Fatto
Una persona aveva promosso un reclamo al Garante per la protezione dei dati personali, lamentando che la società con cui aveva in precedenza intrattenuto un rapporto di lavoro aveva violato la normativa in materia di protezione dei dati personali nei suoi confronti.
In particolare, dopo l’interruzione del rapporto di lavoro (che era avvenuta nel settembre 2016), il datore di lavoro aveva mantenuto attivo l’account di posta elettronica aziendale del reclamante. Tra l’altro, solo in considerazione dell’introduzione di un giudizio davanti al Tribunale di Ivrea sezione lavoro, il reclamante aveva potuto apprendere della permanenza della propria casella di posta elettronica nonché del fatto che il proprio ex datore di lavoro continuava a accedere ai messaggi che ivi arrivavano.
L’ex dipendente si lamentava, quindi, del fatto che non avesse avuto alcuna informativa in ordine al fatto che il datore di lavoro avrebbe potuto accedere alla suddetta casella di posta elettronica e visualizzare i messaggi contenuti, anche dopo la cessazione del rapporto di lavoro.
In ragione di ciò, il reclamante aveva inviato nell’aprile del 2018 una comunicazione alla società ex datrice di lavoro, diffidandola formalmente alla disattivazione dell’account di posta elettronica nonché alla trasmissione a suo favore di copia di tutte le comunicazioni che erano arrivate al suddetto indirizzo dal momento in cui era cessato il rapporto di lavoro e fino alla disattivazione della stessa.
La decisione del Garante
Nel proprio reclamo, l’ex dipendente ha dato conto ed esposto i fatti oggetto del contendere, chiedendo che il garante dichiari illecito il comportamento posto in essere dalla società nonché disponga che quest’ultima conformi il relativo trattamento dati, connesso alla casella di posta elettronica aziendale, alla normativa in materia di protezione dei dati personali.
La società si è difesa sostenendo che l’account non era stato disattivato e le e-mail in arrivo erano state controllate in considerazione del fatto che, prima di interrompere il rapporto di lavoro, l’ex dipendente non aveva informato i clienti della società che le comunicazioni avrebbero dovuto essere inviate presso un nuovo riferimento e-mail aziendale e del fatto che il controllo dell’e-mail in arrivo era necessario per poter gestire i rapporti commerciali della Società stessa. In secondo luogo, quest’ultima aveva precisato che il controllo delle e-mail era stato limitato soltanto a quelle di carattere commerciale (in quanto si trattava di comunicazioni provenienti dai clienti della società), mentre non era mai stato esteso al controllo dell’e-mail di carattere personale.
Durante l’istruttoria del procedimento, il garante ha richiesto ulteriori chiarimenti alla società reclamata, la quale ha sostenuto che l’ex dipendente fosse stato fin da subito consapevole che esisteva una prassi aziendale per cui l’indirizzo e-mail a lui intestato sarebbe stato oggetto di controllo dopo la cessazione del rapporto di lavoro e che prima dell’introduzione del procedimento in esame la società aveva comunicato all’ex dipendente di non aver aperto né letto e-mail personali inviate sul account aziendale, ma soltanto e-mail provenienti dai clienti della società (dal controllo di una delle quali era emerso che il reclamante stesse svolgendo concorrenza rispetto alla propria ex datrice di lavoro, facendo ciò scaturire l’introduzione della causa innanzi al tribunale di Ivrea). Infine, la reclamata ha precisato che l’account aziendale non è più attivo dal maggio del 2018, in quanto da tale data è stato chiuso.
In considerazione delle posizioni espresse dalle due parti, il Garante per la protezione dei dati personali ha, quindi, ritenuto accertato i seguenti fatti:
- che l’account di posta elettronica, che era stato assegnato al dipendente in maniera individuale, non era stato disattivato dalla società per evitare di perdere i contatti con i propri clienti;
- che detto account era rimasto attivo e controllato dalla società per 1 anno e 7 mesi dal momento della cessazione del rapporto di lavoro;
- che alcune informazioni che erano state raccolte da detto account non disattivato erano state successivamente utilizzate in un procedimento giudiziario nei confronti del reclamante per la difesa dei diritti della società.
