Pubblicato su Sole24Ore – NT Lavoro – il 20/05/2022
Il trattamento dei dati effettuato mediante tecnologie informatiche deve conformarsi al rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato, a prescindere dalla tipologia contrattuale che regola il rapporto di lavoro.
Così il Garante Privacy, con l‘ordinanza ingiunzione del 7 aprile 2022 [9771545] in forza della quale ha imposto ad una società la sanzione di € 50.000 per aver gestito l’account e-mail di un agente violando le tutele previste dal GDPR .
Nel caso di specie, la società inibiva ad una propria collaboratrice – agente in esclusiva – l’accesso all’account e-mail aziendale fornitole in costanza di rapporto, senza preavviso né successiva giustificazione, modificandone le password d’accesso.
L’agente notificava reiterate richieste di immediato ripristino dell’account, fondamentale per l’esecuzione delle attività lavorative nonché a tutela della propria dignità, immagine, onore e riservatezza, in quanto in esso erano serbate anche comunicazioni strettamente personali.
La società, invece, ignorava le richieste dell’agente e manteneva attivo l’account anche successivamente alla cessazione del rapporto di lavoro, pervenuta due mesi dopo.
A seguito del reclamo dell’agente e delle indagini del Nucleo Speciale Privacy della Guardia di Finanza, il Garante Privacy muoveva numerose contestazioni alla società, tra cui:
1) La violazione del principio di “limitazione della conservazione” ex art. 5, par. 1 del GDPR, in virtù della persistente vitalità dell’account aziendale assegnato alla reclamante;
2) Il mancato rilascio da parte della società di alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account e-mail aziendale in costanza di rapporto ed al termine di questo, in violazione dell’obbligo previsto dall’art. 13 del GDPR, anche alla luce delle linee guida del Garante per posta elettronica e internet del 1° marzo 2007, pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007 (doc. web n. 1387522);
3) La violazione degli artt. 12, par. 3, e 15 del GDPR, rispettivamente in virtù del mancato riscontro dell’istanza dell’interessata e dell’inibito accesso all’account aziendale in questione.
La società si difendeva sostenendo, per quanto di interesse, che l’inibizione era giustificata da un’indebita rivelazione di informazioni aziendali riservate da parte dell’agente, di aver mantenuto attiva la casella per eventuali indagini difensive e che in ogni caso l’agente non era equiparabile al lavoratore subordinato, stante la connaturata autonomia organizzativa ed operativa.
In merito a tale ultimo aspetto, il Garante (Newsletter del 19/05/2022) ricorda che la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in tale occasione si sviluppano relazioni dove si esplica la personalità del lavoratore. Pertanto, «pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia, il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi».
Sotto diverso profilo, il Garante ha confermato anche la violazione dell’art. 13 del GDPR, sostenendo che il ruolo professionale di agente assegnato alla reclamante non rileva né rispetto all’obbligo informativo né rispetto a quello di corretta e trasparente gestione dell’account aziendale assegnato, in quanto «tali obblighi devono ritenersi sussistenti in ragione già del trattamento di dati personali che riguardano una determinata persona fisica in quanto ‘interessata’».
Per il Garante è confermata, inoltre, anche la violazione da parte della società del principio di “limitazione della conservazione” e del connesso principio di “minimizzazione”, stante la mancata rimozione dell’account dopo la cessazione del rapporto di lavoro, previa disattivazione dello stesso e la contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale.
Tale violazione è resa ancora più grave quando, come nel caso di specie, l’account contiene anche informazioni e comunicazioni di natura strettamente personale, «la cui conoscibilità potrebbe arrecare un grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa».