Finalità

In un provvedimento dell’autorità viene fatto rilevare come documenti protocollati senza i necessari attributi di riservatezza, rendono disponibili informazioni a una pluralità di individui, rendendo possibile «la consultazione del documento a soggetti che, pur operando nell’ambito dell’organizzazione del titolare, non erano, in base alle mansioni svolte, autorizzati a trattare i dati personali in questione» (provv. 29 ottobre 2020, n. 204, doc. web n. 9513059).

Prendendo spunto da tale decisione, il Garante sottolinea che «nell’ambito dei trattamenti di dati personali effettuati mediante i sistemi informatici di gestione dei documenti è necessario adottare procedure differenziate e/o riservate con riguardo, ad esempio, a tutti i documenti attinenti a procedimenti disciplinari, anche con riguardo agli atti prodromici all’attivazione dei medesimi procedimenti, in ragione delle informazioni delicate che possono essere contenute in tali atti» [Rel. 2020, c. 13.12].

Peraltro, anche l’amministrazione pubblica, «che opera in qualità di datore di lavoro, può trattare i dati personali dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale o dell’Unione (artt. 6, par. 1, lett. c); 9, par. 2, lett. b) e 4; 88 del RGPD) rispettando altresì le norme nazionali» di settore.

Nell’ambito dell’attività di comunicazione interna si iscrive quella:

• tra il datore di lavoro e il proprio personale. Al riguardo occorre prestare attenzione all’adozione di adeguate misure atte ad evitare la divulgazione delle informazioni a soggetti diversi dal diretto destinatario o, comunque, non autorizzati a effettuare operazioni di trattamento
• tra l’azienda ed eventuale casa madre o altre consociate, in ipotesi di gruppi aziendali; in questo caso, occorrerà prestare attenzione ai ruoli soggettivi privacy assunti dalle aziende interessate. Di norma, le società del gruppo hanno una distinta e autonoma titolarità; quando le società del gruppo delegano altra consociata o la capogruppo a svolgere determinati adempimenti, «tale attività implica la designazione della capogruppo (o della consociata delegata n.d.r.) quale responsabile del trattamento»[1]. Il flusso di dati tra consociate che sono autonome titolari (cioè, la comunicazione di dati tra di esse) dovrà essere legittimato da una specifica base giuridica; diversamente, il flusso di dati personali tra la consociata delegante (titolare) e la consociata delegata (responsabile del trattamento) trova la sua legittimazione all’interno della medesima base giuridica per il trattamento effettuato dalla consociata titolare. In un caso oggetto di un provvedimento del Garante privacy, un’indagine investigativa interna promossa dalla capogruppo inglese nei riguardi di dipendenti della consociata italiana per la verifica di presumibili illeciti di natura fiscale, ha posto il problema dell’individuazione dell’atto giuridico di regolazione dei flussi di dati personali tra la società italiana e la capogruppo e della conseguente base giuridica qualora le stesse avessero agito come titolari autonomi[2]

In merito alle comunicazioni con il proprio personalie, nel caso di corrispondenza cartacea, è opportuno che le comunicazioni siano inserite in buste sigillate.

Come ogni strumento di lavoro, anche la posta elettronica è un bene aziendale volto alla realizzazione degli obiettivi di impresa. In ragione della sua natura, esso è particolarmente esposto al pericolo di uso promiscuo (finalità lavorative/extralavorative).

Il punto è risolvere il quesito se un lavoratore che utilizza la propria casella di posta elettronica per fini personali:

• non ha fatto nulla di male, anche perché la corrispondenza è segreta;
• è sanzionabile perché il semplice utilizzo di un bene aziendale per fini extralavorativi costituisce di per sè inadempimento;
• non è perseguibile perché la sua situazione è paragonabile a chi utilizza la penna dell’azienda per stilare la lista della spesa da fare tornando a casa;
• va tollerato perché bisogna saper utilizzare un po’ di buon senso, “chiudendo un occhio” quando è opportuno.

