Con comunicato stampa del 19 dicembre 2022 il Garante per la protezione dei dati personali ha reso noto di aver sanzionato la Regione Lazio per illecito trattamento di dati personali di dipendenti effettuato controllando metadati della posta elettronica.
L’ente aveva dichiarato di aver effettuato il monitoraggio dei metadati della posta elettronica (orari, destinatari, oggetto delle comunicazioni, peso degli allegati). L’ente aveva dichiarato che tali informazioni sono conservate per 180 giorni. L’ente aveva inoltre dichiarato che il controllo, attivato per accertare eventuali comportamenti illeciti del lavoratore dei quali vi era ragionevole sospetto e che risultavano anche lesivi dell’immagine dell’Amministrazione, era avvenuto in maniera isolata e una tantum in assenza di formalismi.
Il Garante, anche mediante attività ispettive, ha accertato che la Regione aveva potuto effettuare il monitoraggio del personale, in particolare dei dipendenti dell’avvocatura che inviavano messaggi a uno specifico sindacato, sfruttando i dati conservati per generiche finalità di sicurezza informatica per 180 giorni, in assenza di idonei presupposti giuridici violando così i principi di protezione dei dati e delle norme sul controllo a distanza.
Il Garante infatti ha indicato che la conservazione dei metadati relativi all’utilizzo della posta elettronica dei dipendenti, ancorché sul presupposto della sua necessità per finalità di sicurezza informatica, può comportare un indiretto controllo a distanza dell’attività dei lavoratori, che la legge consente esclusivamente al ricorrere di esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, e in presenza delle garanzie procedurali previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o, in alternativa, autorizzazione pubblica).
Sul tema il Garante ha quindi rilevato un trattamento illecito in quanto i dati personali relativi ai messaggi di posta elettronica, sono stati trattati dalla Regione anche al fine di effettuare verifiche puntuali su specifici dipendenti.
Sull’applicabilità al caso di specie dell’eccezione dei c.d. controlli difensivi, il Garante ha evidenziato che essa è “di pura creazione giurisprudenziale” e “oggetto di applicazioni non univoche”.
Il Garante ha ritenuto comunque che tale eccezione non si possa applicare al caso di specie, fondandosi su fatti che in ogni caso non ricorrono.
Il Garante ha infatti evidenziato come i trattamenti di dati personali connessi all’impiego di strumenti dai quali possa derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori devono essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste dalla cornice legislativa di riferimento, che ne costituisce, come detto, la base giuridica. Anche le esigenze di tutela del patrimonio datoriale, state espressamente incluse tra le finalità lecite perseguibili mediante sistemi che possono comportare il controllo indiretto sulla generalità dei dipendenti, sono da considerare subordinate l’installazione e l’utilizzazione all’accordo sindacale o, in alternativa, all’autorizzazione pubblica. Ne consegue, a parere del Garante, che qualunque trattamento debba considerarsi sprovvisto di idonea base giuridica e quindi illecito, qualora non vengano rispettate tali condizioni per il lecito impiego dei predetti sistemi.
Le considerazioni esposte dal Garante sull’applicabilità dei “controlli difensivi”, che confermano altre impostazioni molto rigorose di detta Autorità, vanno quindi a arricchire il già ampio spettro di posizioni presenti in tema di c.d. controlli difensivi, richiamando i titolari a presentare sempre una particolare attenzione qualora si intenda operare in tale “scivoloso” ambito.