Articolo pubblicato su altalex
Con il provvedimento del 7 marzo 2024, il Garante privacy sanziona una azienda privata per aver acceduto alle email aziendale di ex dipendenti, senza aver fornito agli interessati le informazioni sull’utilizzo degli account in seguito alla cessazione del rapporto di lavoro.
Premessa
Il titolare del trattamento, ai sensi dall’art. 13 GDPR, prima di effettuare il trattamento, fornisce all’interessato le informazioni relative alle caratteristiche essenziali dei trattamenti che intende realizzare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.
Informare compiutamente il lavoratore sul trattamento dei suoi dati, rappresenta, infatti, applicazione pratica di numerosi principi: liceità, correttezza e trasparenza (di cui l’ostensione dell’informativa è diretta espressione), disciplinati dal Regolamento europeo per la protezione dei dati personali (GDPR) all’art. 5.
Il titolare del trattamento, inoltre, deve trattare solo dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione, art. 5, par. 1, lett. c), GDPR) e conservarli “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), principio di limitazione della conservazione).
Fatto
La società Centro Riparazioni Piacentino S.p.A., dopo la cessazione del rapporto di lavoro con i reclamanti (i quali rivestivano il ruolo di Presidente del CDA e responsabile del reparto ricambi, nonché rappresentante di sostegno del socio al 50%), ha mantenuto attivi per diversi mesi gli account di posta elettronica individualizzati assegnati a questi ultimi; ai medesimi account ha acceduto, in tale lasso di tempo, il Presidente del consiglio di amministrazione, rappresentante legale della Società.
In proposito, in particolare, la Società ha dichiarato di avere mantenuto attivi i predetti account per avere accesso a reclami o richieste tecniche inviate dai clienti e che “l’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”.
La Società ha reso noto che l’accesso alle caselle di posta elettronica dopo la cessazione del rapporto di lavoro è stato effettuato solamente con riferimento alle e-mail provenienti da determinati mittenti e relative ai rapporti aziendali, selezionate quindi mediante l’utilizzo di parole chiave.
Alcuni giorni dopo essere stata sollecitata dai reclamanti, ha provveduto a cancellare gli account in questione. Sul punto la Società ha dichiarato essersi trattato di un “disguido” che sarebbe “stato determinato esclusivamente da una dimenticanza dovuta alla grave situazione di carenza di personale”. “Laddove fossero giunte comunicazioni di carattere personale, un nostro addetto è stato incaricato di cestinare con effetto immediato – senza verificarne il contenuto – ogni mail in tal senso”.
Contestazioni del Garante privacy
Osserva l’Autorità garante come la Società, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro.
Lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. “Linee guida del Garante per posta elettronica e Internet”, in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b), e che il Garante ha già ritenuto conforme ai principi in materia di protezione dei dati personali (v. tra gli altri Provv.ti 1 dicembre 2023, n. 602, doc. web n. 9978536; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.) che dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
Non è invece sufficiente a fare venire meno l’illiceità del trattamento effettuato dalla Società, l’affermazione di quest’ultima secondo la quale (tra l’atro e in ogni caso, non supportata da evidenza alcuna) accedendo agli account, il rappresentante legale si sarebbe limitato a ricercare comunicazioni limitate a determinati mittenti e specifico oggetto.
La ricerca delle comunicazioni che la Società ha ritenuto pertinenti è pur sempre avvenuta, a seguito dell’accesso alla totalità dei messaggi contenuti nelle caselle di posta.
Considerato che il legale rappresentante ha dichiarato di avere effettuato una ricerca dopo avere acceduto alla totalità delle e-mail, quantomeno, quindi, ai dati esteriori delle comunicazioni contenute negli account assegnati ai reclamanti, in proposito si precisa che anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).
La condotta tenuta dalla Società, in qualità di titolare del trattamento (v. art. 4 (7) GDPR), che è consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, si pone pertanto in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) GDPR.
In particolare, infatti, la Società ha acceduto, in qualità di titolare ai predetti account in assenza di alcuna condizione di liceità del trattamento: ben avrebbe potuto quest’ultima realizzare la prospettata prosecuzione dell’attività con modalità di trattamento conformi alla disciplina di protezione dei dati, certamente meno invasive della sfera di riservatezza dei reclamanti.
Per tale ragione, il trattamento posto in essere viola anche il principio di minimizzazione poiché, tramite la descritta condotta, la Società non si è limitata a trattate dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati, nonché quello di limitazione della conservazione, considerato che solo alcuni giorni dopo essere stata sollecitata dai reclamanti, ha provveduto a cancellare gli account in questione.
