Con ordinanza ingiunzione del 7 aprile 2022 l’Autorità Garante per la protezione dei dati personali ha sanzionato un’azienda per aver inibito ad una collaboratrice esterna l’uso del proprio account aziendale ed ha affermato che “il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi” (doc. web n.9771545, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9771545).
Vediamo la questione sottoposta all’attenzione dell’Autorità Garante.
Il reclamo
La reclamante ha collaborato presso un’azienda con rapporto di lavoro di agenzia in esclusiva ed ha presentato reclamo al Garante per la protezione dei dati personali in quanto si è vista inibire senza alcun preavviso o comunicazione, l’uso del proprio account aziendale rimanendo privata della possibilità di accedervi. Infatti la reclamante ha ricevuto sul proprio computer e sul proprio telefono dei messaggi dal server con i quali si comunicava che la password era stata cambiata senza che l’interessata ne fosse a conoscenza né l’avesse autorizzata e senza che le fosse consentito il backup di tutta la corrispondenza.
L’interessata ha, quindi, provveduto immediatamente a comunicare tale circostanza alla società, chiedendo il tempestivo ripristino dell’account, fondamentale per le comunicazioni di lavoro e per poter adempiere correttamente alle obbligazioni contrattuali assunte con la Società medesima. A fronte di tale richiesta la società non ha fornito alcun riscontro. Conseguentemente la reclamante ha presentato reclamo chiedendo al Garante di adottare ogni opportuno provvedimento ritenuto idoneo a far cessare il comportamento illecito della società, lamentando in particolare che
- l’account aziendale costituiva uno strumento di lavoro che la medesima utilizzava per intrattenere ogni rapporto di natura commerciale e precontrattuale;
- tale account conteneva anche comunicazioni strettamente personali, la cui conoscibilità potrebbe comportare una grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa;
- la condotta illecita della società ha gravemente pregiudicato il suo diritto alla riservatezza e il diritto costituzionalmente garantito alla segretezza della propria corrispondenza.L’avvio del procedimento A seguito del reclamo il Garante ha dapprima richiesto alla società di fornire osservazioni riguardo a quanto esposto nel reclamo (ex art.157 codice privacy) – richiesta che è rimasta senza riscontro – successivamente ha avviato il procedimento per l’accertamento delle possibili violazioni, interessando anche il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, dalle cui indagini è emersa la possibile fondatezza delle doglianze della reclamante.Le valutazioni del Garante
Richiamando il costante orientamento della Corte europea dei diritti dell’uomo, l’Autorità Garante ha rilevato che “la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore” e che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, con la conseguenza che si ritiene applicabile l’art.8 della Convenzione europea dei diritti dell’uomo che tutela la vita privata senza distinguere tra sfera privata e sfera professionale.
Ne discende che, sebbene sussista una diversità strutturale tra un rapporto di lavoro subordinato e un rapporto di agenzia, “il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi.”
Inoltre l’Autorità Garante ha osservato che lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato. Ne consegue che in applicazione del principio di limitazione della conservazione (art.5, par. 1, lett. e) GDPR) e del principio di minimizzazione (art.5, par. 1, lett. c), dopo la cessazione del rapporto di lavoro, il titolare del trattamento deve provvedere alla disattivazione dell’account e alla contestuale adozione di sistemi automatici diretti ad informare i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale.
Nel caso di specie il Garante ha riscontrato che la società nel mantenere attivo l’account aziendale assegnato alla reclamante, ha violato i suddetti principi e tale violazione è stata aggravata dalla circostanza che all’interno dell’account aziendale fossero contenute anche comunicazioni strettamente personali, la cui conoscibilità potrebbe arrecare un grave violazione dei diritti di dignità, immagine, onore e riservatezza della reclamante.
La decisione del Garante
Alla luce delle suesposte considerazioni il Garante ha dichiarato illecito il trattamento effettuato dalla Società nel mantenere attivo l’account aziendale assegnato alla reclamante, in violazione dei principi di correttezza e di limitazione della conservazione (art. 5, par. 1, lett. a) e ha disposto nei confronti della medesima società il divieto di trattamento dei dati estratti dall’account di posta elettronica aziendale riferito alla reclamante nonché le ha ingiunto, tra l’altro,
- di adottare idonee soluzioni organizzative e tecniche per consentire alla reclamante di accedere alla casella elettronica in questione e di trasporre su supporto cartaceo o informatico i dati personali che la riguardano contenuti nella corrispondenza;
- di disattivare l’account e di provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.Infine l’Autorità Garante ha ordinato alla società di pagare una somma pari ad euro 50.000 a titolo di sanzione amministrativa pecuniaria per le violazioni commesse.
