Al collaboratore esterno l’azienda deve garantire le stesse forme di tutela previste per il lavoratore dipendente

Al collaboratore esterno l’azienda deve garantire le stesse forme di tutela previste per il lavoratore dipendente
 

Il caso

Il procedimento nei confronti di una società marchigiana [doc. web n. 9771545] trae origine da un reclamo ricevuto dall’Autorità Garante con il quale una ex collaboratrice (agente) della suddetta società lamentava l’impossibilità di accedere al proprio account email aziendale, che risultava ancora attivo. La reclamante, infatti, continuava a ricevere sui propri dispositivi avvisi che la invitavano ad inserire la nuova password per accedere alla casella di posta. Tale circostanza veniva segnalata immediatamente alla società che non dava alcun riscontro alle ripetute richieste di accesso all’account email da parte della reclamante. Lo stesso comportamento omissivo veniva adottato dalla società nei confronti dell’Autorità Garante, che pertanto disponeva l’avvio del procedimento con la richiesta di informazioni.

Le violazioni riscontrate

In occasione della verifica ispettiva del Nucleo Speciale della Guardia di Finanza, alla società veniva preliminarmente contestato l’omesso riscontro alla richiesta di informazioni del Garante, e veniva accertata la violazione:

  1. del principio di correttezza e limitazione della conservazione, in quanto la società aveva mantenuto attivo l’account di posta elettronica della reclamante anche dopo la cessazione del rapporto di lavoro con la stessa;
  2. dell’art. 13 del GDPR, per la mancanza di un’idonea informativa all’interessata;
  3. degli artt. 12, par. 3 e 15 del GDPR, per il mancato riscontro alle ripetute richieste della reclamante, alla quale era inibito l’accesso all’account di posta elettronica.

La sanzione del Garante

Nonostante le giustificazioni addotte dalla  società in relazione alla scoperta di un’indebita rivelazione di informazioni aziendali riservate e alla situazione emergenziale determinata dalla pandemia, il Garante ha comminato alla società  una sanzione di € 50.000,00, ingiungendole altresì di consentire alla reclamante l’accesso alla casella di posta elettronica e di trasporre i dati personali che la riguardano su supporti cartacei o informatici e quindi disattivare l’account aziendale della ex collaboratrice.

Pertanto, la circostanza che la collaboratrice rivestisse la qualifica di agente, pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia, il Garante ritiene che il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve comunque conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi.

L’Autorità ha inoltre ingiunto alla società di adottare procedure idonee per garantire il completo e tempestivo riscontro alle richieste formulate dagli interessati ai sensi e per gli effetti di cui agli artt. 15-22 del GDPR, di predisporre una idonea, preventiva e documentata informativa rispetto al trattamento dei dati personali degli stessi, nonché un documento esaustivo riguardo l’utilizzo di Internet e della posta elettronica aziendale da parte dei dipendenti.

Considerazioni finali

Il provvedimento de quo consente di formulare alcune considerazioni in ordine alla gestione dell’account di posta elettronica del dipendente alla cessazione del rapporto di lavoro.

Nel 2007 il Garante pubblicava le “Linee guida per posta elettronica e internet” che contengono una serie di indicazioni fondamentali al fine di garantire il rispetto della privacy dei lavoratori e definire con chiarezza e in modo dettagliato le modalità di utilizzo di internet e della posta elettronica onde garantire una adeguata informazione. In tale materia il Garante si è pronunciato con diversi provvedimenti, molti dei quali sono richiamati in quello in esame (Provv.ti 29 settembre 2021 n.353, doc. web n. 9719914; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4).

Questa circostanza impone una riflessione sul bilanciamento di interessi tra il diritto alla privacy del dipendente e l’interesse dell’azienda a garantire la continuità operativa o, come nel caso in esame, alla necessità di svolgere indagini sulla condotta del dipendente.

Per ridurre il rischio di sanzioni e, soprattutto, per tutelare i diritti degli interessati, dipendenti e collaboratori, è necessario adottare misure proattive, specificando le modalità di gestione dei dati dei lavoratori nelle varie fasi del rapporto di lavoro, nonché definendo diritti e obblighi delle parti. Tale documento potrà essere allegato all’informativa (ex art. 13 GDPR) o venire inserito nel “Manuale per la gestione degli strumenti informatici aziendali”, con la prova della “presa visione” del soggetto interessato.

Nel documento dovranno pertanto essere previste anche le modalità di gestione della casella di posta elettronica del lavoratore nelle varie fasi del rapporto di lavoro.

Nelle citate Linee guida, il Garante fornisce precise indicazioni in merito, ritenendo opportuno che il datore di lavoro:

  • renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, info@ente.it, ufficioreclami@società.com, urp@ente.it, etc.), eventualmente affiancandoli a quelli individuali (ad esempio, m.rossi@ente.it, rossi@società.com, mario.rossi@società.it);
  • valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore;
  • metta a disposizione di ciascun lavoratore apposite funzionalità di sistema, di agevole utilizzo, che consentano di inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le “coordinate” (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura.

La disciplina sulla sorte dell’account email aziendale alla fine del rapporto di lavoro invece si rinviene nei citati provvedimenti del Garante, nei quali vengono elencati i principi che sottendono alla tutela del trattamento dei dati effettuato mediante tecnologie informatiche in ambito aziendale.

Il Garante evidenzia che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni nelle quali si esplica la personalità del lavoratore (v. artt. 2 e 41, c. 2, Cost). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale. 

Da ciò deriva l’esigenza di tutelare il contenuto di eventuali informazioni relative alla vita privata del lavoratore che potrebbero essere contenute in messaggi non attinenti all’attività lavorativa e la necessità di regolare la gestione dell’account di posta elettronica, anche dopo la cessazione del rapporto di lavoro.

In particolare, nel provvedimento n. 216 del 4 dicembre 2019 [doc. web n. 9215890], il Garante afferma che il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro deve:

  1. disattivare gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure);
  2. predisporre dei sistemi automatici volti ad informare i terzi che il dipendente non svolge più le sue funzioni in azienda, fornendo contestualmente dettagli di contatto alternativi;
  3. impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;
  4. eliminare la casella di posta elettronica del dipendente entro un tempo ragionevole.

 

L’adozione di tali misure tecnologiche ed organizzative consente di contemperare l’interesse dell’azienda ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.trae origine da un reclamo ricevuto dall’Autorità Garante con il quale una ex collaboratrice (agente) della suddetta società lamentava l’impossibilità di accedere al proprio account email aziendale, che risultava ancora attivo. La reclamante, infatti, continuava a ricevere sui propri dispositivi avvisi che la invitavano ad inserire la nuova password per accedere alla casella di posta. Tale circostanza veniva segnalata immediatamente alla società che non dava alcun riscontro alle ripetute richieste di accesso all’account email da parte della reclamante. Lo stesso comportamento omissivo veniva adottato dalla società nei confronti dell’Autorità Garante, che pertanto disponeva l’avvio del procedimento con la richiesta di informazioni.

Le violazioni riscontrate

In occasione della verifica ispettiva del Nucleo Speciale della Guardia di Finanza, alla società veniva preliminarmente contestato l’omesso riscontro alla richiesta di informazioni del Garante, e veniva accertata la violazione:

  1. del principio di correttezza e limitazione della conservazione, in quanto la società aveva mantenuto attivo l’account di posta elettronica della reclamante anche dopo la cessazione del rapporto di lavoro con la stessa;
  2. dell’art. 13 del GDPR, per la mancanza di un’idonea informativa all’interessata;
  3. degli artt. 12, par. 3 e 15 del GDPR, per il mancato riscontro alle ripetute richieste della reclamante, alla quale era inibito l’accesso all’account di posta elettronica.
La sanzione del Garante

Nonostante le giustificazioni addotte dalla  società in relazione alla scoperta di un’indebita rivelazione di informazioni aziendali riservate e alla situazione emergenziale determinata dalla pandemia, il Garante ha comminato alla società  una sanzione di € 50.000,00, ingiungendole altresì di consentire alla reclamante l’accesso alla casella di posta elettronica e di trasporre i dati personali che la riguardano su supporti cartacei o informatici e quindi disattivare l’account aziendale della ex collaboratrice.

Pertanto, la circostanza che la collaboratrice rivestisse la qualifica di agente, pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia, il Garante ritiene che il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve comunque conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi.

L’Autorità ha inoltre ingiunto alla società di adottare procedure idonee per garantire il completo e tempestivo riscontro alle richieste formulate dagli interessati ai sensi e per gli effetti di cui agli artt. 15-22 del GDPR, di predisporre una idonea, preventiva e documentata informativa rispetto al trattamento dei dati personali degli stessi, nonché un documento esaustivo riguardo l’utilizzo di Internet e della posta elettronica aziendale da parte dei dipendenti.