La problematicità è dimostrata:

• dall’esistenza, soprattutto in giurisprudenza, di posizioni non univoche. Da un lato, le pronunzie dei giudici civili si mantengono su posizioni più garantiste, dall’altro i giudici penali scelgono orientamenti più flessibili, maggiormente vicini alle esigenze datoriali;
• dalla necessità, avvertita dall’Autorità Garante, di intervenire sul tema con delle “Linee Guida”[3] e dal dibattito che ne è derivato e dai molteplici provvedimenti che ne sono succeduti.

Potenziale controllo – I servizi di posta elettronica possono consentire attività di controllo attraverso la registrazione ed analisi dei cd. dati esterni, vale a dire dei tracciati dei log di traffico e-mail oltre che dei dati interni, cioè del contenuto della corrispondenza tramite l’archiviazione di messaggi.

In ambito lavorativo anche la posta elettronica è un bene aziendale: l’e-mail di natura professionale è certamente finalizzata alla realizzazione degli obiettivi di impresa. Il datore di lavoro ha certamente interesse e diritto ad accedere ai relativi contenuti, ad esempio per garantire la continuità del lavoro in ipotesi di assenza del lavoratore. Ma il diritto di accesso, può trasformarsi in un potere di controllo, su contenuti e su dati di traffico?

Accanto a quelle professionali vi possono anche essere e-mail dal contenuto privato: sia nell’ipotesi che in azienda l’uso promiscuo dell’account di posta elettronica sia ammesso oppure sia vietato. Qual è il comportamento che il datore deve assumere nei riguardi del contenuto delle e-mail personali?

Al riguardo, si veda quanto indicato in seguito al capitolo “Gestione di dispositivi tecnologici”, in questa stessa sezione e, per un maggiore approfondimento, il tema “Controllo dei lavoratori”

Nella comunicazione in formato elettronico, il messaggio andrebbe indirizzato alla casella di posta elettronica individuale del dipendente interessato. Qualora il messaggio sia indirizzato a più destinatari, è bene inserire l’indirizzo e-mail nominativo di costoro all’interno del campo ccn, in modo da non rendere visibile a ciascun destinatario il nominativo degli altri. La normativa vigente (cfr. art. 55-bis, comma 5, d.lgs. 30 marzo 2001, n. 165) consente la comunicazione della contestazione dell’addebito disciplinare al dipendente tramite posta elettronica certificata: al riguardo, il Garante privacy ha evidenziato come tali disposizioni «fanno riferimento agli indirizzi di posta elettronica messi a disposizione del lavoratore da parte del datore di lavoro  ai fini della prestazione lavorativa, essendo ammesso l’invio di comunicazioni a un diverso indirizzo solo qualora quest’ultimo sia stato previamente comunicato dal dipendente al datore di lavoro» (Rel. 2020, c. 13.12).

Gestione account e-mail durante periodo di malattia – L’Autorità ha ritenuto non conforme al RGPD la disattivazione dell’account di posta elettronica aziendale operata dal datore di lavoro durante il periodo di malattia del lavoratore interessato. Ciò anche alla luce del fatto che l’informativa fornita non conteneva alcun riferimento alla possibilità per l’azienda di effettuare tale specifica modalità di trattamento per il raggiungimento di finalità legittime rese note preventivamente, come previsto in via generale dall’art. 13 del GDPR. Il Garante ha comminato una sanzione amministrativa pecuniaria (provv. 9 luglio 2020, n. 145, doc. web n. 9474649).

«In un altro caso esaminato dall’Autorità è stata lamentata la modifica da parte del datore di lavoro della password di accesso all’account di posta elettronica di tipo individualizzato assegnato al lavoratore in pendenza dello stato di malattia. All’esito del procedimento è stato accertato che il titolare non aveva fornito alcuna informativa circa la ritenuta necessità di una autorizzazione per accedere alla posta elettronica in costanza di malattia, né circa la facoltà del datore di lavoro di provvedere − anche per mezzo del web agent − al cambio di password di accesso all’account di posta elettronica individuale ogni quattro mesi e, più in generale, in ordine alle regole generali sul funzionamento e al corretto utilizzo dell’account aziendale» (Rel. 2020, c. 13.4).

