Il Garante privacy ha comminato una sanzione nei confronti di una società per aver gestito l’account email aziendale di un collaboratore esterno in violazione delle norme sulla protezione dei dati personaliCon un recente provvedimento, il Garante privacy ha comminato una sanzione di 50.000 euro nei confronti di una società per aver gestito l’account di posta elettronica aziendale di un collaboratore esterno in violazione delle norme sulla protezione dei dati personali.
Il Garante ha ravvisato diverse violazioni, fra cui l’inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessato e inibizione del suo account email aziendale. Il Garante ha, in particolare, posto l’attenzione sugli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale, incombenti sulla società sia in relazione ai propri collaboratori che lavoratori dipendenti, a prescindere dalla tipologia del rapporto di lavoro.
L’utilizzo in violazione della privacy dell’account di email del collaboratore
La vicenda trae origine dall’inoltro di un reclamo al Garante privacy da parte dell’interessato – un collaboratore della società – la quale lamentava di essere stata inibita dall’utilizzo del proprio account di posta elettronica aziendale, senza alcun preavviso o comunicazione. Inoltre, nonostante non potesse più accedervi, l’account risultava però ancora attivo.
Successivamente, il collaboratore aveva provveduto a segnalare l’accaduto alla società, chiedendo il tempestivo ripristino della casella di posta elettronica, il quale nonostante venisse utilizzato dalla reclamante per fini lavorativi, questo conteneva corrispondenza e informazioni di natura strettamente privata e personale. Tuttavia, non avendo ricevuto risposta da parte della società, l’interessato si era rivolta al Garante.
Alla luce di quanto precede, il Garante ha accertato le violazioni privacy degli:
- 5(1)(a) ed (e) del GDPR, in ragione di una condotta non conforme al principio di correttezza e, nello specifico, a causa della mancata disattivazione dell’account aziendale assegnato alla reclamante, in violazione del principio di limitazione della conservazione;
- 13 del GDPR, per non aver fornito all’interessato un’idonea informativa;
- 12(3) e 15 del GDPR, a causa, rispettivamente, del mancato riscontro che avrebbe dovuto dare all’istanza dell’interessato, nonché dell’inibito accesso all’account aziendale in questione.
Alla luce delle circostanze dell’accaduto, il Garante privacy ha dichiarato illecito il trattamento effettuato da parte delle società dell’account email del collaboratore e ha ingiunto alla stessa di:
- adottare idonee soluzioni organizzative e tecniche per consentire alla reclamante di accedere alla casella elettronica e “di trasporre su supporto cartaceo o informatico i dati personali che la riguardano contenuti nella corrispondenza in tal modo conservata”;
- provvedere alla disattivazione dell’account e alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi a cui rivolgersi;
- non trattare i dati estratti dall’account di posta elettronica aziendale, fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo; e
- adottare idonee procedure per garantire un completo e tempestivo riscontro all’esercizio dei diritti degli interessati, nonché il rilascio di un’idonea preventiva e documentata informativa rispetto al trattamento dei loro dati personali, ivi incluso l’utilizzo di Internet e della posta elettronica aziendale da parte dei lavoratori.
Alcune considerazioni per le aziende sull’utilizzo degli account di posta elettronica dei collaboratori in conformità alla normativa privacy
Questo provvedimento è interessante per i seguenti aspetti evidenziati dal Garante:
- pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia, il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto della normativa applicabile in materia di protezione dei dati personali;
- non vi è distinzione tra reputazione professionale e personale per il calcolo del danno non patrimoniale che va comunque provato, non potendo ritenersi in re ipsa; e
- la situazione di emergenza pandemica è stata considerata quale fattispecie attenuante ai fini del calcolo della sanzione.
Pertanto, le aziende cui si applica il GDPR dovranno assicurarsi di aver adempiuto agli obblighi di informativa e trasparenza non solo nei confronti dei propri dipendenti ma anche dei propri collaboratori. In particolare, come riportato anche nelle le linee guida del Garante per posta elettronica e internet, ricordiamo che il datore di lavoro dovrà dotarsi:
- informative privacy conformi agli articoli 12, 13 e 14 del GDPR;
- un disciplinare interno, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica e fissati i limiti per l’accesso, da parte del datore di lavoro, ai dati personali ivi contenuti;
- una valutazione di impatto (DPIA) che dimostri l’adeguatezza del trattamento.
Su un simile argomento, potrebbe interessarvi “Il Garante privacy sanziona sul monitoraggio di dipendenti sul posto di lavoro”.