Introduzione
La recente ordinanza 1° dicembre 2022, n. 409 del Garante per la protezione dei dati personali (GPDP) offre l’occasione per svolgere considerazioni con riguardo:
a) al trattamento dei dati dei lavoratori e, più precisamente, ai presupposti di legittimità per lo svolgimento dell’attività di controllo e monitoraggio della posta elettronica aziendale;
b) ai controlli a distanza e difensivi;
c) all’utilizzo dell’account di posta elettronica aziendale di un lavoratore anche dopo la risoluzione del rapporto di lavoro.
Nonostante la disciplina vigente in tema di trattamento dei dati personali sia strettamente correlata alle disposizioni introdotte a decorrere dal 13 agosto 2022 in materia di trasparenza ai sensi del D.Lgs. 27 giugno 2022, n. 104, il presente intervento contiene solo rapidi cenni al citato decreto, le cui norme sono peraltro state oggetto di apposita comunicazione del GPDP, pubblicata sul sito istituzionale lo scorso 24 gennaio 2023.
Inquadramento
Con ordinanza d’ingiunzione 1° dicembre 2022, n. 409, il Garante per la protezione dei dati personali ha ingiunto alla Regione Lazio il pagamento di una sanzione pecuniaria d’importo pari a 100mila euro per aver effettuato controlli sugli account di posta elettronica istituzionale dei lavoratori, in violazione della disciplina dettata in:
- tema di controlli a distanza (art. 4 della Legge 20 maggio 1970, n. 300);
- materia di trattamento dei dati personali (Regolamento (UE) 2016/679 del 27 aprile 2016 o ‘GDPR’)
Il provvedimento del GPDP assume particolare rilievo perché, sebbene sia stato adottato con riguardo ad un datore di lavoro pubblico, i principi espressi trovano applicazione anche con riferimento al datore di lavoro appartenente al settore privato.
Nel caso di specie, il datore di lavoro ha monitorato gli account istituzionali di posta elettronica dei lavoratori occupati presso l’Avvocatura regionale, conservando per un periodo di 180 giorni i metadati relativi:
- ai mittenti delle mail;
- all’oggetto delle stesse;
- ai destinatari;
- alle dimensioni degli allegati.
In particolare, i lavoratori non erano stati puntualmente informati circa il possibile monitoraggio dei propri flussi di posta elettronica, essendosi il datore di lavoro limitato a diffondere – mediante un’informativa pubblicata sulla intranet aziendale – l’eventuale svolgimento di controlli ‘dell’integrità dei sistemi informatici e di telefonia, nei limiti consentiti dalle norme di legge e contrattuali’ (artt. 12 e 13 del GDPR).
Il Garante per la protezione dei dati personali ha contestato al datore di lavoro:
- l’omessa predisposizione di un’idonea informativa (art. 13 del GDPR);
- l’aver realizzato un trattamento in assenza di una legittima base giuridica e, in particolare, in violazione dalla disciplina in materia di controlli a distanza (art. 4 della Legge 20 maggio 1970, n. 300);
- la violazione dei principi di cui all’art. 5 del GDPR e, in particolare, del principio di limitazione del periodo di conservazione dei dati.
Secondo la tesi difensiva proposta dall’Amministrazione regionale:
1. l’attività di controllo dei dati dei lavoratori doveva intendersi legittima anche in assenza di un’idonea informativa fornita ai sensi dell’art. 13 del GDPR, essendo preordinata – sulla scorta di un ragionevole sospetto circa la rivelazione a soggetti terzi di informazioni protette dal segreto d’ufficio – ad accertare la condotta illecita dei lavoratori (‘controlli difensivi’). Per la Regione Lazio, in relazione a detti controlli difensivi non troverebbe applicazione il disposto di cui all’art. 4 della Legge 20 maggio 1970, n. 300, per effetto del quale le informazioni raccolte durante lo svolgimento di controlli sono utilizzabili per tutti i fini connessi al rapporto di lavoro – anche disciplinari – a condizione che i lavoratori siano stati adeguatamente e preventivamente informati circa le modalità:
- d’uso degli strumenti e
- di svolgimento delle attività di controllo (art. 4, c. 3).
