>>>Leggi qui l’ordinanza completa<<<
1. I fatti
Un agente di commercio che aveva lavorato per una società in via esclusiva dal 2018, aveva presentato un reclamo al Garante per la protezione dei dati personali, lamentando che a partire dal 23 giugno 2020 la società, senza alcun preavviso o comunicazione, gli aveva impedito l’accesso e l’uso del proprio account aziendale.
In particolare, la reclamante sosteneva che detto account era uno strumento di lavoro utilizzato fin dall’inizio del rapporto di agenzia con la società, per intrattenere rapporti di natura commerciale e di primo contatto con i clienti nonché per scambiare comunicazioni anche strettamente personali. Pertanto, secondo la reclamante, la conoscenza di tali informazioni da parte della società avrebbe potuto determinare un grave danno alla reclamante medesima in considerazione della violazione della sua dignità, immagine e riservatezza nonché per la perdita di numerosi clienti che non potevano ricevere riscontro alle loro richieste e quindi si sarebbero potuti rivolgere ad altri.
Inoltre, la reclamante sosteneva che nonostante la fine del rapporto di collaborazione, l’account risultava ancora attivo: ciò in quanto sul proprio computer e sul proprio telefono, dove era stato registrato l’account, arrivavano continuamente richieste di immettere la nuova password per potervi rientrare (in quanto la stessa era stata cambiata da remoto).
Infine, la reclamante rilevava che non lo fosse stato consentito di effettuare il back up di tutta la corrispondenza contenuta nella casella email.
In considerazione del reclamo presentato, il Garante avviava il procedimento amministrativo nei confronti della società ed inviava la Guardia di finanza ad effettuare controlli presso la sede societaria.
Dai controlli effettuati dalla Guardia di Finanza era stato confermato che improvvisamente era stato impedito l’accesso all’indirizzo aziendale da parte della reclamante e che lo stesso era ancora vitale, nonostante la stessa reclamante non vi potesse accedere. Inoltre, era emerso che la società aveva contestato alla reclamante alcuna inadempienze contrattuali, che avevano portato all’interruzione del rapporto di lavoro fra le due parti. Infine, era emerso che la società non poteva documentare il rilascio dell’informativa ex art. 13 GDPR all’agente con riferimento alla gestione della casella di posta elettronica durante lo svolgimento del rapporto di lavoro e dopo la sua cessazione, né la previsione di un disciplinare in merito a tale gestione.
In base a quanto emerso dall’istruttoria, il Garante ha quindi chiesto alla società di presentare le proprie memorie difensive con riferimento alle violazioni in materia di privacy riscontrate.
2. Le difese della società
A fronte degli addebiti mossi dall’Autorità, la società ha ammesso di non poter dimostrare di aver reso l’informativa privacy alla reclamante né di aver concordato con la stessa un disciplinare per la gestione della casella email aziendale della medesima. Tuttavia, la società si è giustificata, in ordine al “blocco” della casella email sostenendo che ciò era stato fatto perché la reclamante aveva posto in essere un’indebita rivelazione di informazioni aziendali riservate, la quale aveva indotto la società a inviare due formali contestazioni alla reclamante e poi a risolvere il rapporto lavorativo con la stessa.
In secondo luogo, la società ha sostenuto che la casella email dell’agente era stata lasciata attiva perché funzionale alle esigenze lavorative della società stessa nonché per poter acquisire eventuali informazioni utili per la difesa della società nel contenzioso in essere con la reclamante.
Inoltre, la società ha sostenuto che la casella email doveva considerarsi un bene nella titolarità esclusiva del datore di lavoro e semplicemente concesso in comodato all’agente, con il conseguente diritto a ottenerne la restituzione a semplice richiesta del datore di lavoro.
Infine, la società ha sostenuto che l’agente di commercio non sarebbe equiparabile al lavoratore subordinato e pertanto non sarebbero applicabili le tutele previste per quest’ultimo anche in tema di email aziendale.
Potrebbero interessarti anche:
- Utilizzo della posta elettronica e della rete internet nel rapporto di lavoro
- La gestione degli indirizzi di posta elettronica in condominio: una recente decisione del garante della privacy
3. La decisione del Garante
Preliminarmente, il Garante ha ricordato che l’orientamento della Corte europea dei diritti dell’uomo sancisce che la protezione della vita privata di una persona si estende anche all’ambito lavorativo, in quanto durante lo svolgimento della attività lavorativa o professionale si sviluppano relazioni dove si esplica la personalità del lavoratore. Inoltre, secondo la Corte europea, posto che non si può sempre distinguere con chiarezza il confine tra ambito lavorativo e vita privata, la tutela della corrispondenza e della vita privata sancita dalla Convenzione europea dei diritti dell’uomo si applica senza distinguere tra sfera privata e sfera professionale.
In secondo luogo, il Garante ha precisato che, nonostante il rapporto di lavoro subordinato sia certamente diverso rispetto al rapporto di agenzia, il trattamento dei dati che viene effettuato attraverso delle tecnologie informatiche nell’ambito di qualsiasi tipo di rapporto di lavoro deve comunque essere sempre rispettoso dei diritti e delle libertà fondamentali nonché della dignità dell’interessato.
Nel caso di specie, dall’istruttoria svolta, è emerso che la società non ha provato di aver fornito alla reclamante l’informativa in ordine al trattamento dei dati e in particolare – per quanto qui di interesse – non ha fornito al “lavoratore” alcuna informativa in ordine alla gestione dell’account di posta elettronica aziendale sia con riferimento al periodo di vigenza del rapporto di lavoro che a quello del termine dello stesso.
In proposito, il Garante ha ritenuto che le difese avanzate dalla società non rilevano né rispetto all’obbligo di informativa gravante sul titolare del trattamento (cioè il “datore di lavoro”), né rispetto agli obblighi di corretta e trasparente gestione dell’account aziendale assegnato al “lavoratore”, ciò poichè detti obblighi gravano in generale sulla società in quanto titolare del trattamento che deve tutelare i dati dell’interessato (e non in considerazione della tipologia di rapporto di lavoro che lega le due parti).
In considerazione di ciò, il Garante ha ritenuto che la società abbia violato gli obblighi di informativa sanciti dall’art. 13 del GDPR.
Secondo il Garante, inoltre, dall’istruttoria è emerso che dopo la cessazione del rapporto di lavoro, la società ha continuato a mantenere attivo l’account di posta elettronica della reclamante, per le ragioni indicate dalla stessa società nelle sue difese.
Sul punto, il Garante ha ritenuto che lo scambio di corrispondenza email su un account aziendale, sia essa corrispondenza legata ad attività lavorativa o di tipo privato, permette sempre di conoscere in formazioni personali relative all’interessato.
In considerazione di ciò, il Garante ha costantemente previsto che, in applicazione del principio di minimizzazione dei dati, al termine del rapporto di lavoro, il titolare del trattamento debba rimuovere l’account, previa disattivazione dello stesso, e debba contestualmente adottare dei sistemi automatici volti ad informare i terzi di ciò e a fornire a questi ultimi degli indirizzi email alternativi riferiti alla attività professionale del titolare del trattamento medesimo.
Nel caso di specie, quindi, la società ha violato il suddetto principio in quanto ha mantenuto attiva la casella di posta elettronica aziendale della reclamante anche dopo la cessazione del rapporto di lavoro.
Infine, il Garante ha ritenuto che la condotta della società che ha impedito alla reclamante di accedere all’account aziendale (modificando da remoto la password di accesso), sostanzi anch’essa una violazione della normativa in materia di privacy.
In conclusione, il Garante ha dichiarato illecito il comportamento della società e l’ha condannata:
- a permettere alla reclamante di fare un back up di tutta la corrispondenza;
- a disattivare l’account;
- a prevedere sistemi automatici di comunicazione della disattivazione e di indicazione dei nuovi indirizzi alternativi riferiti all’attività professionale della società medesima;
- ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
Infine, il Garante ha comminato una sanzione di €. 50.000 a carico della società titolare del trattamento.
Volume consigliato:
Scrivi un commento
Accedi per poter inserire un commento