Garante:
vietati controlli indiscriminati su mail e smartphone aziendali
17 febbraio 2017 –
Il datore di lavoro
non può accedere in maniera indiscriminata alla posta elettronica o ai
dati personali contenuti negli smartphone in dotazione al personale. È
un comportamento illecito.
Lo ha ribadito il Garante della privacy vietando a una multinazionale l'ulteriore
utilizzo dei dati personali trattati in violazione di legge [doc. web n. 5958296].
La società potrà solo conservarli per la tutela dei diritti in sede
giudiziaria.
Nel disporre il divieto l'Autorità ha affermato che il datore di lavoro,
pur avendo la facoltà di verificare l'esatto adempimento della prestazione
professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti,
deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi
ai limiti previsti dalla normativa. La disciplina di settore in materia di controlli
a distanza, inoltre, non consente di effettuare attività idonee a realizzare,
anche indirettamente, il controllo massivo, prolungato e indiscriminato dell'attività
del lavoratore.
- I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato
sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche.
Pubblicità
- La vicenda nasce dal reclamo
di un dipendente che si era rivolto al Garante lamentando un illegittimo trattamento
effettuato da una multinazionale, che avrebbe acquisito informazioni anche private
contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale
sia dopo il suo licenziamento.
- Dai riscontri effettuati dall'Autorità sono effettivamente emerse numerose
irregolarità. La società, ad esempio, non aveva adeguatamente informato
i lavoratori sulle modalità e finalità di utilizzo degli strumenti
elettronici in dotazione, né su quelle relative al trattamento dei dati.
Aveva poi configurato il sistema di posta elettronica in modo da conservare copia
di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo
scopo della raccolta.
- Esisteva anche una procedura che consentiva alla società di accedere
al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere
anche carattere privato. E' inoltre emerso che la società continuava a
mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto,
senza però dare agli ex dipendenti la possibilità di consultarle
o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate
dai legittimi destinatari ma da altri soggetti.
- Nel corso dell'istruttoria è stato accertato inoltre, che il titolare
poteva accedere da remoto – non solo per attività di manutenzione
– alle informazioni contenute negli smartphone in dotazione ai dipendenti
(anche privatissime e non attinenti allo svolgimento dell'attività lavorativa),
di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità,
necessità, pertinenza e non eccedenza del trattamento.
Il Garante ha disposto l'apertura di un autonomo procedimento
per verificare l'applicazione di eventuali sanzioni amministrative.
