Utilizzo della posta elettronica e della rete internet nel rapporto di lavoro

Le Ordinanze-Ingiunzioni del Garante della Protezione dei Dati Personali costituiscono spesso, per tutti i titolari del trattamento e per i consulenti privacy, una vera e propria guida operativa ed anche un utilissimo spunto di miglioramento organizzativo, poiché evidenziano rilevanti e significative “non conformità” al GDPR, indicando, contestualmente, anche le modalità per risolverle.

In molti casi le stesse Ordinanze-Ingiunzioni sono anche importanti indicatori delle regole e delle prescrizioni che è opportuno e/o necessario seguire.

Ne è un chiaro esempio un provvedimento segnalato nell’ultima Newsletter dell’Autorità.

>>>Leggi qui il provvedimento completo<<<

Vediamolo.

     Indice

  1. Incertezze nel passaggio dalla Direttiva 95/46/CE al GDPR e loro superamento
  2. La confermata attualità e vigenza delle Linee Guida
  3. Le prescrizioni ai datori di lavoro

1. Incertezze nel passaggio dalla Direttiva 95/46/CE al GDPR e loro superamento

Con l’entrata in vigore del GDPR si è posto il problema di governare la transizione dal vecchio al nuovo sistema privacy, anche attraverso una revisione della normativa nazionale di settore.

Per tale finalità è stato emanato il D.Lgs. 101/2018 che ha introdotto una gamma disposizioni volte ad adeguare la normativa nazionale alle disposizioni del GDPR.

Tra queste, l’art.21, comma 4 stabilisce che a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la Protezione dei Dati Personali continuano ad applicarsi, in quanto compatibili con il GDPR.

Questa norma pone però un problema, poiché non indica “chi” sia legittimato a stabilire la “compatibilità” dei pregressi provvedimenti del Garante con il GDPR, né “come” la stessa compatibilità vada affermata.

In tale contesto, di fatto, un valido criterio per stabilire con certezza la persistenza degli antecedenti provvedimenti è quello di verificare se l’Autorità vi abbia fatto riferimento per contestare specifiche violazioni, come è avvenuto nell’ambito di uno degli ultimi procedimenti per l’adozione di provvedimenti correttivi e sanzionatori.

2. La confermata attualità e vigenza delle Linee Guida

Si fa riferimento al provvedimento n. 127 del 7 aprile 2022 (riportato anche nella Newsletter GPDP 489 del 19 maggio 2022) con il quale il Garante, a seguito di un reclamo, ha imposto ad una società/titolare del trattamento una pesante sanzione pecuniaria, per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

In particolare, la società, in costanza di un rapporto di lavoro (agenzia in esclusiva), senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al di lei account, utilizzato per le relazioni commerciali. Lo stesso account risultava però ancora attivo. La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

Nel provvedimento si legge anche che nell’ambito della relativa istruttoria preliminare avviata per definire il reclamo, l’Autorità Garante ha, tra l’altro, richiesto alla società/titolare del trattamento se avesse rilasciato alla reclamante un’idonea informativa ed il disciplinare alla luce delle Linee guida del Garante per posta elettronica e internet del 1° marzo 2007, pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007 (doc. web n. 1387522), con particolare riguardo anche alla gestione delle caselle di posta elettronica aziendale, durante lo svolgimento del rapporto di lavoro e dopo la cessazione del medesimo.

Nel corso del successivo procedimento instaurato a carico della società/titolare del trattamento l’Autorità Garante, dopo aver accertato la mancata applicazione delle citate Linee Guida, le ha anche specificamente più volte richiamate per contestarne la mancata applicazione che, peraltro, ha determinato la violazione dei principi di ‘limitazione della conservazione’ dell’art. 5, par. 1, lett. e) del GDPR e del connesso principio di ‘minimizzazione’ di cui al medesimo art. 5, par. 1, lett. c).

Infatti le stesse Linee Guida – ai fini della conformità ai principi in materia di protezione dei dati -, prescrivono che, dopo la cessazione del rapporto di lavoro, il titolare del trattamento provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale.


Potrebbe interessarti anche: 


3. Le prescrizioni ai datori di lavoro

L’Ordinanza-Ingiunzione in esame conferma così la piena attualità e la vigenza delle “vecchie” Linee Guida che prescrivono ai datori di lavoro alcune misure, necessarie o opportune, per conformare alla normativa privacy il trattamento di dati personali effettuato per verificare il corretto utilizzo nel rapporto di lavoro della posta elettronica e della rete Internet.

Si tratta di prescrizioni non solo attuali ma anche rilevanti ed utilissime poiché, essendo basate sui principi della protezione dei dati, consentono al datore di lavoro di realizzare un elevato livello di tutela delle persone e, contestualmente, un’effettiva compliance al GDPR.

Invero, costituiscono anche un ottimo strumento di bilanciamento tra il legittimo interesse dei datori di lavoro (volto a soddisfare le esigenze organizzative e produttive nonché a garantire la sicurezza del lavoro e la tutela del patrimonio aziendale) e le ragionevoli aspettative di riservatezza dei dipendenti, considerando tutti i rischi posti dalle nuove tecnologie (posta elettronica ed accesso ad internet, in particolare).

In questo quadro, le Linee Guida in esame indicano l’opportunità di adottare un disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro) e da sottoporre ad aggiornamento periodico.

Il datore di lavoro, oltre a prefigurare e pubblicizzare una policy interna rispetto al corretto uso della posta elettronica e di internet e agli eventuali controlli, ha anche il dovere di informare comunque gli interessati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli.

E’ quindi auspicabile che i datori di lavoro, sia pubblici che privati, abbiano consapevolezza dell’attualità e vigenza delle Linee Guida in esame e le applichino, rilasciando ai dipendenti il disciplinare ed un’adeguata informativa, al fine di assicurare nei luoghi di lavoro la tutela dei diritti, delle libertà fondamentali e della dignità dei lavoratori dipendenti garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l´esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali (artt. 2 e 41, secondo comma, Cost.; art. 2087 cod. civ.; cfr. altresì l´art. 2, comma 5, Codice dell´amministrazione digitale – D,Lgs. 7 marzo 2005, n. 82).

Ebook consigliato:

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

Giuseppe Alverone

Scrivi un commento

Accedi per poter inserire un commento