Controllo mail aziendale: quello “indiscriminato” è illecito

Il controllo mail aziendale da parte del datore di lavoro non è sempre lecito. Il Garante con un provvedimento ha intimato ad un'università la cessazione immediata dei controlli, in quanto il trattamento dei dati è risultato essere "in violazione dei principi di necessità, pertinenza e non eccedenza".

Un datore di lavoro non può effettuare il controllo mail aziendale in modo indiscriminato, ovvero non ha la facolta di scandagliare tutte le mail dei suoi dipendenti, a prescindere dai loro contenuti e senza una ragione precisa che giustifichi una tale invasività. E’ questo quanto stabilito recentemente dal Garante per la protezione dei dati personali, che si è espresso su un caso riguardante un’università che, secondo quanto appreso,  raccoglieva e conservava i dati informatici atti a tracciare le attività su web e mail dei propri dipendenti, per un periodo di 5 anni.


controllo mail aziendale

image by Undrey

Accusa questa, scaturita da una denuncia del personale docente e di quello tecnico-amministrativo, denuncia  che l’Università in questione aveva però respinto, spiegando di effettuare solamente controlli saltuari, o in caso di avvisi di virus, malware e software similari, in grado di recare danni ai sistemi informatici.

Secondo il Garante però, le cose non starebbero proprio così ed ha quindi dichiarato “illecito” il comportamento dell’Università, disponendo l’immediata cessazione di quest’ultimo. Si tratta, ha spiegato il Garante, nel provvedimento 303 del 13 luglio 2016, di un “trattamento di dati eccedente rispetto agli scopi dichiarati”, in violazione del Codice della Privacy e dello Statuto dei lavoratori. Infatti, è la considerazione dell’Autorità, “la memorizzazione dei dati relativi al MAC Address (riconducibili alla postazione lavorativa) e i dati relativi alla connessione ai servizi di rete in modo massivo ed anelastico, in presenza della menzionata associabilità in via univoca all’utente, non risulta strettamente necessaria per la generica finalità di protezione e sicurezza informativa ovvero per astratte finalità derivanti da possibili indagini giudiziarie”. I “controlli più invasivi”infatti, devono risultare “assolutamente residuali” e possono essere legittimati solo “a fronte della rilevazione di specifiche anomalie”.

La questione del controllo mail aziendale non è certo nuova e già altri organi competenti si sono più volte espressi su casi specifici. Nel 2012, la Corte di Cassazione con la sentenza 2722, aveva dichiarato legittimo il controllo mail aziendale, ma solo in alcuni particolari e ben determinati casi. Il 12 dicembre scorso, la Corte Europea aveva espresso più o meno la stessa linea di pensiero, ritenendo ammissibile il licenziamento di un lavoratore, un ingegnere romeno che utilizzava la mail aziendale per fini personali in orario di lavoro. Il controllo mail aziendale in questo caso era stato “limitato nel tempo e nell’oggetto” e finalizzato esclusivamente “alla verifica dell’adempimento contrattuale”. Ovvero, un controllo mail aziendale è possibile da parte del datore di lavoro quando la situazione lo richiede e limitando al massimo l’invasione nella sfera, per così dire, personale.  Quello indiscriminato invece, non soggetto ai limiti di sorta previsti, è da ritenersi illecito.

CATEGORIES
Share This

Commenti