Provvedimento del Garante per la privacy n. 165 del 12 marzo 2026, riguardante le modalità di trattamento dei dati personali in ambito lavorativo, con particolare riferimento alla casella di posta elettronica aziendale intestata al dipendente. La vicenda offre spunti importanti sulla compatibilità tra esigenze aziendali di tutela patrimoniale e diritto alla privacy del lavoratore, alla luce del GDPR (Regolamento UE 2016/679), del Codice privacy (D.Lgs. 196/2003) e della normativa in materia di controllo a distanza dei lavoratori.
1. La natura dei dati contenuti nella casella di posta elettronica aziendale
Il Garante evidenzia che la casella di posta elettronica aziendale intestata al dipendente costituisce un “contenitore” di dati personali, riconducibili ai sensi del GDPR e del Codice privacy. Ciò significa che ogni trattamento di tali dati deve rispettare i principi di liceità, trasparenza, minimizzazione, limitazione delle finalità e conservazione limitata.
2. Il diritto di accesso e la tutela della vita privata
Il provvedimento richiama il principio fondamentale che le comunicazioni elettroniche, anche se effettuate in ambito lavorativo, rientrano nel diritto alla vita privata tutelato dall’art. 8 CEDU e dall’art. 2 Cost. italiana. La Corte europea dei diritti dell’uomo ha sottolineato come la linea di confine tra sfera privata e attività lavorativa non sia sempre netta, rendendo applicabile l’art. 8 anche alle comunicazioni elettroniche sul luogo di lavoro. Pertanto, l’accesso alle email aziendali deve rispettare tali principi, riconoscendo che le comunicazioni di carattere personale sono protette e non possono essere acquisite o esaminate senza adeguate motivazioni e limiti.
3. La violazione del diritto di accesso e l’illiceità del trattamento
Il Garante ha condannato la società per aver operato un filtro preventivo sulle email, trattenendo alcune comunicazioni ritenute “di carattere strettamente personale” e oscurando altre per tutelare i segreti aziendali o i diritti di terzi. Tale condotta viola i principi di proporzionalità e di trasparenza, nonché il diritto del lavoratore di accedere integralmente ai propri dati, anche in sede di cessazione del rapporto. La limitazione arbitraria e non giustificata del diritto di accesso costituisce illecito trattamento di dati personali ai sensi degli artt. 5 e 15 GDPR.
4. La classificazione e la gestione dei dati personali
Il trattamento di dati relativi all’attività lavorativa, inclusi log di navigazione e contenuti delle email, rientra nella nozione di “dato personale”. La conservazione di tali dati, in modo esteso e protratto nel tempo (cinque anni), senza una adeguata informativa e senza rispettare i principi di minimizzazione e limitazione della finalità, viola le disposizioni del GDPR e del Codice privacy.
5. La conservazione e la trasparenza
Il backup delle email e la conservazione dei log di navigazione, disposti per cinque anni, sono state considerate illegittime perché non conformi ai principi di trasparenza e di limitazione della conservazione. La società, infatti, non ha fornito ai lavoratori un’informativa adeguata circa le finalità, i tempi e le modalità di trattamento, né ha adottato misure tecniche per limitare l’accesso ai dati solo alle esigenze strettamente necessarie.
6. La tutela dei diritti dei terzi e dei segreti aziendali
L’attività di oscuramento e anonimizzazione dei contenuti delle email, effettuata per tutelare i segreti aziendali e i diritti di terzi, è stata ritenuta contraria ai principi del GDPR, poiché tali dati erano già accessibili all’interessato e l’oscuramento non era giustificato dai principi di necessità e proporzionalità. La protezione dei segreti aziendali può giustificare limitazioni in sede di accesso solo se esistono rischi concreti e dimostrabili di pregiudizio.
7. La normativa sul controllo a distanza e la disciplina del rapporto di lavoro
Il trattamento dei dati attraverso backup e log di navigazione può essere considerato strumentale a un controllo sull’attività lavorativa, ma solo se effettuato nel rispetto delle procedure di garanzia previste dall’art. 4 dello Statuto dei lavoratori (L. n. 300/1970). La Società, tuttavia, non ha verificato in concreto le finalità di tali trattamenti né ha rispettato le procedure di informativa e consenso, rendendo il trattamento illecito.
8. La violazione dei principi di correttezza e trasparenza
Il mancato rispetto delle regole di informativa preventiva e la conservazione prolungata dei dati senza adeguata motivazione costituiscono violazioni dei principi di correttezza e trasparenza del GDPR, con conseguente condanna del trattamento illecito.
9. Le sanzioni e le prescrizioni del Garante
Il Garante ha ingiunto alla società di:
- consentire al lavoratore l’accesso integrale alle email;
- rivedere le politiche aziendali e i trattamenti di dati conformemente alla normativa vigente, adottando misure tecniche e organizzative adeguate per tutelare la privacy dei dipendenti e rispettare i principi di legge.
Conclusioni:
Il caso evidenzia come il trattamento di dati personali in ambito lavorativo, anche tramite account email “individualizzati”, debba essere condotto nel rispetto dei principi di liceità, trasparenza e proporzionalità, garantendo il diritto di accesso, la tutela della vita privata e la limitazione delle finalità di trattamento. La normativa vigente impone alle aziende di adottare policy chiare, informare adeguatamente i lavoratori e limitare gli interventi di controllo e conservazione dei dati a quanto strettamente necessario, con conseguenze sanzionatorie in caso di violazioni.
Nessun commento:
Posta un commento