27.01.2023 Icon

Controllare le e-mail dei dipendenti può costituire illecito

La regione Lazio è stata sanzionata al pagamento di una somma pari a euro 100.000,00 per aver controllato i metadati della posta elettronica dei dipendenti senza aver utilizzato le dovute tutele. 

La vicenda trae le sue origini da una segnalazione del sindacato autonomo Fedirets sul monitoraggio della posta elettronica del personale degli uffici dell’avvocatura regionale da parte della regione Lazio. Questa, avrebbe effettuato una «verifica sui flussi di mail in uscita dalle caselle di posta elettronica istituzionale»[1]analizzando dati personali quali il mittente, l’oggetto, il destinatario dell’e-mail, eventuali allegati etc. 

Nel corso dell’istruttoria l’ente pubblico ha dichiarato di avere agito ex post, cioè dopo il compimento del presunto illecito, per accertare eventuali comportamenti dei lavoratori (comportamenti che riguardavano la presunta rivelazione, da parte dell’Avvocatura regionale, di notizie d’ufficio che avrebbero dovuto rimanere segrete). 

Tuttavia, il controllo sarebbe stato effettuato senza che un’adeguata informativa fosse stata consegnata ai lavoratori. Tale necessità, è prevista sia dagli artt. 12 e 13 del Regolamento (UE) 2016/679 per la protezione dei dati personali (il GDPR), sia dall’art. 4, 3 co. della L. 300/1970. Il Garante ha rilevato che non solo non era stata consegnata l’informativa, ma che, prima di procedere al trattamento, non era stata effettuata la valutazione di impatto (la DPIA) secondo quanto previsto dall’art. 35 GDPR. Infatti, il titolare (nel caso di specie, la regione Lazio) deve realizzare la DPIA «quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche». Nel caso in esame, la raccolta dei metadati, la relativa conservazione per 180 giorni, l’estrazione e l’elaborazione degli stessi presentava rischi per i diritti e le libertà dei soggetti interessati a tal punto da rendere necessaria la DPIA. I dipendenti vengono considerati «vulnerabili» essendo in un contesto lavorativo nel quale vengono utilizzati sistemi di «monitoraggio sistemico» inteso come «trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti»[2]

In conclusione, per i motivi sopra enunciati e meglio specificati nell’ordinanza di ingiunzione (vedi nota 1), il Garante dichiara l’illiceità del trattamento[3] effettuato dalla regione Lazio.


[1] Ordinanza di ingiunzione nei confronti di Regione Lazio – 1° dicembre 2022 [9833530]

[2] Considerando 75 GDPR e art. 88 GDPR.

[3] Per violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, 12, 13, 25, 35, 88, par. 1, del Regolamento, nonché 113 e 114 del Codice (in relazione agli artt. 4 e 8 della l. n. 300/1970).

Autore Sara Donati

Associate

Milano

s.donati@lascalaw.com

Desideri approfondire il tema Privacy ?

Contattaci subito