Viola la privacy la società che controlla la casella di posta elettronica del collaboratore con cui ha smesso di collaborare
1. Il fatto
Una signora presentava un reclamo al Garante per la protezione dei dati personali in cui sosteneva di aver collaborato per un breve periodo con una società e che al termine di detto periodo, la società aveva lasciato attivo l’account di posta elettronica aziendale che le aveva precedentemente attribuito, effettuando altresì accessi al medesimo account.
La società esponeva la propria versione dei fatti, illustrando che il rapporto con la reclamante era sorto nell’ottobre 2018, in quanto la stessa era una esponente di una cooperativa che la società avrebbe dovuto acquisire nei successivi mesi. Al fine di permettere alla reclamante di partecipare ad una fiera dove promuovere un fornitore comune alla società e alla cooperativa, spendendo però il nome della società stessa, sempre nell’ottobre 2018, era stato attivato alla reclamante l’account email aziendale, in modo che la stessa potesse relazionarsi con i potenziali clienti che avrebbe conosciuto alla fiera per conto della società.
Tuttavia, successivamente alla fiera, la reclamante aveva contattato i potenziali clienti ivi conosciuti tramite lo stand della società e spendendo il nome di quest’ultima, comunicando loro che gli articoli proposti alla fiera sarebbero stati venduti dalla cooperativa (e non dalla società).
Anche in considerazione di tale comportamento della reclamante, nel dicembre 2018, le trattative tra la società e la cooperativa venivano interrotte. Poco dopo, la reclamante chiedeva quindi alla società di disattivare la casella di posta elettronica che le era stata attivata nei mesi precedenti, ma la società la informava che detto indirizzo email sarebbe rimasto attivo per il tempo necessario a riscontrare chi tra i potenziali clienti conosciuti alla fiera dalla reclamante, avesse tentato di contattarla.
Pertanto, fino alla fine di febbraio 2019, l’indirizzo email in questione veniva lasciato attivo dalla società, la quale abilitava un sistema con cui la posta in arrivo veniva automaticamente inoltrata all’indirizzo di posta elettronica del direttore commerciale della società.
L’indirizzo email della reclamante veniva, quindi, disattivato alla fine di febbraio 2019.
Infine, nel mese successivo la società introduceva una causa per responsabilità precontrattuale nei confronti della cooperativa, facendo leva proprio sul comportamento tenuto dalla reclamante nei rapporti con i potenziali clienti incontrati alla fiera e intrattenuti per il tramite dell’indirizzo di posta elettronica in questione.
In considerazione di tutto quanto sopra, la società sosteneva che il trattamento dei dati personali della reclamante era lecito, in quanto giustificato da un duplice legittimo interesse del titolare del trattamento: da un lato, quello di consentire alla società di gestire provvisoriamente la potenziale clientela conosciuta alla fiera dalla reclamante per suo conto; dall’altro lato, quello di consentire la tutela dei propri diritti nel giudizio per responsabilità precontrattuale che era stato introdotto nei confronti della cooperativa.
Potrebbe interessarti anche:
2. Le valutazioni del Garante
Il Garante ha ritenuto che dall’istruttoria effettuata sia stato accertato come la società, dopo la cessazione del rapporto di collaborazione con la reclamante, abbia mantenuto attivo l’account di posta elettronica con estensione riferita all’azienda che era stato assegnato alla medesima reclamante, prendendo visione del contenuto dello stesso. In secondo luogo, la società ha impostato su detto account di posta elettronica un sistema di inoltro delle comunicazioni in entrata al diverso account del proprio direttore commerciale.
Tale condotta sostanzia delle operazioni di trattamento dei dati personali della reclamante che non sono conformi alla disciplina privacy.
A tal proposito, il Garante ha evidenziato come, nonostante l’account di posta elettronica con estensione aziendale fosse stato assegnato alla reclamante al fine di essere comunicato a soggetti terzi, la società non ha dato evidenza dell’aver fornito alla allora collaboratrice l’informativa privacy, prevista dall’art. 13 del Regolamento europeo per la protezione dei dati personali (GDPR), in ordine al trattamento che sarebbe stato effettuato con il predetto account.
La difesa della società secondo cui detta informativa fosse stata esposta nella bacheca aziendale e secondo cui copia della medesima viene sempre consegnata al dipendente o collaboratore al momento della formalizzazione del rapporto di lavoro, è superata dal fatto che la stessa società ha affermato di non aver fatto sottoscrivere la copia dell’informativa alla reclamante perché ancora non aveva firmato il relativo contratto di assunzione. Così la società ha confermato di non aver mai consegnato l’informativa.
Inoltre, secondo il Garante, l’informativa in questione non era idonea, in quanto non venivano ivi rese note le specifiche attività di trattamento che la società esercita nei confronti dei soggetti cui assegna un account di posta elettronica aziendale.
In secondo luogo, il Garante ha accertato che la società ha inviato una email ai contatti che erano stati raccolti dalla reclamante presso lo stand della fiera, con cui ha comunicato che la stessa non agiva più per conto della società, ma ha altresì visionato la corrispondenza del suddetto account della reclamante ed ha previsto l’inoltro all’account del responsabile commerciale della società.
Secondo il Garante, sia la visione della suddetta corrispondenza, sia la predisposizione di un sistema di inoltro delle comunicazioni ad altro account è avvenuta in assenza di una idonea base giuridica che legittimasse il trattamento.
Infatti, non costituiscono una base giuridica idonea a legittimare detti trattamenti, né l’esigenza di mantenere i rapporti con i clienti, né l’interesse del titolare a difendere un proprio diritto in giudizio.
Secondo il Garante, un adeguato bilanciamento fra i suddetti interessi del titolare del trattamento e quelli dell’interessato, si realizza mediante un sistema di risposta automatico con cui vengono fornito indirizzi alternativi ai quali contattare il titolare, ma senza prendere visione delle comunicazioni in entrata sull’account assegnato all’interessato.
Pertanto, nel caso di specie, il titolare ha adottato un sistema troppo invasivo e non rispettoso dei principi privacy, primo fra tutti quello di minimizzazione dei dati.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla società sostanzi una violazione della normativa in materia di protezione dei dati personali e conseguentemente ha deciso di comminare una sanzione amministrativa pecuniaria a suo carico, che ha quantificato in €. 5.000 (cinquemila).
>>>Per approfondire<<<
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento