Il Garante della protezione dei dati personali, con l’Ordinanza del 7/04/2022 (richiamata nella newsletter n. 489 del 19/05/2022) ha ingiunto ad un’azienda di pagare una somma di 50.000 euro a titolo di sanzione amministrativa, per aver inibito ad una lavoratrice con contratto di agenzia di accedere al proprio account aziendale.

L’intervento del Garante privacy ha preso origine da un reclamo avanzato da una lavoratrice, titolare di un contratto di agenzia esclusiva con un’azienda, la quale si era vista inibita la possibilità di accedere alla email aziendale a lei assegnata per motivi di lavoro, utilizzata anche per esigenze personali.

Il divieto di accedere all’email era dipeso da un cambio di password che l’azienda aveva disposto dopo aver accertato che la lavoratrice aveva indebitamente rivelato informazioni aziendali riservate. Tale condotta della lavoratrice è stata oggetto di due distinte contestazioni, propedeutiche alla risoluzione del contratto per giusta causa, formalizzata due mesi dopo l’inibizione alla casella di posta elettronica.

Secondo la difesa dell’azienda, l’email assegnata alla lavoratrice per lo svolgimento della sua attività, era stata mantenuta attiva, dopo aver modificato la password di accesso, perché funzionale alle esigenze lavorative dell’impresa nonché in ragione del contenzioso in essere con la reclamante e per eventuali “indagini difensive”, oltre che per poter concordare modalità di accesso all’interessata idonee al recupero delle sue informazioni personali, salvaguardando però l’integrità dei contenuti.

Sempre secondo l’azienda, la casella di posta in questione (meramente “prestata” all’agente, quale lavoratore autonomo) doveva considerarsi nella titolarità esclusiva del datore di lavoro nonché destinata a contenere dati non particolari, come quelli anagrafici o di fatturazione. Inoltre, l’agente non sarebbe equiparabile al lavoratore subordinato (stante la connaturata autonomia organizzativa ed operativa). Quindi l’assegnazione della casella poteva inquadrarsi nel comodato gratuito ex art. 1804 cc., quindi con il correlato obbligo di pronta restituzione in caso di richiesta del datore-comodante.

Infine, in merito al rispetto della privacy, l’azienda ha affermato di aver agito nel rispetto dei principi di necessità e di minimizzazione del trattamento, evidenziando altresì di aver curato la revisione e implementazione, ad ampio raggio, delle proprie policy di trattamento, anche con riguardo alla previsione di appositi audit.

Dall’analisi effettuata dal Garante è emerso che la Società non ha comprovato di aver rilasciato all’interessata alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account di posta elettronica aziendale in costanza di rapporto ed al termine di questo, comprese la gestione dello stesso dopo la cessazione del rapporto e la conservazione dei dati presenti nella casella elettronica.

Il Garante ha quindi ribadito che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato.

Pertanto, conformandosi al costante orientamento, ha ricordato che dopo la cessazione del rapporto di lavoro, il titolare del trattamento deve provvedere alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi email alternativi riferiti alla sua attività professionale.

Accertate le varie violazioni in materia di privacy commesse dall’azienda, in primis non aver fornito all’interessata un’idonea informativa conforme alle linee guida sulla posta elettronica e internet del 1° marzo 2007, il Garante privacy ha ordinato alla società di pagare una sanzione amministrativa di 50 mila euro e ha ingiunto alla stessa:

- di adottare idonee soluzioni organizzative e tecniche per consentire alla reclamante di accedere, in presenza di persona di fiducia della Società alla casella elettronica in questione e di trasporre su supporto cartaceo o informatico i dati personali che la riguardano contenuti nella corrispondenza in tal modo conservata;

- di disattivare l’account in questione, di provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, nonché di adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

- il divieto di trattamento dei dati estratti dall’account di posta elettronica aziendale riferito alla reclamante, fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo.