Tutela della privacy: il caso dell'account aziendale dell'ex-dipendente
Con un recente provvedimento di data 7 marzo 2024 [10009004, Registro dei provvedimenti n. 140 del 7 marzo 2024] il Garante Privacy ha espresso un’interessante posizione sul tema della tutela della privacy in merito al trattamento degli account aziendali di ex-dipendenti.
Vediamo il caso: nel marzo 2022 due ex dipendenti di un centro riparazioni presentavano reclamo all’Autorità esponendo di aver riscontrato una “perdurante attività” dei loro account aziendali individuali “per diversi mesi oltre la cessazione dei rapporti lavorativi, con contestuale accesso ai messaggi ivi pervenuti”. In aggiunta, rilevavano che essi stessi non potevano accedere al contenuto dei predetti account, nel frattempo cancellati dall’azienda, e da ultimo lamentavano che l’azienda non avrebbe fornito idonea informativa in merito al trattamento dei dati relativi alla posta elettronica.
L’azienda si difendeva sostenendo, tra l’altro, che gli account erano ad esclusivo uso aziendale e che su di essi transitavano ordini di ricambi e di mezzi da parte dei clienti, per cui era necessario l’accesso per esigenze aziendali.
In effetti, l’istruttoria del Garante accertava che, a seguito della cessazione del rapporto di lavoro, il Titolare del trattamento manteneva attivi, per qualche mese, gli account di posta elettronica in precedenza; inoltre, il legale rappresentante dell’azienda era entrato nei medesimi account “al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”.
Il Garante ha pertanto ribadito che lo scambio di corrispondenza elettronica su un account aziendale di tipo individualizzato (a prescindere che sia d’uso lavorativo o anche per altre finalità) consente di conoscere dati di carattere personale attinenti all’interessato, per cui, bilanciando gli interessi contrapposti, l’esigenza di continuità aziendale non è sufficiente per rendere lecito il trattamento dei dati. Tra l’altro, i dati esteriori delle comunicazioni ed eventuali allegati presenti negli account, oltre al contenuto dei messaggi di posta elettronica, costituiscono forme di corrispondenza assistite da garanzie di segretezza tutelate anche a livello costituzionale (artt. 2 e 15 Cost.).
Ne consegue che sarebbe stato accettabile – piuttosto - limitarsi al mantenimento degli account assegnati e attivare un messaggio di risposta automatico volto ad informare i terzi dell’imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail: ciò solo per un tempo proporzionato alle esigenze di continuità dell’attività svolta dalla Società. Al contempo, si sarebbero dovute adottare misure idonee ad impedire l’accesso ai messaggi in arrivo e la visualizzazione degli stessi durante il periodo in cui tale sistema automatico fosse stato in funzione.
Per quanto riguarda la lamentata assenza di Informativa ex art. 13 GDPR, il Garante ha sottolineato che il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet” cit.) e che nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a) del Regolamento). Per cui era obbligo del Titolare informare circa il trattamento che avrebbe posto in essere, una volta cessato il rapporto di lavoro, sull’account di posta elettronica assegnato in precedenza.
Dichiarando illecito il trattamento riscontrato, il Garante sanzionava di conseguenza (per leggere il provvedimento https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10009004).
Fin qui il provvedimento. Dal punto di vista pratico possiamo ricavarne alcuni spunti e in particolare alcuni aspetti di compliance privacy a cui il Titolare dovrebbe prestare attenzione in ottemperanza al principio di responsabilizzazione e rendicontazione:
Vediamo il caso: nel marzo 2022 due ex dipendenti di un centro riparazioni presentavano reclamo all’Autorità esponendo di aver riscontrato una “perdurante attività” dei loro account aziendali individuali “per diversi mesi oltre la cessazione dei rapporti lavorativi, con contestuale accesso ai messaggi ivi pervenuti”. In aggiunta, rilevavano che essi stessi non potevano accedere al contenuto dei predetti account, nel frattempo cancellati dall’azienda, e da ultimo lamentavano che l’azienda non avrebbe fornito idonea informativa in merito al trattamento dei dati relativi alla posta elettronica.
L’azienda si difendeva sostenendo, tra l’altro, che gli account erano ad esclusivo uso aziendale e che su di essi transitavano ordini di ricambi e di mezzi da parte dei clienti, per cui era necessario l’accesso per esigenze aziendali.
In effetti, l’istruttoria del Garante accertava che, a seguito della cessazione del rapporto di lavoro, il Titolare del trattamento manteneva attivi, per qualche mese, gli account di posta elettronica in precedenza; inoltre, il legale rappresentante dell’azienda era entrato nei medesimi account “al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”.
Il Garante ha pertanto ribadito che lo scambio di corrispondenza elettronica su un account aziendale di tipo individualizzato (a prescindere che sia d’uso lavorativo o anche per altre finalità) consente di conoscere dati di carattere personale attinenti all’interessato, per cui, bilanciando gli interessi contrapposti, l’esigenza di continuità aziendale non è sufficiente per rendere lecito il trattamento dei dati. Tra l’altro, i dati esteriori delle comunicazioni ed eventuali allegati presenti negli account, oltre al contenuto dei messaggi di posta elettronica, costituiscono forme di corrispondenza assistite da garanzie di segretezza tutelate anche a livello costituzionale (artt. 2 e 15 Cost.).
Ne consegue che sarebbe stato accettabile – piuttosto - limitarsi al mantenimento degli account assegnati e attivare un messaggio di risposta automatico volto ad informare i terzi dell’imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail: ciò solo per un tempo proporzionato alle esigenze di continuità dell’attività svolta dalla Società. Al contempo, si sarebbero dovute adottare misure idonee ad impedire l’accesso ai messaggi in arrivo e la visualizzazione degli stessi durante il periodo in cui tale sistema automatico fosse stato in funzione.
Per quanto riguarda la lamentata assenza di Informativa ex art. 13 GDPR, il Garante ha sottolineato che il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet” cit.) e che nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a) del Regolamento). Per cui era obbligo del Titolare informare circa il trattamento che avrebbe posto in essere, una volta cessato il rapporto di lavoro, sull’account di posta elettronica assegnato in precedenza.
Dichiarando illecito il trattamento riscontrato, il Garante sanzionava di conseguenza (per leggere il provvedimento https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10009004).
Fin qui il provvedimento. Dal punto di vista pratico possiamo ricavarne alcuni spunti e in particolare alcuni aspetti di compliance privacy a cui il Titolare dovrebbe prestare attenzione in ottemperanza al principio di responsabilizzazione e rendicontazione:
- Verificare se e cosa è stato previsto nel regolamento interno aziendale circa la gestione di posta elettronica e internet (trattamenti leciti individuati);
- Erogare, altrimenti, un’Informativa chiara e completa ai dipendenti che cessino il rapporto di lavoro circa il successivo trattamento (lecito) degli account di posta elettronica aziendale individualizzati;
- Verificare la disattivazione tempestiva degli account di posta elettronica aziendale individualizzati dei dipendenti che cessino il rapporto di lavoro;
- Adottare misure idonee ad impedire l’accesso e la visualizzazione dei messaggi in arrivo, da parte di soggetti diversi, sino alla disattivazione degli account;
- Verificare il periodo massimo di conservazione dei dati personali e l'esistenza di una procedura di cancellazione degli stessi (inserendo un'apposita regolamentazione nel modello di Data Retention policy).