2. il periodo di conservazione generalizzato pari a 180 giorni deve intendersi legittimo perché necessario al fine di garantire la sicurezza dei sistemi informativi. Il tempo di conservazione ordinariamente previsto pari a 7 giorni era sproporzionatamente esiguo.
Principi fondamentali in materia di trattamento dei dati dei lavoratori e di controllo della posta elettronica aziendale
Il datore di lavoro può trattare i dati personali dei lavoratori a condizione che sussista una legittima ‘base giuridica’ (artt. 6 e 9 del GDPR).
Dunque, il trattamento deve intendersi lecito quando è finalizzato:
- all’esecuzione del contratto di lavoro (art. 6, par. 1, lett. b) del GDPR);
- all’adempimento di un obbligo legale al quale è soggetto il datore di lavoro (art. 6, par. 1, lett. c) del GDPR);
- al perseguimento del legittimo interesse del datore di lavoro, a condizione che non prevalgano i) interessi, ii) diritti e iii) libertà fondamentali del lavoratore (art. 6, par. 1, lett. f) del GDPR). In tal caso, è dunque necessario che il datore di lavoro effettui un bilanciamento fra il proprio legittimo interesse e i diritti e libertà del lavoratore.
Per quanto concerne il consenso dell’interessato, che ai sensi dell’art. 6, par. 1 lett. a) del GDPR costituirebbe una legittima base giuridica per il trattamento dei dati dello stesso, è necessario svolgere ulteriori precisazioni. Formalmente, il datore di lavoro potrebbe trattare i dati dei lavoratori ove questi abbiano espresso il loro esplicito consenso, purché libero ed informato (art. 7 del GDPR).
Tuttavia, alla luce di quanto precisato con parere 8 giugno 2017, n. 2 dal Gruppo di lavoro ‘Articolo 29’, ‘i dipendenti si trovano raramente nella posizione di concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, vista la dipendenza derivante dal rapporto datore di lavoro/dipendente’. Dunque, il datore di lavoro ‘dovrà basarsi su un fondamento giuridico diverso dal consenso’.
Con provvedimento 13 febbraio 2020, n. 35, il GPDP ha espresso un uniforme orientamento, sostenendo che la circostanza che il lavoratore non sia nelle condizioni di operare una scelta genuinamente libera alla luce del rapporto di subordinazione intercorrente tra lo stesso e il datore lavoro è altresì messo in luce dal considerandum 43 del GDPR, secondo cui ‘è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali […] qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento’.
Fermo restando quanto sopra, il trattamento di dati personali deve essere realizzato in osservanza dei principi fissati all’art. 5 del GDPR e di seguito elencati in nuce:
- liceità, correttezza e trasparenza del trattamento dei dati;
- limitazione della finalità del trattamento (i dati devono essere trattati per finalità determinate, esplicite e legittime);
- minimizzazione dei dati (i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento);
- esattezza dei dati, aggiornamento e cancellazione degli stessi ove risultino inesatti;
- limitazione della conservazione dei dati, ammessa per un tempo non superiore a quello necessario rispetto alla finalità per la quale è stato effettuato il trattamento;
- integrità e riservatezza, affinché sia garantita la sicurezza adeguata dei dati personali oggetto del trattamento.
Il titolare, dunque, è tenuto ad osservare i principi di cui sopra e deve essere ‘in grado di comprovarlo’ (accountability principle). Ai sensi dell’art. 24, par. 1 del GDPR, il titolare è tenuto infatti a mettere ‘in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR’.
Ai fini del legittimo trattamento dei dati personali, il datore di lavoro è tenuto a comunicare al lavoratore con apposita informativa – formulata in modo comprensibile e trasparente attraverso l’uso di un linguaggio chiaro e semplice (considerandum 58 del GDPR) – le informazioni espressamente individuate:
- dall’art. 13 del GDPR nel caso in cui i dati personali siano stati raccolti presso il lavoratore. In tal caso, l’informativa deve essere fornita nel momento dell’ottenimento dei tali dati (art. 13, par. 1 del GDPR);
- dall’14 del GDPR nel caso in cui i dati personali non siano stati raccolti presso l’interessato e l’informativa deve essere consegnata al lavoratore entro un termine ragionevole e, comunque, entro un mese dall’ottenimento degli stessi (art. 14, par. 3, lett. a) e b) del GDPR).
