Abbiamo parlato in passato di controlli indiscriminati della posta elettronica e dei dati personali contenuti negli smartphone in dotazione al personale da parte dal datore di lavoro.

Il nostro esperto Paolo Balboni approfondisce l’argomento, illustrando le limitazioni al potere ispettivo del datore in presenza di uso promiscuo dei dispositivi.

Privacy: limitazioni al potere di controllo del datore di lavoro sui dispositivi informatici dei lavoratori

Scenario

Sin dalla pubblicazione delle Linea guida sull’uso della posta elettronica ed Internet, il Garante Privacy (“Garante”) ha avuto più di una volta l’occasione di affermare il suo punto di vista sul controllo dei dispositivi informatici affidati ai lavoratori per svolgere le proprie mansioni. Nel caso in questione, un lavoratore licenziato ha citato in giudizio il suo precedente datore di lavoro dopo essere venuto a conoscenza che le sue e-mail, messaggi e oggetti personali erano stati controllati a sua insaputa, anche grazie ad un terzo soggetto stabilito negli Stati Uniti non nominato responsabile del trattamento.

Questione principale

La presente decisione del Garante è degna di nota perché offre maggiori dettagli sulle misure che i datori di lavoro (in qualità di titolari del trattamento) devono implementare al fine di trattare lecitamente e-mail e messaggi dei loro dipendenti contenuti in computer, portatili e smartphone (“Dispositivi“) soprattutto quanto sia l’uso professionale che quello privato è permesso.

Implicazioni pratiche

Per essere allineati con la normativa, i datori di lavoro devono assicurarsi di aver preventivamente informato i propri dipendenti (attraverso informative o Policy sull’uso dei Dispositivi) dei seguenti punti.

Riguardo al trattamento e controllo di account e-mail:

  • le finalità e modalità del trattamento dei;
  • le tipologie di messaggi di posta elettronica che possono essere conservati per la continuità del business, il periodo di conservazione, le ragioni che giustificano tale periodo (Secondo il Garante, 10 anni sono stati considerati irragionevoli anche alla luce di un eccessivo controllo delle prestazioni dei lavoratori);
  • l’esistenza e il contenuto della procedura per disabilitare gli account di posta elettronica a seguito di un licenziamento (sia la posta in arrivo che quella in uscita devono essere completamente disattivati, il risponditore automatico deve indicare la disabilitazione, chiedendo ai mittenti di contattare un diverso indirizzo di posta);
  • il potenziale trattamento di dati personali nel tempo intercorrente tra la disabilitazione e la cancellazione definitiva dell’account;
  • l’esistenza e il contenuto della procedura che consente agli amministratori di sistema di accedere ai dati per fini manutentivi, nonché l’informazione che la loro attività sarà registrata;
  • l’esistenza di terzi (cioè aziende IT esterne, fornitori di sistemi geo-localizzazione ecc) che possono trattare i dati per conto del datore di lavoro (responsabili del trattamento);
  • l’esistenza di una Policy IT in cui si affermi che è consentito solo l’uso professionale dei Dispositivi in ​​modo da evitare aspettative di riservatezza da parte del dipendente (Secondo la Corte di Cassazione 2016/18302, permettere un [marginale] uso personale di Dispositivi aziendali, unito alla possibilità di controllo delle performance lavorative dei dipendenti, costituisce di per sé un ingiusto trattamento dei dati dei medesimi).

Per quanto riguarda il trattamento dei dati contenuti in smartphone:

  • l’esistenza di un potenziale trattamento dei dati dello smartphone per limitare spese contrattuali aggiuntive, assieme agli altri requisiti stabiliti dall’Articolo 13 del Codice Privacy;
  • la descrizione dei trattamenti (il che significa informare se vi è una raccolta a distanza, modificazione, archiviazione, cancellazione) dei dati contenuti negli smartphone, insieme alla descrizione delle procedure per salvaguardare la dignità del dipendente (di nuovo, se gli smartphone sono destinati sia per scopi personali che professionali, il controllo delle prestazioni dei dipendenti tramite tali Dispositivi sarebbe considerato come un trattamento illecito dei dati dei lavoratori, potendo comprendere anche il trattamento dei dati sensibili dei medesimi).

Il Garante ha concluso la sua decisione aggiungendo un dovere finale: al fine di tutelare la dignità dei dipendenti, i datori di lavoro dovranno adottare procedure che permettano ai dipendenti licenziati o trasferiti di assistere al controllo dei documenti ed effetti personali collocati nel loro ufficio.

Consiglio pratico: i datori di lavoro devono assicurarsi di avere informative privacy e policy sull’uso dei Dispositivi coerenti con i requisiti suindicati. Dopo questa decisione, i datori di lavoro potrebbero prendere in considerazione di astenersi dal permettere ai dipendenti di utilizzare gli strumenti aziendali per scopi privati.

La nuova normativa pone molti obblighi in caso alle aziende e agli studi professionali, introducendo specifiche limitazioni al potere di controllo del datore di lavoro sui dispositivi informatici affidati ai lavoratori dipendenti.

Hai qualche dubbio? La tua azienda potrebbe rischiare sanzioni da parte del Garante? Compila il test qui a fianco e scarica il decalogo della privacy.