Il Garante italiano ha imposto una sanzione di 15.000 euro a un’azienda che aveva lasciato attivo l’account di posta elettronica dell’ex dipendente anche dopo la cessazione del rapporto di lavoro, inoltrando automaticamente le e-mail in arrivo. L’azienda non ha fornito informazioni sufficienti al riguardo e non ha dato seguito alle richieste di accesso e cancellazione dell’interessato.

Con reclamo del 3 agosto 2018 l’ex dipendente ha lamentato presunte violazioni del Regolamento da parte dell’azienda in cui ha lavorato, con particolare riferimento al mancato riscontro all’istanza di accesso al contenuto delle comunicazioni pervenute sull’account di posta elettronica di tipo individualizzato, mantenuto attivo e funzionante anche dopo l’interruzione del rapporto di lavoro (avvenuta in data 31.7.2017), nonché all’istanza di ottenere la cancellazione dell’account medesimo, richiesta formulata in apposito atto di diffida inviato alla società con comunicazione del 4.6.2018 reiterata il 27.7.2018, alla quale la società non avrebbe fornito alcun riscontro.

In particolare il reclamante lamenta di aver appreso che il predetto account era ancora attivo ed i messaggi ivi pervenuti venivano letti e riscontrati dalla società, solo dopo aver effettuato un apposito test (in data 21.2.2018) e dopo aver inviato una comunicazione (il 27.2.20218) sull’account oggetto di reclamo utilizzando l’account di un terzo.

È stato altresì lamentato che la società avrebbe attivato “una casella di posta elettronica, tenuta occulta ai dipendenti ma a disposizione della Direzione generale e relativa segreteria che raccoglie l’intera corrispondenza in entrata e in uscita”.

Con l’istanza è stato pertanto chiesto al Garante di voler dichiarare l’illiceità dei trattamenti effettuati in violazione del Regolamento nonché di ingiungere alla società la cessazione dei trattamenti medesimi e di soddisfare tutte le istanze di esercizio dei diritti rimaste insoddisfatte.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la società, in qualità di titolare, ha effettuato alcune operazioni di trattamento di dati personali riferiti al reclamante che risultano non conformi alla disciplina in materia di protezione dei dati personali.

Con riferimento alla ritenuta inesistenza di trattamenti di dati personali del reclamante effettuati in occasione della gestione di messaggi contenuti nell’account individualizzato di posta elettronica attribuito nel corso del rapporto di lavoro, si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost).

Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi.

Risulta che la società non ha fornito riscontro alle istanze relative all’esercizio dei diritti di accesso e di cancellazione avanzate dal reclamante (né ha comunicato la ritenuta sussistenza di una ipotesi di limitazione dei diritti dell’interessato, nei termini previsti dall’art. 2-undecies del Codice) solo successivamente al ricevimento dell’invito a fornire riscontro da parte dell’Autorità.

Ciò è avvenuto in violazione dell’art. 15 del Regolamento, vigente all’epoca della presentazione dell’istanza di accesso. Risulta altresì violato l’art. 12 del medesimo Regolamento, anche con riferimento al tardivo riscontro all’istanza di cancellazione presentata ai sensi dell’art. 17 dello stesso (cancellazione che, secondo quanto dichiarato, sarebbe avvenuta dopo la presentazione della diffida da parte dell’interessato, ma in data anteriore alla presentazione del reclamo al Garante).

La società inoltre, in base a quanto dichiarato, ha mantenuto attivo l’account di posta elettronica riferito al reclamante dal momento della cessazione del rapporto di lavoro − il 31.7.2017 −, con reindirizzamento automatico di tutti i messaggi in entrata sull’account assegnato all’ex superiore gerarchico del reclamante a partire dal 1.8.2017 (dunque per un periodo significativo di tempo, poco più di 10 mesi) fino alla cancellazione avvenuta a seguito della presentazione di diffida da parte dell’interessato in data 4.6.2018. Tale trattamento si è protratto oltre la data di applicazione del Regolamento (15 maggio 2018)

È emerso, infine, che nel corso del periodo durante il quale l’account è rimasto attivo dopo la cessazione del rapporto di lavoro, la società, mediante il reinoltro su diverso account aziendale, ha avuto accesso ai 238 messaggi pervenuti alla casella di posta elettronica individualizzata riferita al reclamante.

Il trattamento effettuato dalla società ha pertanto violato i principi di necessità, liceità e di proporzionalità (v. artt. 3 e 11, comma 1, lett. a) d) e e) del Codice, testo vigente all’epoca in cui il trattamento è iniziato; Considerato che il trattamento è proseguito fino al 4 giugno 2018 v. anche art. 5, par. 1, lett. a), c) e e) del Regolamento).

Per i suesposti motivi, il trattamento dei dati personali riferiti al reclamante effettuato dalla società attraverso l’omesso riscontro alle istanze di esercizio dei diritti nei termini previsti dall’ordinamento, nonché attraverso la prolungata attività dell’account individualizzato di posta elettronica dopo la cessazione del rapporto di lavoro e conseguente accesso ai messaggi ivi pervenuti (fino alla diffida dell’interessato e comunque per più di dieci mesi), senza che tale prassi fosse stata esplicitata nel documento dedicato alle policy riguardanti l’utilizzo dei sistemi informatici della società, risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c) e e), 12, 13 e 15 del Regolamento.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di dell’azienda la sanzione amministrativa del pagamento di una somma pari ad euro 15.000,00 (quindicimila).

Vuoi saperne di più sulla normativa Privacy ed evitare l’applicazione di sanzione alla tua azienda? I nostri consulenti sono a tua disposizione per una consulenza privacy allineata alla tua realtà aziendale.