L’informativa sul trattamento dei dati dei dipendenti
La condotta della Società è stata posta in essere, inoltre, in assenza di idonea informativa in merito all’attività che il datore di lavoro avrebbe effettuato sugli strumenti elettronici (nel caso di specie, account di posta elettronica aziendale individualizzato) assegnati ai reclamanti successivamente alla cessazione del rapporto di lavoro.
Ciò in quanto l’informativa prodotta dalla Società – anche nella versione allegata al modulo denominato “consenso al trattamento dei dati personali” sottoscritto dai reclamanti – non contiene indicazioni idonee in merito all’attività di trattamento che nel concreto quest’ultima ha tenuto.
La Società, infatti, ha violato quanto previsto dall’art. 13 in base al quale il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet” cit.). Nell’ambito del rapporto di lavoro, come detto, l’obbligo di informare il dipendente è espressione dei principi di trasparenza e correttezza.
Con riferimento a quanto dedotto dalla Società in merito al fatto che i reclamanti fossero informati sulle modalità del trattamento perché individuate dagli stessi, si sottolinea, in primo luogo, come la “nomina a incaricato del trattamento interno” non può considerarsi elemento dal quale evincere che la reclamante fosse stata informata in merito al trattamento che il Titolare avrebbe posto in essere, una volta cessato il rapporto di lavoro, sull’account di posta elettronica assegnato alla stessa.
Neppure il fatto che l’altro reclamante fosse presidente del Consiglio di amministrazione è elemento che prova il fatto che la Società lo avesse informato del trattamento in esame.
Inoltre e in ogni caso, l’obbligo di fornire una idonea informativa ai sensi dell’art. 13 GDPR grava sul titolare del trattamento, ruolo che, nel caso di specie, come già precisato, è rivestito dalla Società.
La ratio di quanto previsto dall’art. 13 del Regolamento è quella di fornire agli interessati indicazioni chiare e conformi alla disciplina di protezione dei dati sul trattamento che il titolare porrà in essere in merito ai dati personali dei soggetti a cui si riferiscono: pertanto, affinché possa dirsi rispettato quanto previsto dall’articolo citato, è necessario che le informazioni fornite con l’informativa descrivano operazioni di trattamento di per sé lecite.
In merito, poi, al richiamo operato dalla Società alla sottoscrizione del “consenso al trattamento sulla base di modulistica appositamente predisposta” da parte dei reclamanti si osserva in generale come, proprio per lo squilibrio di potere tra il datore di lavoro e il lavoratore, è improbabile, salvo casi particolari da individuare caso per caso, che il lavoratore presti liberamente il proprio consenso al datore di lavoro (v. in proposito Linee guida sul consenso ai sensi del Regolamento adottate dall’EDPB il 4 maggio 2020 secondo cui, nel richiamare il Parere 2/2017 sul trattamento dei dati sul posto di lavoro, pagg. 6-7, “il Comitato ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente (articolo 6, paragrafo 1, lettera a)) in considerazione della natura del rapporto tra datore di lavoro e dipendente”).
Conclusioni
Il provvedimento in commento dichiara illegittimo il trattamento dei dati personali effettuato dalla Società, con particolare riferimento a quello successivo alla cessazione del rapporto di lavoro, sugli account di posta elettronica assegnati ai reclamanti, tra l’altro, in assenza di idonea informativa, e la condanna al pagamento di una somma, a titolo di sanzione amministrativa pari ad euro 20.000.
Oltre a ciò impone al trasgressore di comunicare al Garante privacy le iniziative intraprese al fine di predisporre un sistema di disattivazione automatica, dopo la cessazione del rapporto di lavoro, degli account di posta elettronica aziendale individualizzati nonché al fine di conformarsi a quanto previsto dall’art. 13 GDPR in merito al trattamento degli account di posta elettronica aziendale successivamente alla cessazione del rapporto di lavoro.
Se ne ricava, per il Titolare del trattamento, l’imprescindibilità di predisporre una informativa per i dipendenti che contenga anche indicazioni sulle modalità di disattivazione dell’account che dovrà essere rimosso, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
Allo stesso tempo, il provvedimento ribadisce come il consenso non possa essere utilizzato come base giuridica nel rapporto di lavoro, difettando del requisito della libertà (ai sensi dell’art. 7 GDPR), proprio in considerazione della natura del rapporto tra datore di lavoro e dipendente.