Il Garante per la protezione dei dati personali ha recentemente inflitto una sanzione pari a 20.000 euro a una cooperativa, dopo un reclamo presentato da un’ex dipendente, responsabile dell’ufficio amministrativo.
In particolare, a seguito della cessazione del contratto, la società ha mantenuto attivo l’account di posta elettronica aziendale precedentemente assegnato alla dipendente, continuando a ricevere comunicazioni attraverso tale indirizzo per 7 mesi, tramite un reindirizzamento su un altro account aziendale.
La motivazione ufficiale fornita dalla società era quella di non perdere i contatti con soci, clienti e fornitori, nonché di recuperare potenziali “dati sensibili” che la lavoratrice, secondo quanto dichiarato, avrebbe “veicolato all’esterno”.
Dopo aver analizzato la posizione della società, vediamo come l’Autorità Garante ha valutato la situazione.
Indice degli argomenti
Le origini del contenzioso
Tutto è iniziato quando l’ex dipendente, l’ultimo giorno di lavoro, ha inviato una comunicazione via email a circa duecento soci della cooperativa, in cui ha esposto le ragioni del suo licenziamento, muovendo alcune accuse nei confronti dei vertici aziendali.
Sicurezza IT e minaccia cybersecurity: Report 2024 dell'osservatorio del Politecnico di Milano
La società, di fronte alla rilevanza delle accuse e all’impatto che la comunicazione aveva avuto sull’immagine aziendale, ha sporto denuncia querela.
Inoltre, per tutelare i propri interessi, ha deciso di mantenere attivo l’indirizzo email della reclamante, operando il reindirizzamento delle comunicazioni in arrivo.
Le difese della società
Nonostante ciò, la società ha giustificato la sua azione, sottolineando che erano state adottate tutte le precauzioni necessarie.
Nonostante la disattivazione immediata della posta in uscita, il reindirizzamento delle comunicazioni in entrata era stato temporaneamente attuato per preservare l’integrità delle informazioni aziendali.
L’intenzione era dichiaratamente quella di non compromettere i contatti con i soci, i clienti e i fornitori. Nonostante ciò, la società ha assicurato di aver limitato il trattamento e di aver disattivato definitivamente l’account della reclamante appena completata la migrazione dei dati aziendali.
Il punto di vista dell’Autorità Garante
L’Autorità Garante per la protezione dei dati personali ha considerato che le azioni intraprese dalla Società violassero i principi generali del trattamento previsti dal GDPR.
Durante l’istruttoria, è emerso che, pur avendo la società dichiarato che l’obiettivo era quello di preservare la comunicazione con clienti e soci, il trattamento del dato non risultava adeguato né proporzionato alle finalità dichiarate.
Il punto centrale, che ha sottolineato la valutazione dell’Autorità, è che l’account della reclamante è rimasto attivo per un periodo significativo di tempo (circa sette mesi), ben oltre il necessario per recuperare eventuali messaggi urgenti o rilevanti.
Inoltre, sebbene la società avesse informato soci e clienti del nuovo indirizzo email aziendale, la prosecuzione del trattamento per un tempo così lungo ha superato i limiti della necessità e della minimizzazione dei dati, violando così i principi fondamentali del Regolamento sulla protezione dei dati.
Anche la questione relativa all’invio dell’email da parte della ex dipendente ai soci, che ha scatenato la denuncia, è apparsa irrilevante ai fini della necessità di mantenere attivo l’account.
L’Autorità ha sottolineato che l’invio di quella comunicazione non giustificava la continuazione del trattamento dei dati personali tramite il reindirizzamento dell’indirizzo email aziendale.
Un altro elemento che ha portato alla condanna della società è stato il fatto che la reclamante non fosse stata adeguatamente informata riguardo alla gestione della sua email aziendale dopo la cessazione del rapporto di lavoro.
