Le ultime decisioni del Garante per la protezione dei dati personali offrono importanti spunti di riflessione per datori di lavoro e professionisti, soprattutto in relazione al bilanciamento tra esigenze organizzative e tutela dei diritti dei lavoratori. I due interventi di seguito descritti confermano che ogni forma di controllo sui lavoratori deve rispettare rigorosamente i principi di necessità, proporzionalità e trasparenza, implicando per le imprese l’obbligo di valutazioni preventive e policy chiare, al fine di evitare trattamenti illeciti che possono comportare rilevanti conseguenze sanzionatorie.
Monitoraggio alla guida: quando il controllo diventa illecito
In un primo caso, l’Autorità ha irrogato una sanzione di 120.000 euro a una società operante nel settore delle sementi agricole che aveva installato sui veicoli aziendali un sistema di monitoraggio avanzato, collegato al nominativo del conducente. Il dispositivo registrava non solo dati relativi ai tragitti di lavoro, ma anche informazioni altamente dettagliate sullo stile di guida, sui chilometri percorsi, sui consumi e sui tempi di percorrenza, con conservazione delle informazioni per oltre un anno.
Il trattamento veniva utilizzato per attribuire punteggi mensili ai dipendenti, incidendo di fatto sulla valutazione della loro performance. Il Garante ha ritenuto tale sistema in contrasto con lo Statuto dei lavoratori e con i principi del GDPR, rilevando informazioni eccedenti e modalità invasive, oltre a una informativa poco chiara e incompleta circa le finalità, le basi giuridiche e i soggetti coinvolti nelle operazioni di trattamento.
Pertanto, l’Autorità ha ordinato la cancellazione dei dati relativi ai viaggi dei lavoratori, raccolti e utilizzati per l’attribuzione dei punteggi di comportamento alla guida.
Accesso alle e-mail dopo il licenziamento: violazione della segretezza della corrispondenza
In un secondo caso, il Garante ha sanzionato con 40.000 euro un’azienda che, dopo il licenziamento del proprio amministratore delegato, aveva mantenuto attivo l’account di posta aziendale, continuando non solo a ricevere le e-mail a lui indirizzate, ma inoltrandole ad un altro indirizzo di posta interno per un periodo di circa due mesi.
L’Autorità ha ribadito che il contenuto delle e-mail costituisce corrispondenza tutelata costituzionalmente, anche in ambito lavorativo. L’azienda avrebbe dovuto disabilitare l’account e attivare un messaggio automatico informativo, come richiesto dall’ex dipendente.
Il Garante ha disposto pertanto che la Società consentisse al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha ordinato la successiva cancellazione, fatta eccezione per quanto occorra conservare ai fini della tutela dei diritti in sede giudiziaria.