Considerazioni finali

Il provvedimento de quo consente di formulare alcune considerazioni in ordine alla gestione dell’account di posta elettronica del dipendente alla cessazione del rapporto di lavoro.

Nel 2007 il Garante pubblicava le “Linee guida per posta elettronica e internet” che contengono una serie di indicazioni fondamentali al fine di garantire il rispetto della privacy dei lavoratori e definire con chiarezza e in modo dettagliato le modalità di utilizzo di internet e della posta elettronica onde garantire una adeguata informazione. In tale materia il Garante si è pronunciato con diversi provvedimenti, molti dei quali sono richiamati in quello in esame (Provv.ti 29 settembre 2021 n.353, doc. web n. 9719914; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4).

Questa circostanza impone una riflessione sul bilanciamento di interessi tra il diritto alla privacy del dipendente e l’interesse dell’azienda a garantire la continuità operativa o, come nel caso in esame, alla necessità di svolgere indagini sulla condotta del dipendente.

Per ridurre il rischio di sanzioni e, soprattutto, per tutelare i diritti degli interessati, dipendenti e collaboratori, è necessario adottare misure proattive, specificando le modalità di gestione dei dati dei lavoratori nelle varie fasi del rapporto di lavoro, nonché definendo diritti e obblighi delle parti. Tale documento potrà essere allegato all’informativa (ex art. 13 GDPR) o venire inserito nel “Manuale per la gestione degli strumenti informatici aziendali”, con la prova della “presa visione” del soggetto interessato.

Nel documento dovranno pertanto essere previste anche le modalità di gestione della casella di posta elettronica del lavoratore nelle varie fasi del rapporto di lavoro.

Nelle citate Linee guida, il Garante fornisce precise indicazioni in merito, ritenendo opportuno che il datore di lavoro:

  • renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, info@ente.it, ufficioreclami@società.com, urp@ente.it, etc.), eventualmente affiancandoli a quelli individuali (ad esempio, m.rossi@ente.it, rossi@società.com, mario.rossi@società.it);
  • valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore;
  • metta a disposizione di ciascun lavoratore apposite funzionalità di sistema, di agevole utilizzo, che consentano di inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le “coordinate” (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura.

La disciplina sulla sorte dell’account email aziendale alla fine del rapporto di lavoro invece si rinviene nei citati provvedimenti del Garante, nei quali vengono elencati i principi che sottendono alla tutela del trattamento dei dati effettuato mediante tecnologie informatiche in ambito aziendale.

Il Garante evidenzia che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni nelle quali si esplica la personalità del lavoratore (v. artt. 2 e 41, c. 2, Cost). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale. 

Da ciò deriva l’esigenza di tutelare il contenuto di eventuali informazioni relative alla vita privata del lavoratore che potrebbero essere contenute in messaggi non attinenti all’attività lavorativa e la necessità di regolare la gestione dell’account di posta elettronica, anche dopo la cessazione del rapporto di lavoro.

In particolare, nel provvedimento n. 216 del 4 dicembre 2019 [doc. web n. 9215890], il Garante afferma che il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro deve:

  1. disattivare gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure);
  2. predisporre dei sistemi automatici volti ad informare i terzi che il dipendente non svolge più le sue funzioni in azienda, fornendo contestualmente dettagli di contatto alternativi;
  3. impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;
  4. eliminare la casella di posta elettronica del dipendente entro un tempo ragionevole.

L’adozione di tali misure tecnologiche ed organizzative consente di contemperare l’interesse dell’azienda ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

Avv. Sabrina Salmeri

Related Posts
L’incollocabilità in altre mansioni di un lavoratore assunto con il collocamento mirato può essere effettuata solo dalla Commissione medica anche in presenza di variazioni organizzative
25. Jul. 24 | Articoli L’incollocabilità in altre mansioni di un lavoratore assunto con il collocamento mirato può essere effettuata solo dalla Commissione medica anche in presenza di variazioni organizzative

Il trattamento dei dati nella pubblicità mirata: Noyb presenta reclamo nei confronti di Xandr Inc. al Garante italiano per la Protezione dei Dati Personali
24. Jul. 24 | Articoli Il trattamento dei dati nella pubblicità mirata: Noyb presenta reclamo nei confronti di Xandr Inc. al Garante italiano per la Protezione dei Dati Personali

La responsabilità dell’intermediario bancario per la non corretta esecuzione del pagamento verso il reale beneficiario
22. Jul. 24 | Articoli La responsabilità dell’intermediario bancario per la non corretta esecuzione del pagamento verso il reale beneficiario

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori