Con decisione del 22 dicembre 2016, ma resa pubblica il 17 febbraio scorso, il Garante per la protezione dei dati personali (Garante) si è pronunciato in materia di accesso e trattamento dei dati contenuti negli account aziendali dei dipendenti e nei dispositivi (quali ad es. smartphone) assegnati in dotazione al personale, concludendo per l’illiceità di controlli e trattamenti indiscriminati effettuati dal datore di lavoro sui dati contenuti nella posta elettronica e nei dispositivi aziendali, senza assicurare ai dipendenti un’informativa preventiva chiara e dettagliata in ordine alle caratteristiche essenziali dei trattamenti effettuati.

La vicenda nasce dal reclamo proposto da un ex dipendente della società AON S.p.A. (AON), broker assicurativo, il quale aveva lamentato al Garante l’illegittimo trattamento effettuato da parte di quest’ultima su dati, anche personali e privati, contenuti nelle proprie email e nel telefono aziendale, sia durante di rapporto di lavoro che al termine dello stesso fino all’effettiva disattivazione del relativo account aziendale.

All’esito dell’istruttoria il Garante ha riscontrato numerose irregolarità commesse da AON con riferimento al trattamento dei dati contenuti sia nell’account di posta elettronica aziendale dei dipendenti di questa, sia nel blackberry dato in dotazione al personale.

Con riferimento al primo profilo relativo alle email aziendali, il Garante ha riscontrato numerosi profili di illiceità consistenti (i) nella raccolta sistematica da parte di AON di tutte le comunicazioni e dati in transito sugli account aziendali dei dipendenti, anche una volta terminato il rapporto di lavoro, posto che durante la procedura di disattivazione dell’account aziendale, che poteva richiedere fino a 6 mesi, la società manteneva il pieno controllo sulle email in entrata e in uscita, senza peraltro informare i mittenti terzi che le email inviate a tale indirizzo non sarebbero state visionate dal legittimo destinatario ma da altri soggetti; (ii) nella loro conservazione per un periodo di ben dieci anni, ritenuto dal Garante eccessivo e non proporzionato; e (iii) nella possibilità per la società di accedere a simili dati all’esito di una procedura di Security Investigation Request. E ciò, in assenza di una corretta e compiuta informativa ai dipendenti relativa alle modalità e finalità di simili attività di accesso, trattamento e conservazione dei dati.

Peraltro, il Garante ha riscontrato un ulteriore profilo di illiceità consistente nel fatto che le suddette attività sarebbero state poste in essere da AON in maniera indiscriminata altresì sui dati personali e privati dei dipendenti, in considerazione della facoltà di questi, espressamente riconosciuta da AON, di usare “…email a scopo privato in orario non lavorativo…”.

Inoltre, a seguito degli accertamenti condotti dal Garante è altresì risultato che simili attività di trattamento e conservazione dei dati non venivano effettuate direttamente da AON, bensì da una società appartenente al medesimo gruppo di questa, ossia AON Service Corporation, la quale è stata considerata dal Garante come entità distinta da AON, e, pertanto, non in possesso di un valido titolo di legittimazione all’effettuazione di detti trattamenti, posto che AON “…avrebbe dovuto designar[la] in qualità di responsabile del trattamento…”. Il Garante ha quindi vietato ad AON l’ulteriore trattamento di tali dati “…fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria…”.

Con riferimento al trattamento dei dati contenuti nel blackberry in dotazione ai dipendenti, il Garante ha in particolare considerato illecita la facoltà del titolare di accedere da remoto alle informazioni contenute in tali dispositivi (anche di natura privata e non attinenti allo svolgimento dell’attività lavorativa), di raccoglierle, cancellarle e comunicarle a terzi “…in occasione di eventi genericamente indicati ed in assenza della predisposizione di alcuna procedura di garanzia…”.

Fermi i divieti di utilizzazione e trattamento dei dati così illecitamente raccolti, il Garante si è in ogni caso riservato di valutare, con autonomo procedimento, l’applicazione di eventuali sanzioni amministrative.

Con la decisione in commento il Garante ha quindi inteso fornire ulteriori chiarimenti in merito alla possibilità delle società di accedere, trattare e conservare dati e informazioni dei propri dipendenti contenute in email e dispositivi aziendali. Una corretta e completa informativa insieme con un trattamento selezionato di solo quei dati di natura non privata e personale e attinenti l’attività professionale svolta dal dipendente rappresentano requisiti minimi ai fini della liceità di trattamenti disposti dalle società, di cui queste dovrebbero tenere conto soprattutto nell’ambito di audit e investigazioni interne svolte nei confronti del proprio personale.