Nel provvedimento del 17 luglio 2024, il Garante per la Protezione dei Dati Personali ha sanzionato una società per l’utilizzo illecito di un software, usato per il backup delle caselle email aziendali. Secondo il Garante, la gestione del trattamento dei dati personali derivante dall’uso di questo sistema, può determinare una forma di controllo a distanza dei lavoratori, in violazione dell’art. 4 dello Statuto dei Lavoratori e del Regolamento UE 2016/679.

La società ha segnalato di aver adottato il software per eseguire copie di sicurezza delle email aziendali, conservando i dati per tre anni successivi alla cessazione del rapporto lavorativo. Tuttavia, il Garante ha rilevato che, pur giustificando tale operazione come misura di sicurezza, il software è stato usato anche per accedere al contenuto delle email, in contrasto con i principi di liceità e proporzionalità. Infatti, la società ha giustificato l’accesso alle email come necessario per tutelare i propri diritti in sede giudiziaria in un giudizio contro il lavoratore, relativo a sospetti di concorrenza sleale e sottrazione di segreti aziendali. Il Garante ha però ritenuto che tale finalità non fosse legittima, in quanto il trattamento dei dati personali per la tutela di diritti in giudizio deve essere riferito a contenziosi già in atto o precontenziosi concreti, non a ipotesi generiche di difesa.

L’utilizzo delle email per scopi giudiziari, quindi, non è stato considerato conforme ai principi del GDPR, in particolare per quanto riguarda la minimizzazione dei dati e la proporzionalità del trattamento. Il Garante ha stabilito che la conservazione sistematica delle email per tre anni, così come il monitoraggio dei log di accesso, era eccessiva rispetto alle finalità dichiarate.

L’uso del backup come strumento per monitorare la corrispondenza consentendo la ricostruzione dettagliata dell’attività dell’ex collaboratore, si configura come un vero e proprio controllo a distanza, effettuato senza rispettare le procedure richieste dall’art. 4 dello Statuto dei Lavoratori, che impone un accordo con le rappresentanze sindacali o l’autorizzazione dell’Ispettorato del Lavoro.

Da ultimo, il Garante ha evidenziato che le informative fornite dall’azienda erano incomplete, poiché non spiegavano chiaramente ai dipendenti e ai collaboratori le modalità di utilizzo del software e i tempi di conservazione delle informazioni. Il mancato rispetto dei requisiti di trasparenza e minimizzazione dei dati, previsto dall’art. 5 del GDPR, ha aggravato la posizione della società, portando alla sanzione pecuniaria di 80.000 euro.

Il Garante ha anche ordinato la sospensione dell’uso del software per finalità non strettamente legate alla sicurezza informatica e ha imposto l’adozione di misure correttive per garantire la conformità alla normativa in materia di protezione dei dati.