Al proposito, è opportuno sia garantito un efficace raccordo tra detti termini e gli obblighi informativi introdotti dal citato D.Lgs. 27 giugno 2022, n. 104, ai sensi del quale è fatto obbligo al datore di lavoro di consegnare al lavoratore entro sette giorni dalla data di inizio della prestazione lavorativa un’informativa recante gli elementi essenziali del contratto individuale di lavoro, tra cui, a mero titolo d’esempio, l’indicazione del contratto collettivo di lavoro applicato, il luogo di lavoro, l’inquadramento contrattuale, la tipologia del rapporto di lavoro, l’importo e gli elementi costitutivi della retribuzione e la programmazione dell’orario di lavoro (art. 4, c. 1 del D.Lgs. 27 giugno 2022, n. 104).
Fermo restando quanto sopra, l’attività di controllo e monitoraggio dell’account di posta elettronica aziendale del lavoratore è dunque consentito ove ricorrano determinate condizioni:
- al lavoratore è fornita un’informativa mediante la quale sono enucleate le modalità nonché le finalità dell’attività di controllo;
- i controlli effettuati sull’account della posta elettronica aziendale devono essere pertinenti, non devono eccedere le finalità legittimamente perseguite e devono essere tracciabili. È dunque fatto divieto di svolgere controlli con carattere sistematico, ossia in modo prolungato, costante o indiscriminato;
- l’attività di controllo è realizzata per finalità di sicurezza o qualora sussistano fondati sospetti nei confronti di determinati lavoratori, al fine di accertare la loro condotta lesiva del patrimonio o dell’immagine aziendale.
Alla luce di quanto sopra, è cruciale che il datore di lavoro disciplini all’interno di un apposito regolamento aziendale le finalità e modalità di svolgimento dei controlli sulla posta elettronica (GPDP, Linee guida 1° marzo 2007).
Controlli a distanza e controlli difensivi
Come noto, l’art. 4, c. 1 della Legge 20 maggio 1970, n. 300 ammette che il datore di lavoro installi all’interno del luogo di lavoro i) impianti audiovisivi e ii) altri strumenti mediante i quali è possibile esercitare un controllo a distanza sull’attività dei lavoratori esclusivamente per:
a) esigenze organizzative e produttive;
b) ragioni di sicurezza del lavoro;
c) ragioni di tutela del patrimonio aziendale.
L’installazione di tali strumenti di controllo a distanza è subordinata alla sottoscrizione di un accordo collettivo con:
- la rappresentanza sindacale unitaria (RSU);
- le rappresentanze sindacali aziendali (RSA);
- le associazioni sindacali comparativamente più rappresentative sul territorio nazionale nel caso in cui l’impresa sia articolata in più unità produttive, dislocate in diverse regioni o province.
In carenza del predetto accordo collettivo, gli impianti e gli strumenti di controllo possono essere installati previa autorizzazione dell’Ispettorato nazionale o territoriale del lavoro.
Ai sensi dell’art. 4, c. 2 della Legge 20 maggio 1970, n. 300, l’accordo collettivo o l’autorizzazione dell’Ispettorato non sono necessari per gli strumenti:
- ‘utilizzati dal lavoratore per svolgere l’attività lavorativa’; trattasi di applicativi o software strettamente funzionali allo svolgimento della prestazione lavorativa (GPDP, provvedimento 7 marzo 2019, n. 9121890 e Corte di Cassazione, sentenza 22 settembre 2021, n. 25731).
