Il 17 luglio 2024, il Garante per la protezione dei dati personali ha emesso un provvedimento di grande rilevanza contro Selectra S.p.A., stabilendo l’illiceità del trattamento dei dati personali compiuto dall’azienda mediante l’uso del software Mail Store.
La vicenda trae origine dal reclamo di un ex collaboratore, che ha denunciato la società per aver mantenuto attivo e accessibile il proprio account di posta elettronica anche dopo la cessazione del rapporto lavorativo.
Indice degli argomenti
Stop al software che accede all’email del dipendente: i fatti
Selectra, infatti, aveva conservato per tre anni le e-mail scambiate durante il rapporto di collaborazione, giustificando tale condotta con presunte esigenze di sicurezza e tutela giudiziaria. Tuttavia, il Garante ha ravvisato numerose violazioni del Regolamento (UE) 2016/679, GDPR, rilevando che il trattamento dei dati eccedeva i limiti di liceità e proporzionalità imposti dalla normativa.
Essere DPO nel 2025: quali sono le competenze e i requisiti necessari
Questo provvedimento pone una questione di particolare rilevanza, poiché coinvolge l’uso di strumenti tecnologici volti a sorvegliare in modo sistematico i lavoratori, incidendo profondamente sulla sfera della riservatezza e sui diritti costituzionali a tutela della dignità personale.
Il punto centrale dell’analisi critica risiede nella tensione tra il diritto del datore di lavoro a proteggere i propri interessi aziendali e la tutela della dignità e riservatezza del lavoratore.
Il Garante ha osservato come l’accesso sistematico e la conservazione prolungata delle e-mail abbiano ecceduto i limiti della liceità, violando i principi di minimizzazione e proporzionalità del trattamento, come stabilito dal GDPR.
Le violazioni GDPR nel caso Selectra
In questo contesto, il controllo sui lavoratori tramite strumenti di sorveglianza, senza adeguate garanzie procedurali, rischia di configurarsi come una violazione dell’art. 4 dello Statuto dei Lavoratori.
Infatti, la raccolta sistematica dei metadati e delle comunicazioni elettroniche per fini di sicurezza, in assenza di un accordo sindacale o di autorizzazione da parte dell’Ispettorato del Lavoro, rappresenta un’indebita compressione dei diritti individuali.
Il principio di accountability
La riflessione giuridica, dunque, si articola attorno al principio di accountability: il datore di lavoro non solo deve rispettare i limiti imposti dalla legge, ma deve anche giustificare ogni trattamento connesso alla sicurezza, dimostrando la reale necessità delle misure adottate.
L’analisi critica evidenzia come l’adozione di strumenti di controllo massivo possa condurre a un monitoraggio sistematico dei lavoratori, in contrasto con il quadro normativo, se non giustificata da ragioni specifiche e ben definite.
Il provvedimento del Garante si radica su un quadro normativo che trova il suo centro nevralgico nel Regolamento (UE) 2016/679 (GDPR) e nel Codice Privacy italiano, la cui applicazione nell’ambito lavorativo si interseca con i diritti fondamentali del lavoratore, tutelati anche dalla Costituzione.
La liceità del trattamento dei dati personali
La liceità del trattamento dei dati personali, come stabilito dall’art. 5 del GDPR, impone che il trattamento sia fondato su una base giuridica solida e conforme alle finalità dichiarate.
Tuttavia, la condotta di Selectra S.p.A. si discosta nettamente da tale principio, poiché la conservazione dei dati personali e delle comunicazioni e-mail per un periodo di tre anni dopo la cessazione del rapporto lavorativo non appare giustificata da una reale necessità o proporzionalità.
La minimizzazione dei dati
La minimizzazione dei dati, altro principio cardine dell’articolo, richiede che vengano trattati solo i dati essenziali per le finalità dichiarate, mentre la conservazione prolungata di metadati e contenuti comunicativi eccede palesemente tali limiti.
I corretti tempi di conservazione dei dati
La limitazione temporale della conservazione dei dati, infine, è violata, poiché Selectra non ha offerto spiegazioni sufficienti per il prolungamento temporale, trascurando il carattere effimero e specifico della necessità di trattamento.
La corretta regolazione dei controlli a distanza
L’articolo 88 del GDPR, che riguarda il trattamento dei dati personali in ambito lavorativo, permette agli Stati membri di adottare norme specifiche per garantire che i diritti dei lavoratori non vengano compromessi dall’uso di strumenti tecnologici.
Il legislatore italiano ha fatto ricorso a questa possibilità, riaffermando con l’art. 114 del Codice Privacy l’importanza dello Statuto dei Lavoratori, in particolare l’art. 4, che regola i controlli a distanza.
In questo caso, Selectra ha violato anche questo principio, poiché non ha rispettato la procedura legale che richiede l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro prima di poter implementare strumenti di sorveglianza digitale.
La ratio di tale previsione è chiaramente fondata sulla necessità di proteggere i lavoratori da pratiche invasive che potrebbero ledere la loro dignità e limitare ingiustamente la loro libertà.
Questo controllo surrettizio delle attività personali e lavorative dei dipendenti, mascherato da ragioni di sicurezza o di continuità aziendale, si pone in netto contrasto con l’architettura costituzionale italiana, che tutela la persona in ogni aspetto della vita lavorativa e personale.
Riflessioni sul provvedimento del Garante privacy
Da tali riferimenti normativi possono trarsi le seguenti riflessioni.
Nel contesto del provvedimento emesso dal Garante della Privacy contro Selectra S.p.A., si evidenziano violazioni sostanziali dei principi fondamentali del GDPR, che meritano una riflessione approfondita alla luce delle norme europee e nazionali.
La violazione più evidente riguarda il principio di minimizzazione dei dati, previsto dall’art. 5, par. 1, lett. c) del Regolamento (UE) 2016/679, il quale impone che il trattamento dei dati sia limitato a quanto necessario rispetto alle finalità dichiarate.
La decisione di Selectra di conservare i dati relativi alle e-mail di un ex collaboratore per un periodo di tre anni, senza una giustificazione specifica, rappresenta una evidente eccedenza rispetto a quanto previsto dal GDPR.
La giustificazione addotta dall’azienda, ossia la necessità di proteggere la sicurezza informatica, non può legittimare una tale estensione temporale, che si presenta sproporzionata rispetto agli obiettivi iniziali dichiarati.
La trasparenza dell’informativa ai lavoratori
Al centro del provvedimento vi è anche la questione della trasparenza dell’informativa fornita ai lavoratori, un elemento cruciale della normativa europea sulla protezione dei dati.
Il Garante ha sottolineato come l’informativa fornita da Selectra non rispettasse il requisito della completezza sancito dall’art. 13 del GDPR, omettendo dettagli essenziali, quali la durata della conservazione e le modalità di accesso ai dati.
L’assenza di chiarezza in questo ambito mina uno dei pilastri della protezione dei dati personali: il diritto dell’interessato a comprendere come e per quanto tempo i propri dati vengono trattati, con quale finalità e secondo quali modalità.
Selectra ha violato dunque non solo il diritto alla trasparenza, ma anche il principio di liceità del trattamento, operando un accesso esteso a dati sensibili senza fornire un’adeguata informativa.
L’utilizzo improprio del software Mail Store rappresenta, inoltre, una violazione del principio di liceità stabilito dall’art. 5, par. 1, lett. a) del GDPR.
Sebbene l’azienda avesse giustificato l’utilizzo del software con esigenze di sicurezza informatica, è emerso che lo stesso è stato impiegato anche per verificare il contenuto delle e-mail a fini giudiziari, un’operazione non solo in contrasto con le finalità dichiarate, ma anche con le norme che regolano il trattamento dei dati nell’ambito della difesa giudiziaria.
Secondo il Garante, questo utilizzo travalica i limiti del trattamento lecito, configurandosi come una indebita estensione del controllo sui dati personali, destinata a scopi ulteriori non preventivamente comunicati.
