Il Garante per la Privacy, con Nota 17 febbraio 2017, n. 424, ribadisce che sono vietati i controlli indiscriminati su e-mail e smartphone aziendali.
Per il datore di lavoro accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale è un comportamento illecito.
I datori di lavoro possono trattare i dati personali dei lavoratori dipendenti solo se strettamente indispensabili all'esecuzione del rapporto di lavoro, così come il trattamento degli stessi può avvenire solo a cura del personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite: queste alcune delle indicazioni fornite dal Garante per la privacy nel vademecum che traccia le linee guida in materia di trattamento dei dati dei lavoratori.
Il datore di lavoro non può accedere indiscriminatamente alle email dei dipendenti, ai dati personali contenuti nello smartphone o nel tablet, né tanto meno intervenire da remoto sui contenuti del device in dotazione al lavoratore: lo ribadisce il Garante della Privacy vietando l’utilizzo di dati trattati in violazione alle norme di legge.
In primo luogo, la policy sul trattamento dei dati va comunicata al dipendente con specifica informativa, dettagliando modalità e finalità dell’attività di raccolta e conservazione dei dati. Ci sono poi regole precise da seguire nel trattamento e conservazione dei dati, che devono sempre uniformarsi al principio di correttezza e non possono prevedere attività di controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.
Altre violazioni: configurazione del sistema di posta elettronica in modo da conservare copia della corrispondenza anche dopo la cessazione del rapporto di lavoro per un tempo non proporzionato (anni): dopo la cessazione del rapporto gli account di posta devono essere rimossi, previa disattivazione degli stessi e contestuale adozione di sistemi automatici per informare i terzi e fornire loro indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.
Non è conforme ai principi di necessità, pertinenza e non eccedenza la conservazione per anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche.
In generale, le norme sul controllo a distanza, anche dopo le modifiche del Jobs Act, contenute nell’articolo 23 del decreto legislativo 151/2015, non consentono di effettuare attività idonee a realizzare (anche indirettamente) il monitoraggio massivo, prolungato e indiscriminato dell’attività del lavoratore.
Il datore di lavoro è sempre tenuto a salvaguardare la libertà e la dignità del lavoratore e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.
La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore.
Il Garante considera illecita anche la mancata disattivazione della mail aziendale dopo la fine del rapporto di lavoro e l'eccessiva durata del periodo di conservazione sui server aziendali dei dati e dei contenuti delle comunicazioni elettroniche intrattenute dal dipendente.
I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali e delle eventuali verifiche da parte del lavoro da server remoti.