È illecito l’accesso del datore di lavoro al contenuto degli account email di ex dipendenti dopo la cessazione del rapporto di lavoro.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Due ex dipendenti di una officina meccanica proponevano un reclamo al Garante per la protezione dei dati personali, lamentando delle gravi violazioni alla normativa privacy.
In particolare, i ricorrenti sostenevano che il loro datore di lavoro aveva mantenuto attivi i loro due indirizzi email aziendali per diversi mesi dopo la cessazione dei rapporti lavorativi ed aveva avuto accesso ai messaggi ivi pervenuti. In secondo luogo, i reclamanti lamentavano di non aver potuto esercitare il diritto di accesso al contenuto dei predetti account, a causa della cancellazione dei messaggi ivi presenti e infine di non aver ricevuto una idonea informativa in merito al trattamento dei dati personali relativi all’account di posta elettronica.
Il Garante chiedeva chiarimenti sul punto alla società, la quale confermava di aver disattivato gli account in questione soltanto nel novembre 2021 (quindi diversi mesi dopo la cessazione del rapporto di lavoro con i due reclamanti) e che gli account erano stati mantenuti fino a tale momento per poter verificare l’arrivo di reclami e di richieste tecniche da parte dei clienti della società. Quest’ultima, inoltre, precisava che l’accesso ai due account era avvenuto esclusivamente ad opera del Presidente del CDA e legale rappresentante della società e che non era stato conservato alcun contenuto presente all’interno dei due indirizzi di posta elettronica.
In secondo luogo, la società faceva presente che gli account in questione erano ad esclusivo uso aziendale e che nessuna comunicazione personale dei due ex dipendenti era pervenuta ai predetti indirizzi email dopo la cessazione del rapporto di lavoro. A tal proposito, la società sosteneva che erano pervenute a titolo personale soltanto email contenente materiale pubblicitario, che venivano immediatamente cestinate.
Infine, la società faceva presente che i due reclamanti rivestivano ruoli apicali all’interno dell’azienda e intrattenevano con un cliente importante corrispondenza rilevante e decisiva per la continuità operativa della società medesima: in particolare, uno dei reclamanti era Presidente del CDA della società e l’altro reclamante era responsabile del reparto ricambi e rappresentante di sostegno del socio al 50% della società nonché il soggetto incaricato al trattamento interno dei dati. Per tali ragioni, secondo la società, i due reclamanti erano ben consapevoli e perfettamente informati delle modalità di trattamento dei dati in uso nell’azienda, in quanto erano state predisposte e gestite da essi stessi.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
20.00 €
2. Accesso del datore di lavoro alla mail di ex dipendenti: la valutazione del Garante
Il Garante per la protezione dei dati personali ha evidenziato che in base al principio di trasparenza, sancito dal Regoalmento europeo per la protezione dei dati personali (GDPR), il titolare del trattamento, prima di effettuarli, fornisce all’interessato le informazioni relative alle caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.
Nel caso di specie, pertanto, per avere un comportamento corretto e rispettoso del richiamato principio di trasparenza, il titolare del trattamento, per un tempo proporzionato con le esigenze di continuità dell’attività svolta, avrebbe dovuto limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, il tutto senza accedere al contenuto degli account medesimi.
Invece, il titolare del trattamento ha direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro. Tale condotta è contraria al richiamato principio di trasparenza e di correttezza. Infatti, lo scambio di corrispondenza elettronica estranea o meno all’attività lavorativa su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato.
Il Garante non ha ritenuto valide le difese proposte dalla società reclamata, secondo cui il legale rappresentante della stessa accedendo agli account in questione si sarebbe limitato a ricercare comunicazioni provenienti dai clienti e relative a rapporti aziendali. Infatti, la ricerca delle comunicazioni da parte della società è pur sempre avvenuta successivamente all’accesso alla totalità dei messaggi contenuti nelle caselle di posta in questione. Pertanto, la società ha quanto meno acceduto ai dati esteriori delle comunicazioni contenute negli account assegnati ai reclamanti. Ebbene, secondo il Garante, anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente.
Inoltre, il Garante ha ritenuto che la condotta posta in essere dalla società violasse i principi di liceità e di minimizzazione. Infatti, la società ha acceduto, in qualità di titolare ai predetti account in assenza di alcuna condizione di liceità del trattamento: secondo il Garante, la finalità prospettata dalla società di prosecuzione dell’attività della stessa si sarebbe potuta realizzare con modalità di trattamento conformi alla disciplina di protezione dei dati che, tra l’altro, sarebbero state meno invasive della sfera di riservatezza dei reclamanti.
Infine, per quanto riguarda la mancata informativa privacy in ordine all’uso degli strumenti aziendali al termine del rapporto di lavoro, il Garante ha ritenuto che la società abbia tenuto una condotta altresì illecita, in quanto l’informativa prodotta non conteneva indicazioni idonee in merito all’attività di trattamento che nel concreto la società ha tenuto.
Con riferimento alle difese della Società in merito al fatto che i reclamanti fossero informati sulle modalità del trattamento perché individuate dagli stessi, il Garante ha precisato che la “nomina a incaricato del trattamento interno” non può considerarsi elemento dal quale evincere che il reclamante fosse stato informato in merito al trattamento che la Società avrebbe posto in essere, una volta cessato il rapporto di lavoro, sull’account di posta elettronica assegnato allo stesso. Analogamente, neppure il fatto che l’altro reclamante fosse presidente del Consiglio di amministrazione è elemento che prova il fatto che la Società lo avesse informato del trattamento in esame.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto illecito la condotta posta in essere dalla società ed ha ritenuto di comminare una sanzione amministrativa pecuniaria a suo carico.
Per quanto riguarda la sua quantificazione, il Garante ha tenuto in considerazione la rilevante natura della violazione, che ha riguardato i principi generali del trattamento, nonché l’elevato grado di responsagbilità della società, che non si è conformata alla disciplina in materia di protezione dei dati relativamente auna pluralità di disposizioni. Infine, il Garante ha tenuto conto a favore della società la cooperazione che quest’ultima ha mostrato durante il procedimento.
Conseguentemente il Garante, tenuto altresì conto delle condizioni economiche del contravventore e dell’entità delle sanzioni irrogate in casi analoghi, ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 20.000 (ventimila).
Scrivi un commento
Accedi per poter inserire un commento