Sono passati più di 6 anni da quando, il 25 maggio 2018, entrò in vigore il Regolamento Generale sulla Protezione dei Dati Personali (RGPD). Eppure, ancora oggi, sussistono diverse incertezze se non omissioni, riguardo le modalità di gestione dell’account di posta elettronica in dotazione ai lavoratori e/o collaboratori, da parte del datore di lavoro – azienda.
Diversi sono infatti i provvedimenti sanzionatori del Garante per la protezione dei dati personali, comminati ogni anno a carico delle aziende.
Interessante in particolare, il provvedimento n. 127 del 7 aprile 2022, relativo alla violazione da parte di una società, della gestione della casella di posta elettronica di un ex collaboratrice e specificatamente un’agente in esclusiva, che lamentava – depositando reclamo presso l’Autorità Garante – di essersi vedutanegare l’accesso alla casella di posta elettronica aziendale per recuperare contenuti personali per un periodo antecedente l’interruzione del rapporto di agenzia, e al tempo stesso la circostanza che la suddetta casella – nominalmente assegnata – fosse rimasta attiva dopo i termine di detto rapporto.
L’Autorità Garante, ricevuto il reclamo, procedeva con ispezione presso i locali della Società per reperire la documentazione rilevante ai fini del trattamento dei dati personali e relativa osservanza del RGPD e verificarne la correttezza.
La società si difendeva dichiarando di avere tenuta attiva la casella di posta elettronica per eventuali indagini difensive, oltre ad argomentare che non essendo la collaboratrice una dipendente della società, alcune “garanzie” sancite dal RGPD non sarebbero state applicabili.
Ebbene, una volta constato da parte del Garante che la società non fosse nemmeno in grado di dimostrare l’avvenuta consegna all’agente di una informativa in merito al trattamento dei dati ai sensi dell’articolo 13 RGPD, nonché l’insussistenza di policy che disciplinassero l’uso della casella di posta elettronica, anche alla luce delle Linee Guida del Garante per l’uso della posta elettronica e internet del 1° marzo 2007 (doc. web n. 1387522), la stessa Autorità indicava innanzitutto che, quanto al distinguo tra lavoratore subordinato e altre forme di collaborazione, “pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia”(omissis) – “il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi”.
A valle di tale presupposto, venivano quindi ribaditi i seguenti principi fondamentali:
Per quanto sopra, all’esito della disamina della fattispecie e constate le diverse lacune nella gestione del trattamento dei dati personali della risorsa, il Garante, (i) dichiarava illecito il trattamento effettuato dalla società; (ii) ordinava la disattivazione dell’account aziendale; (iii) imponeva una sanzione amministrativa pecuniaria di 50.000 Euro.
Il provvedimento evidenzia quindi l’importanza di adottare politiche aziendali chiare sulla gestione dei dati e degli strumenti elettronici. È cruciale fornire un’informativa dettagliata, garantire la minimizzazione dei dati e rispettare i diritti degli interessati. Inoltre, la mancata disattivazione degli account aziendali espone le aziende a rischi legali significativi e potenziali violazioni del diritto alla riservatezza del lavoratore, indipendentemente dalla natura giuridica del rapporto di lavoro.