[1] Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, doc web n. 1364099, par. 32.

[2] Provv. 15 aprile 2021, doc. web n. 9670738.

[3] “Lavoro: le linee guida del Garante per posta elettronica e internet”, provv. 1° marzo 2007, doc. web n. 1387522.

Il ricorso in ambito lavorativo a dispositivi tecnologici con potenzialità di controllo solleva problemi di conformazione dei trattamenti effettuati ai principi di protezione dei dati personali, in considerazione delle configurazioni sempre più complesse e sofisticate. Come si legge nella relazione dell’anno 2020 (c.13.4) «il Garante ha ribadito che la protezione della vita privata si estende anche all’ambito lavorativo, come più volte stabilito dalla Corte europea dei diritti dell’uomo che ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo senza distinguere tra sfera privata e sfera professionale (v. Niemietz v. Germany, 16.12.1992, ric. n. 13710/88, par. 29; Copland v. U.K., 3 aprile 2007, ric. n. 62617/00, par. 41; Barbulescu v. Romania [GC], 5 settembre 2017, ric. n. 61496/08, parr. 70-73; Antovic´ and Mirkovic´ v. Montenegro, 28 novembre 2017, ric. n. 70838/13, parr. 41-42)».

Il GDPR prescrive il rispetto delle norme nazionali che «includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro» (cons. 155, artt. 6, par. 2 e 88, par. 2, GDPR). Il Codice privacy, dal suo canto, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento al divieto di indagini sulle opinioni e ai possibili controlli a distanza da parte del datore di lavoro (artt. 113 e 114 del codice privacy).

Per i margini di liceità dell’accesso da parte del datore di lavoro ai contenuti ed alle tracce lasciate da tali dispositivi si rinvia a quanto indicato di seguito in “Accesso alle informazioni” sotto “Processi HR/Gestione del rapporto di lavoro”.

Al riguardo, per un maggiore approfondimento, si veda il tema “Controllo dei lavoratori” in Argomenti.

Il rispetto dell’art. 4, della l. n. 300/1970, richiamato dall’art. 114 del Codice, costituisce condizione di liceità del trattamento dei dati personali effettuato tramite impianti di videosorveglianza installati sui luoghi di lavoro (v. anche provv. 19 settembre 2019, n. 167, doc. web n. 9147290, spec. punto 4.2).

Le esigenze previste dall’articolo 4 dello Statuto dei lavoratori, come quelle di sicurezza e di tutela del patrimonio, «non sono per sé sole sufficienti a legittimare la presenza di tali dispositivi in luoghi ove si svolge anche l’attività lavorativa, comportando un trattamento di dati personali che può essere giustificato solo nel rispetto delle garanzie previste dalla legge nazionale applicabile (v. CEDU sent. 28 novembre 2017, n. 70838/13; v., da ultimo, EDPB, linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video del 29 gennaio 2020)» (Rel. 2020, c. 13.3). Il Garante ha più volte rammentato «ai titolari del trattamento l’obbligo di rispettare l’art. 114 del Codice (che rinvia all’art. 4, l. n. 300/1970), l’obbligo di fornire un’adeguata informativa agli interessati prima che entrino nel campo di ripresa delle telecamere nonché la necessità di effettuare il trattamento solo in presenza di una specifica condizione di liceità del trattamento». Infatti, «l’impianto di videosorveglianza all’interno e all’esterno della struttura deve essere accompagnato dall’apposizione, in prossimità del raggio di azione delle telecamere, di cartelli informativi idonei ad avvisare clienti, dipendenti e fornitori della esistenza e delle caratteristiche essenziali dell’attività di videoripresa, in conformità con quanto stabilito dall’art. 13 del GDPR» (provv. 26 novembre 2020, n. 256, doc. web n. 9533587).

