Il Garante privacy sanziona il datore di lavoro per aver attivato un sistema di inoltro automatico delle email pervenute nella casella assegnata alla ex dipendente.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Una ex dipendente di un Fondo aveva inviato un reclamo al Garante per la protezione dei dati personali nel quale lamentava che, dopo aver cessato il rapporto di lavoro con il fondo, quest’ultimo aveva continuato ad utilizzare l’indirizzo email che era stato assegnato alla ex dipendente (in costanza del rapporto di lavoro), mediante l’attivazione di un sistema di inoltro automatico delle comunicazioni pervenute al predetto indirizzo ad un altro account che era visibile dai dipendenti del Fondo; in secondo luogo, la reclamante lamentava l’assenza di una preventiva informativa privacy in ordine alla predetta attività di reinoltro delle comunicazioni compiuta dal Fondo ex datore di lavoro.
Il Fondo, a fronte della richiesta di chiarimenti formulata dal Garante, si difendeva sostenendo che la reclamante era stata dipendente per circa 5 anni con il ruolo di responsabile dei rapporti istituzionali e della comunicazione e che le era stato assegnato l’account di posta elettronica oggetto del reclamo per svolgere le predette funzioni. Al momento in cui la reclamante aveva cessato il proprio rapporto di lavoro con il Fondo, a causa delle dimissioni volontarie di quest’ultima avvenute il 4 febbraio 2021, il Presidente del Fondo aveva richiesto la disattivazione dell’account, ma prevedendo di mantenerlo attivo almeno fino al 31 dicembre 2021 e di inoltrare automaticamente le email in arrivo su tale casella assegnata alla reclamante ad un’altra casella di posta elettronica in uso ai dipendenti del Fondo nonché di inviare una risposta automatica al mittente delle comunicazione con l’avviso della cessazione del rapporto di lavoro della reclamante e l’invito ad inviare la comunicazione all’altra casella gestita dal Fondo. Quest’ultimo precisava, poi, che in ragione delle attività svolte dalla reclamante (che aveva un contatto diretto con gli iscritti al fondo e con i soggetti istituzionali e i principali partner esterni del fondo), le comunicazioni che pervenivano alla casella di posta elettronica assegnata alla reclamante necessitavano di risposte tempestive.
Infine, il Fondo sosteneva che la decisione di prevedere il mantenimento attivo della casella della reclamante e l’inoltro delle comunicazioni ricevute era stata dettata dal fatto che le dimissioni di quest’ultima erano state impreviste e senza preavviso ed avvenute in un momento storico particolare (cioè durante la pandemia da Covid-19, con i conseguenti lockdown e lavoro in modalità “smart”). Pertanto, la decisione del Fondo aveva avuto come unico scopo quello di assicurare alla sua struttura operativa la massima efficienza e tempestività nella gestione delle pratiche degli iscritti e degli altri interlocutori del Fondo ed era supportata dal fatto che l’inoltro delle comunicazioni non lasciava prefigurare rischi di violazione della privacy data la finalità dell’indirizzo email assegnato alla reclamante (cioè ricevere comunicazioni destinate al Fondo, in ragione del ruolo dalla medesima ricoperto).
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Inoltro automatico di email da casella di ex dipendente: la valutazione dal Garante
Preliminarmente, il Garante ha ricordato quali sono i principi in materia di privacy che devono essere rispettati nello svolgimento di operazioni di trattamento:
– il principio di trasparenza, in base al quale il titolare del trattamento, prima di effettuare un trattamento, deve fornire all’interessato le informazioni relative alle caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti che sono messi a disposizione nell’ambito del rapporto di lavoro (come una casella di posta elettronica);
– il principio di correttezza, in base al quale nell’ambito del rapporto di lavoro, il datore deve informare compiutamente il lavoratore sul trattamento dei suoi dati;
– il principio di minimizzazione, in base al quale il titolare del trattamento deve trattare solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui gli stessi sono trattati;
– il principio di limitazione della conservazione, in base al quale il titolare deve conservare i dati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per cui sono trattati;
– il principio di liceità, in base al quale il titolare deve trattare i dati in modo lecito e quindi sulla base di una idonea base giuridica.
Nel caso di specie, il Garante ha accertato che il Fondo, dopo che la reclamante aveva cessato il proprio rapporto di lavoro, ha mantenuto attiva la casella di posta elettronica assegnata alla ex dipendente per un periodo di tempo significativo (quasi un anno) ed ha attivato un sistema di inoltro automatico ad un account gestito dal Fondo delle comunicazioni email pervenute sulla predetta casella assegnata alla ex dipendente. In tal modo, il Fondo ha avuto contezza del contenuto delle comunicazioni ricevute sulla casella email della ex dipendente ed ha altresì avuto la piena operatività sull’account assegnato alla reclamante e la possibilità di gestirlo senza alcuna limitazione.
Secondo il Garante, quindi, il Fondo non si è limitato ad impostare un messaggio automatico volto ad informare i terzi della imminente disattivazione dell’account della reclamante e della possibilità di inviare le comunicazioni ad altri e diversi indirizzi email, condotta che sarebbe stata lecita se giustificata da esigenze di continuità dell’attività svolta.
Il Fondo, invece, ha attivato un sistema di inoltro delle comunicazioni in entrata sull’account oggetto di reclamo ad un suo diverso indirizzo al quale potevano accedere una molteplicità di soggetti. In questo modo, il titolare del trattamento ha preso conoscenza di tutte le comunicazioni pervenute sull’account individualizzato assegnato alla reclamante, successivamente alla cessazione del rapporto di lavoro, anche di quelle con contenuto personale.
Detta condotta si pone in contrasto con la disciplina di protezione dei dati personali, in particolare con i principi di liceità, di minimizzazione e di limitazione della conservazione.
Secondo il Garante, infatti, il suddetto trattamento dati è stato posto in essere in assenza di idonea base giuridica. Inoltre, è stato effettuato in violazione del principio di minimizzazione dei dati considerato, tra l’altro, che la finalità di mantenere i contatti con i propri clienti poteva essere realizzata con modalità differenti e conformi alla disciplina di protezione dei dati.
Sul punto, il Garante ha precisato che lo scambio di corrispondenza elettronica, estranea o meno all’attività lavorativa, su un account aziendale di tipo individualizzato configuri un’operazione che consente di conoscere alcune informazioni personali relative all’interessato.
Infine, il Garante ha ritenuto che il titolare abbia violato altresì il principio di trasparenza, non avendo fornito alla ex dipendente una idonea informativa in merito al controllo che il datore di lavoro avrebbe effettuato, successivamente alla cessazione del rapporto di lavoro, sugli strumenti elettronici assegnati alla reclamante (nella specie, account di posta elettronica individualizzato).
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dal Fondo abbia configurato una plurima violazione dei principi previsti in materia di privacy e conseguentemente ha ritenuto, da un lato, di ingiungere al Fondo di inviare alla reclamante le comunicazioni ricevute sull’account un tempo alla medesima assegnato alla stessa dal momento della cessazione del rapporto di lavoro e fino alla disattivazione dell’account, nonché di ordinare la successiva immediata cancellazione delle stesse comunicazioni.
Dall’altro lato, il Garante ha ritenuto di comminare una sanzione amministrativa pecuniaria a carico del Fondo, quantificata in €. 10.000 (diecimila).
Scrivi un commento
Accedi per poter inserire un commento