Il Garante privacy nell’ Ordinanza del 7 aprile 2022 [doc. 9771545] ha affrontato il tema dell’account email assegnato ad un agente, quindi un collaboratore, arrivando a sanzionare il titolare con un ammenda di ben 50.000 euro.
Una pronuncia interessante, quella del Garante, che consenti di avere indicazioni chiare su come gestire l’account di posta elettronica aziendale assegnato ad un “esterno”.
Indice
Vediamo il caso.
Nel corso di un rapporto di agenzia in esclusiva con l’Azienda (Palumbo Superyacht Ancona s.r.l.) l’agente, senza alcun preavviso o comunicazione, si vedeva inibire l’uso del proprio account aziendale rimanendo privata della possibilità di accedervi. L’account era uno strumento di lavoro assegnato dall’Azienda per intrattenere ogni rapporto di natura commerciale e precontrattuale. Tuttavia, per dichiarazione dello stesso agente nella casella di posta erano salvate anche comunicazioni personali e legate alla propria attività lavorativa.
L’account, inoltre, risultava ancora attivo e l’agente riceveva richieste sul telefono e computer personali di inserire la nuova password per rientrarvi: la password, infatti, risultava cambiata da remoto senza che l’interessata/l’Agente lo avesse saputo o autorizzato e senza peraltro che le fosse consentito il backup di tutta la corrispondenza.
L’Agente, ricevuto il messaggio di richiesta di cambio password, chiedeva all’Azienda il ripristino dell’account fondamentale per le comunicazioni di lavoro e per poter adempiere correttamente alle obbligazioni contrattuali assunte con l’Azienda stessa. Quest’ultima non dava alcun riscontro all’Agente, il quale ha, infine, presentato ricorso al Garante per la protezione dei dati personali.
Il giudizio del Garante.
Il Garante ha ritenuto non corretto il comportamento del Titolare del trattamento.
In particolare, la mancata disattivazione dell’account aziendale assegnato alla reclamante viola il principio di limitazione della conservazione e il principio di correttezza (5.1 (a) ed (e) del GDPR) oltre all’assenza di idonea informativa privacy (13 del GDPR). Infine, il titolare ha mancato di dare il riscontro che avrebbe dovuto dare all’istanza dell’interessato, nonché ha inibito l’accesso all’account aziendale in questione (12(3) e 15 del GDPR).
Quindi il Garante privacy ha dichiarato illecito il trattamento effettuato da parte delle società dell’account email del collaboratore e ha ingiunto alla stessa di:
- adottare idonee soluzioni organizzative e tecniche per consentire alla reclamante di accedere alla casella elettronica e “di trasporre su supporto cartaceo o informatico i dati personali che la riguardano contenuti nella corrispondenza in tal modo conservata”;
- provvedere alla disattivazione dell’account e alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi a cui rivolgersi;
- non trattare i dati estratti dall’account di posta elettronica aziendale, fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo; e
- adottare idonee procedure per garantire un completo e tempestivo riscontro all’esercizio dei diritti degli interessati, nonché il rilascio di un’idonea preventiva e documentata informativa rispetto al trattamento dei loro dati personali, ivi incluso l’utilizzo di Internet e della posta elettronica aziendale da parte dei lavoratori.
Cosa insegna il provvedimento del Garante?
Alcune considerazioni per le aziende sull’utilizzo degli account di posta elettronica dei collaboratori in conformità alla normativa privacy.
Uno degli aspetti più interessanti è l’equiparazione di principi che vengono normalmente applicati ai dipendenti subordinati anche ai collaboratori.
Il Garante, pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia, rileva che “il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. Punto 3)”.
In altri termini, pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia, il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto della normativa applicabile in materia di protezione dei dati personali.
Pertanto, le aziende cui si applica il GDPR dovranno assicurarsi di aver adempiuto agli obblighi di informativa e trasparenza non solo nei confronti dei propri dipendenti ma anche dei propri collaboratori. In particolare, come riportato anche nelle le linee guida del Garante per posta elettronica e internet, ricordiamo che il datore di lavoro dovrà dotarsi:
- informative privacy conformi agli articoli 12, 13 e 14 del GDPR;
- un disciplinare interno, un Regolamento o una procedura nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica e fissati i limiti per l’accesso, da parte del datore di lavoro, ai dati personali ivi contenuti.
Per le aziende il tema della gestione degli account aziendali è sempre delicato, su questo argomento “Come si conservano le email aziendali?”.