Trattare illecitamente i dati degli ex dipendenti è costato molto caro alla società piacentina: il Garante per la Protezione dei Dati personali torna sulla questione della conservazione degli account email.
Due ex dipendenti reclamano il perdurare dell’attività degli account aziendali
Il 25 marzo 2022 due ex dipendenti di un centro di riparazioni hanno segnalato il perdurare delle attività dei loro account aziendali anche a seguito della cessazione dei rapporti di lavoro. Inoltre, lamentavano l’impossibilità di accedere al contenuto degli account, vista la cancellazione del loro contenuto, e della mancata consegna dell’informativa in merito al trattamento dei dati relativi alla posta elettronica.
Per approfondire > Conservi le email di ex dipendenti? Rischi pesanti sanzioni.
Violazioni verso gli ex dipendenti accertate dal Garante
L’istruttoria ha accertato che il Titolare del trattamento manteneva attivi, per alcuni mesi, gli account di posta elettronica assegnati ai reclamanti. Ad accedere a tali account era il presidente del consiglio di amministrazione per “garantire la continuità operativa dell’azienda”.
Nel provvedimento del 7 marzo 2024, l’Autorità ha ribadito che l’accesso a un account email aziendale individuale, indipendentemente dal fatto che la corrispondenza sia legata o meno all’attività lavorativa, costituisce un’operazione che permette di raccogliere informazioni personali dell’interessato. Il fatto che il rappresentante legale si sia limitato a cercare solo comunicazioni cruciali per la continuità aziendale, evitando di leggere le altre, non è sufficiente a rendere lecito il trattamento dei dati. Questo perché la ricerca delle email considerate rilevanti dalla Società avveniva comunque avendo a disposizione l’accesso a tutti i messaggi presenti nella casella di posta elettronica.
La condotta della società, ovvero il mantenimento degli account attivi in seguito alla fine del rapporto e all’accesso al loro contenuto si pone in contrasto con i principi di liceità, minimizzazione e conservazione dei dati.
La finalità di continuità operativa dell’azienda si sarebbe potuta realizzare con altre modalità, conformi al GDPR, quali ad esempio mantenere attivi per un periodo limitato gli account attivando un messaggio di risposta automatico volto ad informare dell’imminente disattivazione dell’account e della possibilità di contattare altri indirizzi e-mail. Sempre se si fossero adottate, al contempo, misure che impedissero l’accesso ai messaggi in arrivo e la loro visualizzazione.
Inoltre, non è stata rilasciata un’idonea informativa sull’attività che il datore di lavoro avrebbe effettuato sulla posta elettronica. Questo rappresenta una violazione del GDPR, perché, secondo il principio di trasparenza, il titolare del trattamento è obbligato a fornire tutte le informazioni relative alle caratteristiche del trattamento.
Per saperne di più > Informativa privacy: dove, come, quando, perchè
L’azienda condannata a pagare 20.000 euro
L’Autorità, a seguito della condotta sopra citata da parte della Società, ha comminato alla stessa una salata sanzione di 20.000 euro. Il provvedimento in questione sottolinea l’assoluta necessità per le aziende con dipendenti, così come per le piccole società con soci che lasciano l’organizzazione, di sviluppare una privacy policy adeguata alle loro specifiche esigenze.
Per approfondire > Email di lavoro dei dipendenti: i datori devono cancellare i metadati entro 7 giorni
Cerchi un esperto privacy a cui affidarti o necessiti di una consulenza specifica per la tua azienda per evitare sanzioni?