Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale, a prescindere dal ruolo professionale ricoperto.
Questo il principio ribadito dal Garante nell’ordinanza ingiunzione n. 127 del 7 aprile 2022.
Il contenuto del reclamo
L’Autorità riceveva un reclamo da parte di una collaboratrice esterna che mentre lavorava per la Società XX, senza alcun preavviso o comunicazione, si vedeva inibire l’uso del proprio account aziendale, rimanendo privata della possibilità di accedervi.
Questo account, per la collaboratrice esterna, costituiva uno strumento di lavoro che utilizzava per intrattenere ogni rapporto di natura commerciale e precontrattuale; in esso erano serbate anche comunicazioni strettamente personali, la cui conoscibilità potrebbe arrecare un grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa”, quali la perdita di numerosi clienti che, non ricevendo riscontro alle proprie richieste via e-mail, si sono rivolte altrove per le loro consulenze precontrattuali.
L’account in questione risultava ancora attivo, in particolare, la password risultava cambiata da remoto senza che l’interessata lo avesse saputo o autorizzato e senza peraltro che le fosse consentito il backup di tutta la corrispondenza.
La collaboratrice, dopo aver ricevuto un messaggio dal server nel quale le veniva comunicato che la password era cambiata, aveva provveduto immediatamente a comunicare tale circostanza alla Società, chiedendo il tempestivo ripristino dell’account, fondamentale per le comunicazioni di lavoro e per poter adempiere correttamente alle obbligazioni contrattuali assunte con la Società.
La Società non ha mai fornito alcun riscontro a queste richieste inviate a mezzo pec, persistendo nel negare l’accesso al detto indirizzo di posta.
Le violazioni commesse dalla Società
La prima violazione ravvisata dall’Autorità è relativa all’art. 13 del Regolamento 2016/679.
In base agli elementi acquisiti durante l’istruttoria, per l’Autorità, la Società non ha comprovato di aver rilasciato all’interessata alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account di posta elettronica aziendale in costanza di rapporto ed al termine di questo, comprese la gestione dello stesso dopo la cessazione del rapporto e la conservazione dei dati presenti nella casella elettronica.
In proposito quanto sostenuto dalla Società – con riferimento al ruolo (professionale) di agente rivestito dalla reclamante all’interno della compagine aziendale e con riguardo alla tipologia contrattuale (comodato gratuito) nella quale la Società ritiene si possa inserire lo strumento della posta elettronica assegnato all’agente – non rileva né rispetto all’obbligo informativo né rispetto a quello di corretta e trasparente gestione dell’account aziendale assegnato, dato che tali obblighi devono ritenersi sussistenti in ragione già del trattamento di dati personali che riguardano una determinata persona fisica in quanto ‘interessata’.
Infatti, il fatto che la reclamante fosse una collaboratrice esterna e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.
La condotta tenuta dalla Società risulta, pertanto, in contrasto con il fondamentale obbligo previsto dall’art. 13 del Regolamento 2016/679, in base al quale il titolare è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento.
Queste violazioni devono essere esaminate anche tenendo in considerazione che, nell’ambito del rapporto di lavoro, informare compiutamente il lavoratore sul trattamento dei suoi dati è espressione dei principi generali di liceità e correttezza dei trattamenti.
Inoltre, l’istruttoria ha consentito di rilevare che la Società, dopo la cessazione del rapporto di lavoro con la reclamante, ha mantenuto attivo, per le ragioni sopra indicate, l’account di posta elettronica individualizzato assegnato alla stessa.
Il Garante pertanto, con orientamento costante, ha ritenuto necessario, ai fini della conformità ai principi in materia di protezione dei dati personali che, dopo la cessazione del rapporto di lavoro, il titolare del trattamento provveda alla rimozione dell’account, previa disattivazione della stessa e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale.
Ciò in applicazione del principio di ‘limitazione della conservazione’ dell’art. 5, par. 1, lett. e) del Regolamento -anche alla luce del connesso principio di ‘minimizzazione’ di cui al medesimo art. 5, par. 1, lett. c)- che, nella fattispecie, risulta esser stato violato. Violazione la cui gravità deve esser rilevata tanto più ove, come nel caso in esame, vi siano “serbate anche comunicazioni strettamente personali, la cui conoscibilità potrebbe arrecare un grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa”.
Inoltre, l’Autorità ritiene di dover confermare la violazione anche degli artt. 12, par. 3, e 15 del Regolamento.
Ciò, rispettivamente, in ragione del mancato riscontro che la Società avrebbe dovuto dare “senza ingiustificato ritardo” e comunque non oltre 30 giorni dal ricevimento dell’istanza dell’interessata, nonché per l’inibito – improvviso – accesso all’account aziendale in questione, peraltro ben due mesi prima della risoluzione del rapporto d’agenzia e nonostante le reiterate richieste formulate dalla reclamante e non smentite dalla Società.
Il Garante, alla luce di queste violazioni, ha dichiarato illecito il trattamento effettuato dalla Società e fondato il reclamo della dipendente, ordinando alla Società di pagare la somma di euro 50.000, a titolo di sanzione amministrativa pecuniaria.
Inoltre, l’Autorità ha ingiunto alla Società di:
-adottare idonee soluzioni organizzative e tecniche per consentire alla reclamante di accedere, in presenza di persona di fiducia della Società, alla casella elettronica in questione;
-disattivare l’account;
-di adottare idonee procedure per garantire il completo e tempestivo riscontro all’esercizio dei diritti degli interessati ai sensi degli artt. 15-22 del Regolamento, nonché il rilascio di un’idonea preventiva e documentata informativa rispetto al trattamento dei loro dati personali, ai sensi dell’art. 13 del Regolamento.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.