In ultima analisi, il tema centrale del provvedimento riguarda il controllo a distanza dei lavoratori, vietato dall’art. 4 dello Statuto dei Lavoratori, se non effettuato secondo precise condizioni giuridiche, ovvero tramite accordo con le rappresentanze sindacali o autorizzazione dell’Ispettorato del Lavoro.
Selectra, ignorando tali requisiti procedurali, ha utilizzato il software Mail Store non solo per gestire le e-mail aziendali, ma anche per monitorare sistematicamente le attività di un ex collaboratore, configurando una violazione del diritto alla riservatezza e della dignità del lavoratore.
Questo tipo di controllo, per sua natura invasivo, è in evidente contrasto con il principio di proporzionalità che permea il diritto alla protezione dei dati personali e rappresenta una lesione grave delle libertà individuali del lavoratore.
Rapporto cruciale tra innovazione tecnologica e diritti
La vicenda pone dunque un interrogativo cruciale sul rapporto tra innovazione tecnologica e tutela dei diritti fondamentali: fino a che punto l’introduzione di tecnologie di monitoraggio e controllo possa essere legittima nel contesto lavorativo, senza ledere il rispetto dei diritti costituzionali di libertà, dignità e riservatezza dei lavoratori?
Infatti, il provvedimento del Garante del 17 luglio 2024, oltre a risolvere specificamente la questione legata al comportamento illecito di Selectra S.p.A., ha una portata ben più ampia e introduce implicazioni critiche sia sul piano giuridico che nel rapporto tra tecnologie di controllo e diritti fondamentali.
In un panorama in cui la digitalizzazione e l’automazione dei processi aziendali si sono estesi anche agli strumenti di monitoraggio del personale, il Garante ribadisce che tali strumenti non possono essere utilizzati in modo indiscriminato, senza il rispetto delle garanzie imposte dalla normativa.
Il controllo a distanza dei lavoratori, infatti, se non sottoposto a rigorosi limiti giuridici, rischia di compromettere diritti inviolabili, come la dignità e la riservatezza.
Ferma condanna del software Mail Store
L’elemento centrale del provvedimento è la ferma condanna dell’uso improprio del software Mail Store, utilizzato per accedere alle comunicazioni personali di un ex collaboratore per finalità non solo di sicurezza informatica, ma anche giudiziarie.
La critica principale del Garante si concentra sull’eccessiva conservazione delle e-mail (tre anni), considerata una violazione del principio di minimizzazione dei dati previsto dall’art. 5 del GDPR, secondo cui devono essere trattati solo i dati strettamente necessari per il raggiungimento delle finalità dichiarate.
La conservazione prolungata e senza informativa adeguata è una delle componenti più gravi, poiché la mancanza di trasparenza nel trattamento dei dati mina la fiducia del lavoratore e viola il suo diritto a conoscere pienamente il destino dei propri dati.
La sanzione pecuniaria di 80.000 euro, benché significativa, rivela come il Garante abbia tenuto conto anche della cooperazione di Selectra, che ha sospeso l’utilizzo del software durante l’istruttoria.
Ciò non ha però eliminato la rilevanza delle violazioni, che si configurano come una pluralità di comportamenti illeciti distinti. Questa cooperazione, tuttavia, ha inciso sull’entità della sanzione, mitigandola entro i limiti previsti dal principio di proporzionalità sancito dall’art. 83 del GDPR.
Rinnovata importanza del diritto all’informazione
Una delle novità più interessanti di questo provvedimento risiede nella rinnovata importanza del diritto all’informazione.
L’informativa fornita ai lavoratori non deve essere considerata un mero adempimento formale, ma un elemento essenziale per il rispetto dei diritti dei dipendenti, soprattutto quando si utilizzano strumenti tecnologici che potenzialmente potrebbero invadere la loro vita privata.
Per il Garante la tutela della riservatezza e della dignità dei lavoratori deve restare un pilastro imprescindibile, anche in un contesto tecnologico sempre più evoluto.
Le imprese devono dunque bilanciare le proprie esigenze di sicurezza con il rispetto dei diritti dei lavoratori, senza trasformare la tecnologia in uno strumento di controllo pervasivo.
Come rendere il tuo Data Center conforme, sicuro e sostenibile