Ciò detto, il garante ha ritenuto che il periodo di tempo (1 anno e 7 mesi) in cui l’account aziendale è rimasto attivo e sotto il controllo della società è da definirsi come significativo.
In secondo luogo, ha ritenuto che l’informativa rivolta all’interessato, in ordine al fatto che l’indirizzo di posta elettronica sarebbe stato controllato dalla società anche dopo la cessazione del rapporto di lavoro, avvenuta attraverso modalità verbali, non è idonea a ritenere assolto l’obbligo gravante sul datore di lavoro, quale titolare del trattamento, di informare l’interessato. Secondo l’autorità di controllo, infatti, il controllo dei messaggi di posta elettronica compiuta su un account assegnato in maniera individuale ad un dipendente, indipendentemente dal fatto che abbia avuto ad oggetto l’esame dei messaggi di carattere lavorativo o abbia riguardato anche quelli estranei all’attività lavorativa, permette di acquisire anche informazioni personali dell’interessato. Infatti, i dati personali possono emergere anche dal controllo esterno dei messaggi di posta elettronica (cioè senza aprire il messaggio), in quanto i dati visibili (come, per esempio, la data, l’oggetto, il nominativo del mittente) possono essere idonei a far emergere informazioni non riferibili all’attività professionale del dipendente ed aventi carattere personale (ed infatti, nel caso di specie, dall’elenco delle comunicazioni che il reclamante aveva ricevuto sull’account aziendale, emergevano inviti ad iniziative culturali, pubblicità di un istituto bancario rivolta ai propri clienti).
Il Garante ha, quindi, rilevato che nelle linee guida sulla posta elettronica dallo stesso emanate nel 2007, è stato stabilito che il messaggio di posta elettronica è una forma di corrispondenza cui è riconosciuta la garanzia della segretezza anche a livello costituzionale per proteggere la dignità umana e lo sviluppo della personalità; principio che, trasportato in ambito lavorativo, garantisce anche al lavoratore la riservatezza sui messaggi di posta elettronica e che tale forma di tutela permanga anche nel caso in cui il rapporto di lavoro sia cessato.
In considerazione di ciò, l’autorità di controllo ha ritenuto che, dopo la cessazione del rapporto di lavoro, il datore sia obbligato a rimuovere l’account di posta elettronica aziendale riconducibile all’ex dipendente entro un tempo ragionevole per permettere allo stesso datore di predisporre delle misure idonee ad informare i terzi circa i nuovi indirizzi di posta cui rivolgere le comunicazioni relative all’azienda ed introdurre misure idonee a impedire che in tale lasso di tempo possano essere visualizzati i messaggi in arrivo nella casella di posta. Pertanto, secondo il garante, deve essere il datore di lavoro a adottare dei sistemi di informazione dei terzi e non invece l’ex lavoratore.
Solo in tal modo possono essere adeguatamente bilanciati e garantiti sia i diritti del titolare del trattamento (cioè l’ex datore) ad acquisire le informazioni necessarie per poter gestire la propria attività economica e per comunicare ai terzi le nuove modalità comunicative con l’azienda, sia il diritto alla riservatezza della corrispondenza dell’ex dipendente nonché dei terzi che erano in contatto con esso tramite la e-mail aziendale.
Il Garante ha quindi ritenuto non conforme ai suesposti principi il comportamento che era stato posto in essere dalla società reclamata ed ha conseguentemente dichiarato illegittimo il trattamento dati oggetto di esame.
Ciò nonostante, anche se ci sarebbero gli estremi per imporre alla società il divieto del trattamento illegittimo consistente appunto nel mantenere attivo e sotto controllo l’account aziendale, in considerazione del fatto che la società ha dichiarato di aver disattivato l’account dal maggio 2018 e che pertanto l’attività illecita non è più in essere, il Garante ha ritenuto che non sussistono i presupposti per l’adozione di misure correttive nei confronti della società. Anche se l’autorità di controllo ha, comunque, raccomandato alla società di conformare il proprio futuro comportamento, circa la gestione degli account di posta elettronica dei dipendenti in casi di interruzione del rapporto di lavoro, ai principi sopra esposti.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settorialiIl volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM. Monica Mandico | 2019 Maggioli Editore 32.00 € 30.40 € |
Scrivi un commento
Accedi per poter inserire un commento