Sul sito del Garante Privacy è consultabile (a questo link) il provvedimento del 7 aprile 2022 (docweb n. 9771545) con il quale è stata sanzionata un’azienda per aver gestito l’account di posta elettronica aziendale di una collaboratrice esterna in violazione delle norme sulla privacy
Il Caso – Il Reclamo dell’interessato al Garante
L’interessata aveva presentato un reclamo al Garante, rappresentando che l’azienda alla quale era legata da un rapporto di agenzia, senza alcun preavviso o comunicazione, le aveva impedito di accedere all’account email aziendale che aveva sempre utilizzato per intrattenere ogni rapporto di natura commerciale e precontrattuale e che conteneva anche comunicazioni strettamente personali (la cui conoscibilità, quindi, avrebbe potuto arrecare un grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa.
Infatti, numerosi clienti, non ricevendo riscontro alle proprie richieste via e-mail, si erano rivolti ad altri per le loro consulenze.
Poiché l’account risultava ancora attivo, l’azienda le aveva impedito l’accesso cambiando la password da remoto senza autorizzazione dell’interessata e senza alcun preavviso, né informazione successiva, impedendole persino di effettuare il backup della corrispondenza presente sulla casella.
La decisione del Garante e le relative motivazioni
All’esito dell’istruttoria, il Garante ha sanzionato la società ed in particolare:
1 – ha ordinato il pagamento della somma di € euro 50.000 (cinquantamila/00), a titolo di sanzione amministrativa pecuniaria;
2 – ha disposto a titolo di sanzione accessoria la pubblicazione sul sito del Garante del provvedimento sanzionatorio
Il Garante ha motivato l’irrogazione delle sanzioni illustrando i principi che devono presiedere al corretto trattamento dei dati personali dei lavoratori ed in particolare rilevando che “conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost.). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42)“.
Tale giurisprudenza della CEDU è stata ritenuta applicabile anche al caso di specie “pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia“, riaffermando che “il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi“.
Nel corso dell’istruttoria sono state appurate numerose e gravi violazioni, ed in particolare:
- che la Società non ha comprovato di aver rilasciato all’interessata alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account di posta elettronica aziendale, in contrasto con il fondamentale obbligo previsto dall’art. 13 del GDPR;
- che la Società, dopo la cessazione del rapporto di lavoro con la reclamante, ha mantenuto attivo l’account di posta elettronica individualizzato assegnato alla stessa, mentre “dopo la cessazione del rapporto di lavoro, il titolare del trattamento deve provvedere alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale, in applicazione del principio di ‘limitazione della conservazione’ dell’art. 5, par. 1, lett. e) del GDPR, anche alla luce del connesso principio di ‘minimizzazione’ di cui al medesimo art. 5, par. 1, lett. c)”;
- che la Società ha violato anche gli artt. 12, par. 3, e 15 del GDPR, non riscontrando le richieste dell’interessata ed inibendole improvvisasmente l’ accesso all’account aziendale, alla propria corrispondenza, anche personale ed in definitiva ai propri dati personali, rilevando altresì che, in base all’art. 2-decies del Codice, “i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis”.
Si tratta di un provvedimento di estremo interesse per tutte le imprese ed i datori di lavoro in genere, perché chiunque ha la responsabilità di gestire un’organizzazione aziendale si trova quotidianamente di fronte a problematiche relative all’utilizzo delle caselle di posta elettronica assegnate ai lavoratori e la loro corretta gestione fa parte delle misure di sicurezza tecniche e organizzative da implementare per trattare lecitamente i dati personali e non incappare in pesanti sanzioni.
Avv. Emanuele Nati