risposta alla richiesta d’informazioni da parte del Garante, aveva rilevato, in particolare, che i controlli erano motivati dall'esigenza di assicurare la sicurezza dei trattamenti e di tutelare la riservatezza delle informazioni gestite dagli avvocati. Inoltre l’iniziativa datoriale era tesa ad accertare eventuali comportamenti illeciti dei lavoratori (avvocati appartenenti all’Avvocatura regionale), sospettati di diffondere notizie d’ufficio che avrebbero dovuto rimanere segrete.

L’informativa sul trattamento dei dati personali per il personale in servizio, evidenziava l'Amministrazione, era stata pubblicata nella sezione della Intranet aziendale dedicata alla Privacy e il Segretario generale della Giunta regionale aveva il dovere ed i correlati poteri necessari per effettuare le verifiche.

Da ultimo si comunicava che del controllo (limitato a giorno, ora, mittente, destinatario, oggetto e dimensione dell’email) era stata incaricata LazioCrea, che aveva potuto svolgere l'operazione di analisi ed estrazione dei dati in quanto i metadati, relativi all’utilizzo degli account di posta elettronica istituzionale assegnati ai dipendenti venivano raccolti in modo preventivo e generalizzato e successivamente conservati ordinariamente per 180 giorni.

Posta elettronica aziendale: controlli del datore di lavoro e tutele privacy

La questione sottoposta all'attenzione del Garante privacy dà l'opportunità allo stesso di ricostruire la disciplina che il datore di lavoro è tenuto ad osservare nel trattamento dei dati personali dei dipendenti, in particolare, relativamente all'utilizzo della posta elettronica.

Il Garante fa presente che né l’informativa resa ai dipendenti né il disciplinare per l’utilizzo delle dotazioni ICT (della cui pubblicazione all’interno dell’intranet regionale non vi è prova che i dipendenti siano stati effettivamente informati) contengono tutti gli elementi espressamente richiesti dalla normativa in materia di protezione dei dati (ossia la “base giuridica del trattamento” e il “periodo di conservazione dei dati personali”) e danno conto, in modo chiaro e trasparente, del complessivo trattamento effettuato, con particolare riguardo alla raccolta e alla conservazione per 180 giorni dei metadati relativi all’utilizzo della posta elettronica.

La conservazione dei metadati relativi all’utilizzo della posta elettronica dei dipendenti, ancorché necessitata da finalità di sicurezza informatica, può comportare un indiretto controllo a distanza dell’attività dei lavoratori che la legge consente esclusivamente al ricorrere di esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, e in presenza delle garanzie procedurali previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o, in alternativa, autorizzazione pubblica). Garanzie non osservate dalla Regione.

Inoltre, il Garante privacy osserva che dagli elementi ricavabili dai dati esteriori della corrispondenza è possibile acquisire elementi riferiti alla sfera personale o alle opinioni dell’interessato, ove tali informazioni, come nel caso di specie, siano conservate per periodi particolarmente estesi.

In merito all'esternalizzazione dei controlli, effettuati da LazioCrea, il Garante ricorda che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio .

Il titolare del trattamento deve accertarsi, ad esempio, che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, commisurando adeguatamente anche i tempi di conservazione dei dati.

Posta elettronica aziendale: controlli del datore di lavoro e sanzioni

Ne consegue l’illiceità del trattamento di dati personali effettuato dalla Regione, condannata dal Garante privacy al pagamento della sanzione amministrativa di 100.000 euro.

Viene, inoltre, vietato di conservare i dati della posta elettronica dei dipendenti per un periodo eccedente 7 giorni dalla data della loro raccolta nonchè di effettuare ogni ulteriore operazione di trattamento dei relativi metadati e viene infine disposta la cancellazione di quelli illecitamente raccolti.