BCA News

Garante Privacy : vietato il software per il controllo delle email e dei log del dipendente

Il Garante Privacy, con il provvedimento del 17 luglio 2024, n. 472, ha sancito che il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi, sanzionando la società per 80.000 euro.

Il Garante è intervenuto a seguito del reclamo presentato da un agente di commercio, accertando che la società, nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backupdella posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale, configurando così una violazione dei principi di liceità, minimizzazione del trattamento e limitazione della conservazione previsti all’art. 5, parag. 1, lett. a), c) ed e) del GDPR.

La società, per trattare lecitamente i dati personali del lavoratore, avrebbe dovuto attenersi alle disposizioni dell’art. 6, parag. 1, lett. a) e c) del GDPR, le quali limitano il trattamento ai soli dati necessari per la gestione del rapporto o per l’adempimento di specifici obblighi o compiti posti dalle discipline di settore applicabili, purché adeguati, pertinenti e limitati a quanto necessario e per un arco di tempo non superiore al conseguimento delle finalità del trattamento.

Nel caso di specie è stato invece rilevato come  la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo, nonché la sistematica conservazione dei log di accesso alla posta elettronica del dipendente ed al gestionale utilizzato dai lavoratori, non siano risultati  conformi alla disciplina di protezione dei dati, in quanto non proporzionata e necessaria al conseguimento delle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale.

L’Autorità ha appurato inoltre l’inidoneità e la carenza dell’informativa resa ai lavoratori, che in particolare prevedeva la conservazione per 10 anni dei dati personali, senza fornire alcuna informazione riguardo all’effettuazione del backup della casella di posta elettronica e conservazione dei dati, poi effettuata per una durata di 3 anni.