L’uso della casella elettronica nei rapporti di collaborazione diversi dal rapporto di lavoro subordinato e relative disposizioni in materia: La posizione del Garante Privacy.

Sono passati più di 6 anni da quando, il 25 maggio 2018, entrò in vigore il Regolamento Generale sulla Protezione dei Dati Personali (RGPD). Eppure, ancora oggi, sussistono diverse incertezze se non omissioni, riguardo le modalità di gestione dell’account di posta elettronica in dotazione ai lavoratori e/o collaboratori, da parte del datore di lavoro – azienda.

Diversi sono infatti i provvedimenti sanzionatori del Garante per la protezione dei dati personali, comminati ogni anno a carico delle aziende.

Interessante in particolare, il provvedimento n. 127 del 7 aprile 2022, relativo alla violazione da parte di una società, della gestione della casella di posta elettronica di un ex collaboratrice e specificatamente un’agente in esclusiva, che lamentava – depositando reclamo presso l’Autorità Garante di essersi vedutanegare l’accesso alla casella di posta elettronica aziendale per recuperare contenuti personali per un periodo antecedente l’interruzione del rapporto di agenzia, e al tempo stesso la circostanza che la suddetta casella – nominalmente assegnata – fosse rimasta attiva dopo i termine di detto rapporto.

L’Autorità Garante, ricevuto il reclamo, procedeva con ispezione presso i locali della Società per reperire la documentazione rilevante ai fini del trattamento dei dati personali e relativa osservanza del RGPD e verificarne la correttezza.

La società si difendeva dichiarando di avere tenuta attiva la casella di posta elettronica per eventuali indagini difensive, oltre ad argomentare che non essendo la collaboratrice una dipendente della società, alcune “garanzie” sancite dal RGPD non sarebbero state applicabili.

Ebbene, una volta constato da parte del Garante che la società non fosse nemmeno in grado di dimostrare l’avvenuta consegna all’agente di una informativa in merito al trattamento dei dati ai sensi dell’articolo 13 RGPD, nonché l’insussistenza di policy che disciplinassero l’uso della casella di posta elettronica, anche alla luce delle Linee Guida del Garante per l’uso della posta elettronica e internet del 1° marzo 2007 (doc. web n. 1387522), la stessa Autorità indicava innanzitutto che, quanto al distinguo tra lavoratore subordinato e altre forme di collaborazione, pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia”(omissis) – “il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi.

A valle di tale presupposto, venivano quindi ribaditi i seguenti principi fondamentali:

1. Trasparenza e informativa: Ai sensi dell’art. 13 del RGPD, il datore di lavoro ha l’obbligo di fornire informazioni chiare e dettagliate sul trattamento dei dati personali, incluse le modalità di gestione degli strumenti aziendali come la posta elettronica, eventualmente con procedure e policy separate adeguatamente diffuse e con possibilità di dimostrare tale adeguata diffusione;
2. Limitazione della conservazione dei dati:L’art. 5, par. 1, lett. e) del RGPD stabilisce che i dati personali devono essere conservati solo per il tempo necessario alle finalità del trattamento.
3. Diritti dell’interessato: Ai sensi degli artt. 12 e 15 del RGPD, il titolare del trattamento deve rispondere senza ritardi ingiustificati alle richieste di accesso ai dati personali.
4. Tutela della vita privata sul luogo di lavoro: Il trattamento dei dati personali, anche in ambito lavorativo, deve rispettare la dignità del lavoratore, con particolare attenzione alla separazione tra sfera privata e professionale.
5. Gestione della posta elettronica aziendale: Dopo la cessazione del rapporto di lavoro, è necessario disattivare gli account di posta elettronica e adottare sistemi automatici per informare i terzi, garantendo la conformità ai principi di minimizzazione e liceità.

Per quanto sopra, all’esito della disamina della fattispecie e constate le diverse lacune nella gestione del trattamento dei dati personali della risorsa, il Garante, (i) dichiarava illecito il trattamento effettuato dalla società; (ii) ordinava la disattivazione dell’account aziendale; (iii) imponeva una sanzione amministrativa pecuniaria di 50.000 Euro.

Il provvedimento evidenzia quindi l’importanza di adottare politiche aziendali chiare sulla gestione dei dati e degli strumenti elettronici. È cruciale fornire un’informativa dettagliata, garantire la minimizzazione dei dati e rispettare i diritti degli interessati. Inoltre, la mancata disattivazione degli account aziendali espone le aziende a rischi legali significativi e potenziali violazioni del diritto alla riservatezza del lavoratore, indipendentemente dalla natura giuridica del rapporto di lavoro.