Nuovamente il Garante è intervenuto su un tema sempre delicato: la gestione degli account di posta assegnati al personale. Trattasi ovviamente di account nominativi non disattivati nei termini previsti dalla legge (vedi anche Come si conservano le email aziendali?)
Sembrerebbe niente di nuovo, ma il provvedimento in esame è particolarmente interessante sotto due punti di vista. Il primo è che l’account di posta aziendale oggetto del provvedimento non era stato assegnato ad un dipendente. il secondo perché, come spesso accade, nei provvedimenti il Garante insegna cosa “non devono fare” i Titolari del trattamento (Ordinanza ingiunzione nei confronti di Reweb s.r.l. – 1 gennaio 2023.)
Il caso riguarda un account di posta elettronica assegnato nel corso di una trattativa per una acquisizione commerciale di una società. Il Titolare del trattamento, in particolare, assegna all’esponente della società (reclamante nel provvedimento) in via di acquisizione un’account di posta elettronica nominativo al fine di promuovere in nome e per conto dello stesso Titolare incontri commerciali in occasione di una fiera. L’utilizzo dell’account veniva promosso con tanto di biglietto da visita. Terminato l’evento fieristico, le trattative tra le società si interrompono e la reclamante chiede che l’account a lei assegnato venga chiuso.
Purtroppo, questo avviene solo dopo due mesi dall’interruzione delle trattative e a seguito di molteplici richieste da parte della reclamante. In tale periodo però, il titolare: non ha inserito alcun risponditore automatico, ha inoltrato la posta ad altro soggetto e ha avuto accesso alla casella di posta.
Il Titolare si è difeso dichiarando di non aver inserito il messaggio automatico perché aveva già provveduto ad avvisare i mittenti della disattivazione dell’indirizzo di posta. Sul ritardo nella disattivazione, poi, il titolare ha ribadito non solo il proprio legittimo interesse a non interrompere ex abrupto i contatti con i clienti che la reclamante aveva contattato agendo per Suo conto, ma anche per una propria tutela in sede giudiziaria. Tra le due società, infatti, è pendente una causa per responsabilità contrattuale nella trattativa di acquisto e la corrispondenza transitata dall’account non disattivato è stata utilizzata per la ricostruzione dei fatti.
Ad aggravare la situazione del Titolare del trattamento la mancata consegna alla reclamante del Regolamento d’uso della posta elettronica aziendale.
Per il Garante il comportamento del titolare ha violato i principi del GDPR e merita di essere sanzionato. Ecco i principali errori commessi dal titolare.
- L’account di posta aziendale non è stato disattivato una volta interrotta la collaborazione con la reclamante.
- Il Titolare non ha fornito le informazioni ai sensi dell’articolo 13 GDPR nei confronti della reclamante con riferimento al trattamento effettuato sull’account. L’esistenza di un Regolamento per l’uso della posta elettronica aziendale contenente l’informativa fornito non regolarità non serve se al Reclamante lo stesso Regolamento non è stato consegnato.
- Nel periodo dalla cessazione del rapporto di collaborazione alla chiusura dell’account,il titolare del trattamento ha continuato a visionare la posta elettronica della reclamante tanto da utilizzarla in un contenzioso. Il Garante non entra nel merito dell’utilizzabilità in giudizio di tale corrispondenza, limitandosi a ricordare che in base all’art. 160-bis del Codice “la validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conformi a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.
- L’inoltro automatico della posta ad altro dipendente è illecito. Sia l’accesso alla casella di posta, sia l’inoltro automatico sono privi di base giuridica. Né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, infatti, sono elementi tali da configurare, nel caso di specie, un idoneo criterio di legittimazione del trattamento così come posto in essere dalla Società.
- Non è stato inserito un sistema di risposta automatica. Il Garante ha ribadito come, secondo il proprio orientamento consolidato (tra i più recenti v. Provv. n. 440 del 16 dicembre 2021, doc. web n. 9739653 ), realizzi un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) l’attivazione di un sistema di risposta automatico con il quale vengono forniti indirizzi alternativi ai quali contattare il titolare. La finalità (legittima) di non perdere contatti utili per la propria attività commerciale, quindi, si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie.
In merito all’“interesse […] del titolare dell’esercizio dei propri diritti in sede giudiziaria”, il Garante ha precisato come il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non possa comporta un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati. In speciale modo se si considera che il contenuto dei messaggi di posta elettronica riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente. - La procedura per l’esercizio dei diritti del titolare non è stata efficace e con tempi troppo lunghi. Il Titolare ha provato ad addossare la colpa del ritardo ad un errato invio dell’ istanza di accesso ad soggetto diverso dal legale rappresentante, ma inutilmente. Secondo i principi delle Guidelines 01/2022 on data subject rights – Right of access, adottate dall’EDPB il 18 gennaio 2022, non grava sugli interessati l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso. E comunque i tempi del titolare per la cancellazione sono stati eccessivamente lunghi oltre due mesi dall’istanza della Reclamante contro il mese previsto dal Regolamento. Anche qualora il titolare avesse ritenuto di dover limitare o escludere l’accesso per l’esercizio di un diritto in sede giudiziaria, avrebbe dovuto comunicare tale limitazione alla reclamante, motivandone la decisione.
Un’ultima considerazione. E’ oramai pacifico che rispetto ai principi e le regole da applicare per la gestione di account nominativi si applicano indistintamente sia al personale dipendente che ai collaboratori. (Vedi anche Collaboratori e dipendenti equiparati nella gestione dell’account email aziendale.)
È fondamentale, quindi, impostare una procedura di gestione di tutti gli account aziendali che tenga conto delle importanti indicazioni fornite dal Garante.