Nel caso di specie, il Garante per la protezione dei dati personali ha precisato che la generalizzata conservazione dei metadati relativi all’utilizzo della posta elettronica aziendale – che costituirebbe uno strumento di lavoro – per un lasso di tempo più esteso di 7 giorni, non può ricondursi all’ambito di applicazione del predetto art. 4, c. 2, della Legge 20 maggio 1970, n. 300, in quanto in tal caso lo strumento non è preordinato allo svolgimento della prestazione di lavoro ma è funzionale alla tutela del patrimonio informativo del datore di lavoro; - ‘di registrazione degli accessi e delle presenze’ (4, c. 2 della Legge 20 maggio 1970, n. 300). Devono intendersi ricompresi i soli strumenti che individuano l’orario di ingresso e uscita dei lavoratori (GPDP, provvedimento 28 febbraio 2019, n. 9094427). Con riferimento a detti strumenti di rilevamento, occorre altresì precisare che è convincimento dell’Ispettorato nazionale del lavoro l’impiego di un sistema per il riconoscimento facciale configuri l’ipotesi di utilizzo di un sistema di monitoraggio automatizzato, comportando l’insorgenza dell’obbligo d’informare il lavoratore sulle finalità e modalità di utilizzo di tale mezzo ai sensi dell’art. 1-bis del D.Lgs. 26 maggio 1997, n. 152, per effetto del quale sono introdotti ulteriori obblighi informativi nel caso di utilizzo di sistemi di monitoraggio automatizzati (INL, circolare 10 agosto 2022, n. 4 e GPDP, comunicazione 24 gennaio 2023).
Ove non ricorra una delle esigenze di cui alle precedenti lettere a), b) e c), l’attività di controllo deve pertanto intendersi illegittima. In altri termini, ‘è vietato il controllo fine a sé stesso, eventualmente diretto ad accertare inadempimenti del lavoratore che attengano all’effettuazione della prestazione’ (Corte di Cassazione, sentenza 12 novembre 2021, n. 34092).
Ancora con riguardo ai controlli a distanza, è opportuno precisare come l’art. 4, c. 3 della Legge 20 maggio 1970, n. 300 stabilisca che le informazioni raccolte durante lo svolgimento di controlli legittimamente eseguiti sono utilizzabili per tutti i fini connessi al rapporto di lavoro – anche disciplinari – a condizione che il lavoratore sia stato adeguatamente e preventivamente informato circa le modalità:
I) d’uso degli strumenti e
II) di svolgimento delle attività di controllo realizzate in osservanza delle disposizioni in materia di trattamento dei dati personali’. Al lavoratore deve dunque essere preventivamente rilasciata un’idonea e documentata informativa predisposta ai sensi dell’art. 13 del GDPR.
Fermo restando quanto più sopra precisato con riferimento ai controlli a distanza, la giurisprudenza ha elaborato la distinta categoria di ‘controlli difensivi’, fondando il proprio orientamento sul fatto che tali controlli, sebbene diretti a tutelare il patrimonio aziendale, mirano, in ragione di concreti elementi indiziari, ad accertare la realizzazione di specifiche condotte illecite ascrivibili a singoli lavoratori e in ogni caso diverse dal mero inadempimento della prestazione lavorativa.
Mentre i ‘controlli a distanza’ i) sono condotti in via preventiva (ex ante), ii) rispondono ad una necessità generica di protezione del patrimonio aziendale, iii) riguardano la generalità dei lavoratori (o gruppi di lavoratori) durante lo ‘svolgimento dell’attività che li pone a contatto con i beni aziendali’ e iv) devono essere esercitati in osservanza della disciplina di cui all’art. 4 della Legge 20 maggio 1970, n. 300, i ‘controlli difensivi’ sono:
a) eseguiti in concreto ex post, ossia in un momento successivo all’insorgenza di un ragionevole sospetto;
b) volti, sulla base di concreti indizi, all’accertamento di specifiche condotte illecite ascrivibili a determinati lavoratori.
La necessità di effettuare ‘controlli difensivi’ deve dunque emergere ‘da fatti contingenti e non prevedibili che generano esigenze di controllo puntuali’; per tale ragione, l’esercizio di un controllo difensivo esorbita dal campo di applicazione del più volte menzionato art. 4 della Legge 20 maggio 1970, n. 300 in materia di controlli a distanza.
Ai fini dello svolgimento di controlli difensivi non è quindi necessario:
a) sia stipulato uno specifico accordo collettivo o, in alternativa, richiedere l’autorizzazione all’INL;
b) che il lavoratore sia adeguatamente informato circa lo svolgimento degli stessi da parte del datore di lavoro (Corte di Cassazione, sentenza 22 settembre 2021, n. 25732).
Nel caso di specie, il Garante per la protezione dei dati personali non ha condiviso la tesi proposta dal datore di lavoro – illustrata nell’introduzione – secondo la quale l’attività di controllo avrebbe carattere ‘difensivo’, per le ragioni di seguito elencate:
- alla luce della ricostruzione dei fatti condotta in sede processuale è emerso che ‘i metadati […] sono stati raccolti in modo preventivo e generalizzato’ e dunque non ex post, condizione necessaria ai fini della qualificazione di un’attività di controllo come difensiva;
- la teoria dei controlli difensivi, essendo di matrice giurisprudenziale, non avrebbe applicazioni univoche. Sebbene tale impostazione non si concili con l’orientamento prevalente della Suprema Corte, il GPDP ritiene che quando dal trattamento conseguente all’impiego degli strumenti tecnologici nei luoghi di lavoro possa ‘derivare un controllo indiretto sull’attività lavorativa trova applicazione la disciplina di cui all’art. 4 della Legge 20 maggio 1970, n. 300’.
Dunque, ‘non avendo la Regione posto in essere le procedure di garanzia di cui all’art. 4, c. 1 della Legge 20 maggio 1970, n. 300, prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale, il trattamento in questione risulta essere in contrasto con la normativa in materia di protezione dei dati personali e con la disciplina di settore in materia di controlli a distanza, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice’.
Peraltro, il GPDP ha accertato che il datore di lavoro ha conservato i dati per generiche finalità di sicurezza informatica per un periodo di 180 giorni in assenza di concrete e idonee giustificazioni. Il Garante ha ribadito che il periodo di conservazione dei dati non può eccedere i 7 giorni dalla data della loro raccolta.
Utilizzo della casella di posta di un ex lavoratore
Come da ultimo ribadito dal GPDP con provvedimento del 4 dicembre 2019, n. 216, deve intendersi illecito il comportamento del datore di lavoro che ha mantenuto attivo l’account di posta elettronica aziendale di un lavoratore anche dopo la risoluzione del rapporto di lavoro.
Infatti, a seguito della cessazione del rapporto di lavoro, il datore di lavoro deve disattivare e rimuovere gli account(identificati o identificabili) di posta elettronica aziendali riconducibili al lavoratore interessato; tale rimozione deve avvenire in un tempo ragionevole, commisurato ai tempi tecnici di predisposizione delle misure. Contestualmente, il datore di lavoro è tenuto a:
- adottare sistemi automatici volti ad informare i terzi, indicando eventualmente indirizzi alternativi;
- provvedere all’adozione di misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione. Infatti, lo scambio di mail fra il lavoratore con altri lavoratori o con persone estranee all’ambiente lavorativo attraverso un account di tipo individualizzato permette di conoscere alcune informazioni personali relative al lavoratore medesimo, anche dalla sola visualizzazione di dati esterni alle comunicazioni, quali, ad esempio, la data, l’ora e l’oggetto della comunicazione, i nominativi dei mittenti e dei destinatari.
L’adozione di tali misure tecnologiche ed organizzative consente ‘di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti-collaboratori nonché dei terzi’.
In particolare, essendo illegittimo il controllo di comunicazioni elettroniche di natura personale, ricade sul datore di lavoro l’onere di adottare una policy interna, nella quale siano esplicitati l’uso strettamente aziendale della posta elettronica, il corretto uso della stessa e le modalità di svolgimento di eventuali controlli. Tale onere è corredato dal dovere di informare i lavoratori interessati ai sensi dell’art. 13 del GDPR.
Si rimane a disposizione per qualsiasi eventuale ulteriore confronto si dovesse ritenere opportuno.