Il Garante per la Protezione dei Dati personali è tornato sulla questione della conservazione degli account email degli ex dipendenti.
Il contesto: un ex dipendente contesta all’azienda l’uso delle email a lui assegnate
Un ex lavoratore di una società lamentava che, dopo la cessazione del rapporto, altri dipendenti dell’azienda accedevano alle mail a lui assegnate in costanza dello stesso. A seguito di contestazioni dell’ex lavoratore l’azienda rispondeva che uno degli account era ancora in uso solo per ricezione con un messaggio di risposta automatica mentre un altro veniva ancora utilizzato per interfacciarsi con i contatti dell’ex dipendente a causa delle sue mansioni. Inoltre, i messaggi venivano conservati proprio per questo motivo nonché per tutelare l’azienda nel contenzioso insorto all’esito della cessazione del rapporto di lavoro.
Il procedimento del Garante rileva varie irregolarità
Le preventive giustificazioni dell’azienda non sono ritenute sufficienti dal Garante che attiva un procedimento per chiarire la vicenda. Il procedimento rileva anche problematiche nell’ informativa che avrebbe dovuto essere fornita in merito ai trattamenti sulla posta elettronica in uso al dipendente e ai controlli esercitati dal datore in costanza di rapporto e al suo termine.
Il provvedimento del Garante condanna l’azienda
Nel suo provvedimento il Garante non ha omesso di ricordare come la protezione della vita privata delle persone si estenda anche all’ambito lavorativo. Pone anzi in evidenza come la linea di confine tra la sfera privata e quella lavorativa sia molto labile: il trattamento dati mediante strumenti informatici, quindi, deve conformarsi alle normativa in materia di protezione dati.
- nessuna informativa:
il primo rilievo mosso dal Garante è stato sul punto che nessuna informativa era stata rilasciata sul trattamento dati in riferimento agli account di posta elettronica aziendale. La conseguenza? Ogni trattamento senza informativa è illecito. Inoltre un’informativa completa del lavoratore sul trattamento dati è espressione del principio generale di correttezza dei trattamenti. Del resto dall’esame di mail, estranee o meno all’attività lavorativa, consente di conoscere informazioni personali dell’interessato. Proprio per questo l’orientamento del Garante è quello di spingere verso la cancellazione degli account aziendali non più utilizzati. - violazione del principio di minimizzazione:
nel caso di specie chiara la violazione da parte dell’azienda del principio di minimizzazione previsto dal GDPR. L’Authority è andata poi oltre in merito all’eccezione dell’azienda secondo cui i dati erano conservati per tutelarsi in sede giudiziaria. Sul punto ha richiamato a precedenti indicazioni secondo le quali la conservazione a tal fine deve avere basi concrete, vale a dire rischio reale e concreto di contenziosi e non solo per mera ipotesi.
Quest’ultimo aspetto è stato posto in evidenza anche a fronte dell’ulteriore rilievo dell’incolpata in ordine alla conservazione dei dati (mail) per prevenire eventuali contestazioni da clienti e fornitori. Alle mail poteva accedere quindi l’azienda, mediante procedimento interno con il quale aveva modo di controllare l’attività del dipendente. Inoltre, attraverso detta sistematica conservazione delle e-mail, la Società veniva a conoscenza di informazioni relative alla vita privata del lavoratore non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso.
Trattamento illecito: l’azienda condannata a pagare 10.000 euro
Il Garante ha evidenziato l’illiceità dei trattamenti e, oltre alla sanzione economica di € 10.000,00 e la pubblicazione del nome dell’azienda sul sito dell’Authority, ha disposto il divieto al trattamento dei dati contenuti negli account di posta elettronica dell’ex dipendente. Il provvedimento in oggetto pone l’accento sull’assoluta indispensabilità da parte delle aziende che hanno dipendenti, ma anche piccole società che hanno soci che lasciano la compagine, di prevedere una privacy policy opportunamente costruita per le loro esigenze.
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!