La società non aveva infatti previsto nel proprio regolamento interno alcuna informativa sulle modalità di gestione della posta elettronica in ambito lavorativo, violando il principio di trasparenza previsto dal GDPR.
La sanzione e le implicazioni legali
L’Autorità Garante ha quindi dichiarato il trattamento illecito dei dati personali e ha imposto una sanzione amministrativa pecuniaria alla società, valutata sulla base della gravità e della durata della violazione.
In particolare, l’Autorità ha sottolineato che la violazione non poteva essere considerata “minore”, tenendo conto della natura della violazione, dei dati trattati e della durata dell’operazione di reindirizzamento.
L’Autorità ha infine sottolineato che, pur comprendendo le finalità della società di preservare i contatti aziendali, queste potevano essere perseguite con modalità meno invasive, rispettando i principi di necessità e proporzionalità sanciti dal GDPR.
La legittima aspettative di riservatezza
Il caso rappresenta un’importante lezione sulle implicazioni della gestione delle email in contesti aziendali, soprattutto dopo la cessazione del rapporto di lavoro con un dipendente e come bilanciare le legittime esigenze di riservatezza del dipendente e la salvaguardia degli interessi aziendali.
In generale, il contenuto dei messaggi di posta elettronica riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Costituzione), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.
Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.
E la tutela della corrispondenza privata è garantita anche dalla Convenzione Europea dei Diritti dell’Uomo (CEDU) là dove all’art. 8 afferma che ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.
La Corte di giustizia europea
Inoltre, la Corte di giustizia UE ha ulteriormente stabilito che le email inviate dal lavoro sono protette in modo simile ai sensi dell’articolo 8, così come le informazioni derivanti dal monitoraggio dell’uso personale di Internet.
Tuttavia, per quanto attiene alla Cedu, la Corte non ritiene vietato un controllo datoriale dell’email aziendale assegnata al dipendente qualora tale controllo sia proporzionato.
E in una discussa sentenza del 2016 Barbulescu contro Romania, la Corte aveva ritenuto che non sia irragionevole per un datore di lavoro volere verificare che i dipendenti stiano svolgendo i propri compiti professionali durante l’orario di lavoro, interpretando il concetto di proporzionalità in relazione alla violazione disciplinare contestata e sul fatto che l’accesso era stato limitato all’account di posta elettronica aziendale, ma non gli altri dati e documenti archiviati sul computer dell’ex dipendente.
Ma i piani di valutazione appaiono diversi e parzialmente complementari, non tengono conto della normativa nazionale e del GDPR.
La necessità di una policy aziendale
Appare necessario per le aziende implementare una politica complessiva sull’uso di Internet sul posto di lavoro, che includa regole specifiche sull’uso delle email, della messaggistica istantanea, dei social network, dei blog e della navigazione web.
Sebbene la politica possa essere personalizzata in base alle esigenze di ogni azienda nel suo complesso e di ciascun settore specifico dell’infrastruttura aziendale, i diritti e le responsabilità dei dipendenti dovrebbero essere chiaramente definiti per garantire un equilibrio tra la privacy personale e gli obblighi professionali.
È importante che i dipendenti siano informati sulla politica, compreso il possibile monitoraggio delle loro comunicazioni, e siano consapevoli delle conseguenze in caso di violazione di queste linee guida.
Una tale politica dovrebbe essere progettata per promuovere un ambiente di lavoro produttivo e sicuro, rispettando al contempo i diritti dei dipendenti in conformità con le leggi e i regolamenti applicabili.
E sebbene le aziende possano avere legittimi interessi nel preservare i propri contatti e nel tutelare l’integrità delle proprie comunicazioni aziendali, è fondamentale che tali azioni siano sempre conformi ai principi generali del trattamento, come quelli di minimizzazione, necessità e trasparenza previsti dal Regolamento europeo.
Sicurezza della Blockchain: 10 best practice per aumentare il grado di protezione