Autorizzazione INL

L’autorizzazione dell’Ispettorato del Lavoro rappresenta una delle due condizioni alternative di legittimità della procedura prevista dall’articolo 4 dello Statuto dei lavoratori per l’uso di dispositivi tecnologici con potenzialità di controllo dell’attività dei lavoratori. A tal riguardo, l’installazione e l’uso «di un impianto di videosorveglianza con telecamere dislocate in aree nelle quali normalmente transitano o sostano anche i dipendenti (corridoi, ingressi, sale di attesa, pronto soccorso), con conseguente possibilità di controllarne indirettamente l’attività», ancorchè funzionale a esigenze di sicurezza e di tutela del patrimonio aziendale, richiede il «necessario previo accordo con le organizzazioni sindacali o dell’autorizzazione da parte del competente Ispettorato del lavoro» (Rel. 2020, c.13.3).

Si ha violazione del disposto normativo anche quando l’installazione dell’impianto ha «caratteristiche non conformi a quanto prescritto nell’autorizzazione rilasciata dall’Ispettorato del lavoro ai sensi dell’art. 4, l. n. 300/1970 (due telecamere in più rispetto a quelle autorizzate dall’Ispettorato»; assenza di informativa nei confronti di dipendenti e clienti; «configurazione del sistema in modo da consentire l’accesso da remoto alle immagini da parte del titolare del trattamento nonostante nella relazione tecnica presentata per ottenere l’autorizzazione fosse esclusa tale funzionalità» (provv. 29 ottobre 2020, n. 213, doc. web n. 9518849).

La finalità del “contenzioso e pre-contenzioso” merita un dettaglio ulteriore per le implicazioni che ne possono derivare, specie quando il soggetto interessato sia lo stesso dipendente.

I Dati personali oggetto di questa finalità, tavolta, sono acquisiti tramite specifiche indagini promosse al fine di verificare la fondatezza di sospetti sulla commissione di abusi da parte del dipendente. In queste circostanze, la legittimità dell’attività di indagine si muove all’interno di una cornice di garanzie a tutela della dignità e riservatezza del lavoratore che sono presidiate per lo più dallo Statuto dei lavoratori: art. 4 sui controlli a distanza, richiamato dall’art. 114 del Codice privacy e art. 8 sul divieto di indagine sulle opinioni del lavoratore, richiamato dall’art. 113 del Codice. Queste disposizioni di natura lavoristica rappresentano norme del diritto nazionale «più specifiche per assicurare la protezione dei diritti e delle libertà, con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro» individuate dall’art. 88 del GDPR. Il loro rispetto costituisce condizione di liceità del trattamento ai sensi dell’articolo 5.1, lett. a) del Regolamento[1]. Per un maggiore approfondimento su questa tipologia di controlli rientranti nella teoria giurisprudenziale dei controlli difensivi, si rinvia a questa voce in tema di Controllo dei lavoratori.

Come noto, il trattamento di dati personali per questa specifica finalità può giustificare una limitazione ai diritti dell’interessato (articoli 15-22, GDPR) «qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto (…) e) allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria» (art. 2-undecies(1)(e), cod. privacy).

Trattandosi di una deroga ai diritti dell’interessato, la disposizione va interpretata in modo restrittivo: l’Autorità ha ribadito che tale limitazione in linea generale opera solo nei limiti in cui ci si riferisce a «contenziosi in atto o a situazioni precontenziose, non ad astratte e  indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale trattamento risulterebbe elusivo delle disposizioni sui criteri di liceità del trattamento (v. artt. 6, par. 1, lett. b), c) e f ) e 9, par. 2, lett. b), del GDPR; v., in proposito, provv. 1° febbraio 2018, n. 53, doc. web n. 8159221)» (rel. anno 2020 c. 13.4).

[1] In tal senso, v. Provv. 15 aprile 2021, doc. web n. 9670738.