di Antonio Serriello

Normativa Privacy: è possibile controllare Smartphone ed e-mail aziendali, oppure è lesivo della Privacy dei dipendenti?

Il Garante per la protezione dei dati personali nella sua newsletter N. 424 del 17 febbraio 2017 ha ribadito il concetto in base al quale il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.

Il caso è sorto in seguito dalla denuncia di un dipendente che, rivoltosi al Garante, lamentava un illegittimo trattamento da parte della multinazionale per la quale lavorava: quest’ultima avrebbe acquisito informazioni anche private contenute nelle email e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

Tale attività configurava un comportamento illecito, in contrasto sia con il Codice della Privacy che con lo Statuto dei lavoratori, in quanto la disciplina di settore in materia di controlli a distanza non consente di effettuare attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore. Il datore di lavoro infatti, pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa.

Smartphone ed e-mail aziendali: l’opinione del Garante per la Privacy

Riportiamo il testo che esplicita la posizione del Garante per la Privacy in merito al rapporto tra Smartphone, e-mail aziendali e diritto alla Privacy. E’ possibile visionarlo direttamente in questa pagina, oppure scaricarlo in questa pagina.

Le violazioni riscontrate dal Garante Privacy

I controlli hanno fatto emergere diverse irregolarità:

  • la società non aveva informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative ad eventuali verifiche;
  • il sistema di posta elettronica era stato configurato in modo da conservare copia di tutta la corrispondenza per dieci anni, un tempo non proporzionato allo scopo della raccolta;
  • era presente una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato;
  • la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti;
  • il titolare poteva accedere da remoto, non solo per attività di manutenzione, alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche private e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Come tutelarsi dalle sanzioni?

Le Policy Aziendali sono fondamentali in questo tipo di approccio: occorre redigerle secondo quanto previsto dal Provvedimento n. 13/07 “Linee guida del Garante per posta elettronica e Internet” (Provvedimento) e, soprattutto, aggiornarle costantemente. Così come è fondamentale l’apporto degli Amministratori di Sistema che hanno il compito di rilevare eventuali trattamenti non compliant e di tarare gli strumenti elettronici al fine di trattare il minor numero di dati possibili (principio di necessità. Art. 3 del Codice Privacy). Senza dimenticare la nuova disciplina dei controlli a distanza dei lavoratori introdotta dal decreto attuativo del Jobs Act (d.lgs. 151/2015, art. 23) che modifica, riscrivendolo, la struttura dell’art. 4 dello Statuto dei lavoratori (Legge n. 300/70).

Sei interessato a capire come mettere in regola la tua azienda e tutelarti dalle sanzioni del Garante per la Privacy? Per aiutarti a redigere correttamente le Policy Aziendali, Unolegal ha organizzato i seguenti Corsi di Formazione Privacy:

  1. Corso per Amministratori di Sistema e Responsabili IT martedì 7 e mercoledì 8 marzo: clicca qui per vedere il programma ed iscriverti
  2. Corso Privacy e Jobs Act – La nuova disciplina dei controlli a distanza sul luogo di lavoro martedì 4 luglio: clicca qui per vedere il programma ed iscriverti

I Corsi spiegano con taglio operativo come adempiere correttamente al dettato normativo (tenendo conto degli ultimi interventi del Garante e Legislativi).

Entrambi i Corsi affrontano anche la delicata tematica del BYOD (Bring your own device) e dei relativi accordi sindacali. Infatti, quando si parla di smartphone in uso dei dipendenti sono possibili 2 casistiche:

  1. Smartphone aziendali ad uso lavorativo (necessaria Policy);
  2. Smartphone personali (il cosiddetto BYOD – Bring your own device). Questo caso è il più problematico in quanto sono necessarie Policy ad Hoc (BYOD Policy) e strumenti software per limitare l’utilizzo di dati personali del dipendente (MDM).
Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.