UNA SOCIETA’ PUO’ CONTINUARE A TENERE ATTIVI GLI ACCOUNT E-MAIL AZIENDALI DEGLI EX DIPENDENTI?

Il Garante della Privacy ha sanzionato una società che, a seguito delle dimissioni rese da due dipendenti con funzioni apicali, aveva continuato a mantenere attivi gli account degli indirizzi e-mail aziendali, dichiarando che tale condotta si era resa necessaria per ragioni di continuità aziendale e commerciali, poiché i due ex dipendenti finché lavoravano in azienda erano i soggetti di riferimento nei rapporti commerciali con il più grosso cliente della società. Gli ex dipendenti avevano proposto reclamo al Garante denunciando la perdurante attività di detti account aziendali individuali per diversi mesi successivi al termine del rapporto di lavoro, con conseguente accesso ai messaggi agli stessi pervenuti e cancellazione di tali account solo a seguito dei solleciti posti in essere dai reclamanti. Gli ex dipendenti lamentavano, inoltre, che la Società non gli aveva fornito adeguata informativa relativamente al trattamento dei dati della posta elettronica, anche dopo la cessazione del rapporto di lavoro.

L’azienda si difendeva sostenendo che tali account rimasti attivi non erano accessibili da chiunque, ma aveva designato il Presidente del CdA della società quale unico soggetto incaricato ad accedere a tali account aziendali al fine di leggere solo le e-mail relative alle attività aziendali in riferimento ai rapporti commerciali con i clienti, quantomeno per il tempo necessario (di fatto 9 mesi) ad informare tutti i clienti del fatto che i reclamanti non lavoravano più in azienda. In ordine all’informativa sul trattamento dei dati personali, la società riferiva che “i predetti soggetti erano ben consapevoli e perfettamente informati delle modalità di trattamento dei dati in uso nell’azienda, in quanto predisposte e gestite da essi stessi. La reclamante era, infatti, il soggetto incaricato al trattamento interno e l’altro reclamante, il soggetto posto al vertice dell’azienda quale Presidente del C.d.A. […]. Ed entrambi in ogni caso hanno regolarmente sottoscritto il consenso al trattamento sulla base di modulistica appositamente predisposta”. E pare che questa fosse comunque la prassi aziendale adottata dai reclamanti, quando ancora lavoravano in azienda, nei confronti dei vari dipendenti che via via nel tempo avevano cessato il loro rapporto di lavoro.

Il Garante nel caso in questione ha ritenuto, però, che “la condotta tenuta dalla Società, in qualità di titolare del trattamento che è consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, si pone in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento”.

Inoltre, in ordine all’assenza di informativa ed in ordine alla base giuridica del trattamento, che la società ha dichiarato essere il consenso, il Garante ha precisato che la condotta posta in essere dalla società era da ritenersi illecita poiché mancava una valida prova di aver adeguatamente informato i dipendenti sulle modalità di trattamento della posta elettronica al termine del rapporto di lavoro, ed osservava, altresì, il Garante che, nell’ambito di un rapporto di lavoro, visto “lo squilibrio di potere tra il datore di lavoro e il lavoratore, è improbabile, salvo casi particolari da individuare caso per caso, che il lavoratore presti liberamente il proprio consenso al datore di lavoro”.

Pertanto, a seguito di quanto sopra, tenuto conto che Titolare del trattamento è sempre la società, il Garante ha ritenuto illecito il trattamento dei dati ed ha comminato alla società una sanzione pari ad €.20.000,00.

_*******

Il GDPR Regolamento (UE) n. 2016/679 ha dato una disciplina omogenea e più incisiva del trattamento dei dati personali, andando ad integrare quanto era previsto sino a quel momento dalle norme vigenti in materia.

Tale testo normativo ha stabilito alcuni principi fondamentali che devono essere rispettati da chi tratta dati personali e nel caso di loro violazione, la norma ha previsto l’applicazione di una sanzione che deve essere commisurata alla gravità, alla durata ed alla natura della condotta lesiva, oltre a tener conto dell’atteggiamento psicologico del soggetto agente (se l’azione è commessa con dolo o con colpa). Il Regolamento stabilisce, comunque, che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento).

In particolare, alla luce del provvedimento del Garante sopra sinteticamente citato,  approfondiamo in questa sede i principi di liceità, di minimizzazione e di limitazione della conservazione dei dati di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento, che se rispettati evitano un trattamento illecito dei dati.

Il principio di liceità del trattamento dei dati: ogni trattamento deve trovare fondamento in un’idonea base giuridica e l’art. 6 del Regolamento prevede che i fondamenti di liceità del trattamento di dati personali sono: il consenso, l’adempimento di obblighi contrattuali, l’esistenza di interessi vitali della persona interessata o di terzi, il rispetto di obblighi di legge cui è soggetto il titolare, il trattamento può avvenire per un interesse pubblico o nell’esercizio di pubblici poteri, l’esistenza di un interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Quando il trattamento è fondato sul consenso dell’interessato il Titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha manifestato liberamente il suo consenso, in modo inequivocabile e che lo stesso è stato preceduto da un’informativa sulle finalità e modalità di trattamento dei dati personali. Non è ammesso il consenso tacito o presunto e, se è stato espresso, deve essere sempre revocabile.

Il principio di minimizzazione dei dati: ai sensi dell’art. 5, par. 1, lett. c) del Regolamento, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Ciò significa che bisogna di volta in volta verificare quali siano le finalità per le quali il Titolare deve trattare i dati personali ed, in funzione di queste, deve trattare solo i dati personali strettamente necessari, il trattamento di altri dati non rispondenti allo scopo è illecito. D’altro canto, laddove la base giuridica del trattamento sia costituita dal consenso dell’interessato, è proprio nell’informativa che devono essere espressamente indicate le finalità di trattamento, così l’interessato sarà in grado di fornire solo i dati strettamente necessari e valutare la liceità del trattamento che ne farà il Titolare.

Il principio di limitazione della conservazione dei dati: ai sensi dell’art. 5, par. 1, lett. e) del Regolamento i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Pertanto, nell’informativa che il Titolare deve fornire all’interessato, prima del trattamento dei suoi dati personali, deve indicare espressamente per quanto tempo verranno conservati i dati e, laddove non sia possibile determinarlo a priori con precisione, è necessario indicare i criteri adottati per la sua determinazione. Ecco che anche questo aspetto è strettamente legato alla finalità del trattamento dei dati ed un trattamento lecito non può prescindere da questa valutazione.

Quelli esaminati sono solo alcuni dei principi sanciti dal GDPR, seguiranno ulteriori pubblicazioni per approfondire altri aspetti di questa normativa e delle sue applicazioni pratiche.

Avv. Maria Chirico