DATA PROTECTION: IL GARANTE TORNA SULLA CONSERVAZIONE DELLE MAIL E DEI LOG AZIENDALI
Il Garante per la Protezione dei Dati Personali ha stabilito che viola le normative in materia di protezione dei dati personali il datore di lavoro che omette di informare i dipendenti e i collaboratori riguardo alla creazione e alla conservazione di copie di backup dei messaggi di posta elettronica presenti sugli account aziendali. Tale obbligo informativo include anche la necessità di chiarire le eventuali indagini che l’azienda potrebbe svolgere sui dati conservati attraverso questi backup. Questa omissione configura una violazione del principio di trasparenza sancito dal Regolamento Generale sulla Protezione dei Dati (GDPR), che impone ai titolari del trattamento di comunicare chiaramente le finalità e le modalità del trattamento dei dati personali.
Il Garante ha inoltre valutato come sproporzionata la pratica di conservare i dati relativi alle e-mail e ai log di accesso agli account aziendali per un periodo di tre anni successivi alla cessazione del rapporto di lavoro. Una tale durata eccede i limiti necessari per raggiungere gli scopi dichiarati, ossia la sicurezza della rete informativa e la continuità operativa dell’azienda. In tal modo, viene violato il principio di limitazione della conservazione previsto dal GDPR, che impone di mantenere i dati personali solo per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti.
In aggiunta, il Garante ha rilevato una potenziale violazione dell’articolo 4 dello Statuto dei Lavoratori (L. 300/1970), che regola l’uso di strumenti che possono comportare il controllo dell’attività lavorativa. Tale normativa prevede che l’installazione e l’uso di dispositivi che consentono un monitoraggio indiretto dell’attività dei dipendenti siano subordinati a un accordo sindacale o, in mancanza di questo, a un’autorizzazione rilasciata dall’Ispettorato del Lavoro. La conservazione a lungo termine di dati quali e-mail e log di accesso, senza le necessarie autorizzazioni, può configurarsi come un sistema di controllo occulto, aggravando la violazione normativa.
Nel caso specifico esaminato, il Garante ha ritenuto che le condotte della società interessata rappresentassero un trattamento illecito dei dati personali e ha sanzionato l’azienda con una multa di 80.000 euro. Questo provvedimento sottolinea l’importanza per le imprese di rispettare rigorosamente le normative in tema di protezione dei dati e di operare con trasparenza e proporzionalità nel trattamento delle informazioni personali dei lavoratori, sia durante il rapporto di lavoro che dopo la sua cessazione.
