GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/674/01.jpg
martedì 24 maggio 2022
di GDPRlab.it
GDPR ed Email aziendale: il collaboratore esterno ha gli stessi diritti di un dipendente. Per questo il Garante ha sanzionato un'azienda per aver inibito l'accesso email ad una collaboratrice senza alcuna comunicazione allo stessa.
La vicenda origina dal reclamo che, nel 2020, una collaboratrice esterna della società ha deciso di inviare al Garante. In questo, la reclamante spiegava:
La collaboratrice sottolineava come questo atteggiamento da parte della società configurasse
"un grave abuso, che si riservava di far valere anche in sede giudiziale, ma “in primo luogo perpetra (va) una grave lesione del suo diritto alla riservatezza e del diritto costituzionalmente garantito alla segretezza della propria corrispondenza”.
Nel 2021 l'Ufficio del Garante privacy ha inviato una email PEC alla società in questione chiedendo di fornire informazioni utili a riguardo del reclamo presentato dalla collaboratrice esterna. Informazioni necessarie a verificare il rispetto del GDPR nella gestione del suddetto account email aziendale. Come già avvenuto in altri casi, il Garante privacy non riceve alcun riscontro né tramite ulteriori invii email né contattando i riferimenti telefonici presenti sul sito web dell'azienda. L'ultima comunicazione inviata dal Garante privacy, sollecitando l'azienda a fornire le informazioni richieste, è del 22 Aprile del 2021 ma rimane comunque ignorata.
Vista l'assenza di risposte, il Garante privacy ha aperto il provvedimento verso la società, attivando il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza per notificare sia l'apertura del provvedimento sia la precedente richiesta di informazioni.
Il verbale redatto dalla Guardia di Finanza confermava sia il mancato riscontro alle comunicazioni del Garante sia la fondatezza del reclamo della collaboratrice esterna. Si prefiguravano gli estremi per violazione, nella gestione dell'account email aziendale, non solo del GDPR ma anche della Convenzione europea dei diritti dell'uomo. Si trova anche la conferma del fatto che la società aveva inviato alla reclamante più email PEC contestandole una serie di inadempienze contrattuali, fino alla comunicazione della cessazione del rapporto di lavoro a partire dal 26 agosto 2020. Nella comunicazione di cessazione del rapporto, non c'era però alcun riferimento alla sospensione dell'utilizzo dell'account email aziendale.
La società confermava alla Guardia di Finanza la disponibilità, con metodi e tempistiche da concordare:
“l’accesso e l’interrogazione della casella elettronica al fine di individuare dati personali che la riguardano”.
Finalmente la società dava riscontro alle richieste del Garante confermando che:
"In relazione alla l’informativa ed al disciplinare relativo all’interessatavi informiamo che non ci risulta firmata, probabilmente per mera distrazione e tenuto conto che il contratto di agenzia fu negoziato e sottoscritto a distanza. Il nostro standard aziendale è quello di presentare e far sottoscrivere, alla firma del contratto sia per un dipendente che per consulenti esterni o terze figure, l’informativa sulla privacy e l’informativa riguardante l’uso di apparecchiature e mezzi aziendali.”
La reclamante però sottolineava come tali documenti non le sarebbero mai stati forniti dall'azienda e che l'unico documento da firmare che le era stato presentato è stato il solo contratto di lavoro. Tra l'altro la scadenza del contratto di lavoro era fissata in data 31 Agosto 2023.
Preso atto della mancata presentazione dell'informativa privacy, problema aggiuntivo all'inibizione dell'accesso all'account email, il Garante optava per ulteriore procedimento sanzionatorio e correttivo. La memoria difensiva presentata dalla società confermava infatti di:
Il Garante prende atto quindi che le violazioni contestate nei due procedimenti avviati trovano conferma. Se l'inibizione all'uso dell'account aziendale è ritenuto meno grave, rispetto alla violazione in oggetto della seconda contestazione invece
" si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore".
Quindi il Garante trova applicabile l'art.8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata. Su questo punto il Garante rigetta quindi la non equiparabilità del dipendente interno e del collaboratore esterno. Il rispetto dei diritti e delle libertà fondamentali nel trattamento dati tramite strumenti informatici si applica a qualsiasi tipologia di rapporto lavorativo.
Visti quindi:
Il Garante ha sanzionato la società per un ammontare di 50.000 euro, per violazione del GDPR e della Convenzione europea sui diritti dell'uomo nella gestione dell'email aziendale. Inoltre la società dovrà dare l'accesso all'email aziendale per consentire alla reclamante di recuperare la propria corrispondenza, per poi procedere a disattivare l'account. Al momento della disattivazione, la società dovrà darne comunicazione ai fornitori e fornire indirizzi alternativi di contatto. Il Garante notifica anche il divieto di trattamento dei dati presenti nell'account email.
Il provvedimento completo è disponibile qui.
lunedì 28 aprile 2025
CONDIVIDI QUESTA PAGINA!