La difesa in giudizio non giustifica l'accesso da parte del datore di lavoro alla posta elettronica del lavoratore. È questa la sintesi del provvedimento con cui il Garante privacy ha sanzionato un'azienda per essere acceduta all'account email di una collaboratrice.

Ricostruendo il contesto: il reclamo presentato al Garante

Nel 2019, la sig.ra XXX si rivolge al Garante Privacy con un reclamo per il protrarsi delle attività sul proprio account di posta aziendale. Account di posta rimasto attivo anche dopo la cessazione del rapporto di collaborazione. In dettaglio, l'azienda destinataria del reclamo aveva avviato una collaborazione con un'esponente di una cooperativa. Questa collaboratrice, prima che fosse definito il rapporto di lavoro con l'azienda, era stata incaricata di partecipare ad un evento e di raccogliere e gestire contatti di potenziali clienti tramite un account di posta elettronica aperto allo scopo.

Il 23 Dicembre 2018 si interrompono i rapporti tra l'azienda e la cooperativa. Il 14 Gennaio 2019 la reclamante chiedeva la disattivazione dell'indirizzo di posta elettronica a lei assegnato. Pochi giorni dopo l'azienda rispondeva che l'indirizzo di posta elettronica sarebbe rimasto attivo giusto il tempo di recuperare quei potenziali clienti che avevano tentato di contattare l'azienda. Seguivano ulteriori solleciti, poi l'account veniva disattivato a Febbraio 2019.

Nel frattempo la situazione sfociava in un contenzioso per via giudiziale, a causa del tentativo della cooperativa di contattare tali potenziali clienti a nome loro.

L'istruttoria del Garante e la difesa dell'azienda

Il Garante, ricevuto il reclamo, si è attivato chiedendo anzitutto all'azienda di fornire riscontro ad una serie di domande e richieste. L'azienda specificava quindi che: 

• dalla ricezione della richiesta di disattivazione dell'account, nessun email è stata inviata o ricevuta in quell'account, fatta esclusione per le comunicazioni inviate dalla reclamante stessa;
• che nessun messaggio di risposta automatica è stato attivato per segnalare ai clienti la chiusura dell'indirizzo di posta. Queste informazioni sono state fornite si ai clienti, ma tramite messaggi di posta inviati direttamente da personale aziendale;
• le motivazioni per il quale l'azienda non ha immediatamente chiuso l'account hanno a che fare con il legittimo interesse a non perdere i contatti con i potenziali clienti individuati dalla reclamante, ma anche per tutelare l'interesse del titolare "dell'esercizio dei propri diritti in sede giudiziaria".

Emergeva però dall'istruttoria, come l'azienda, mossa dall'obiettivo di non perdere i contatti coi potenziali clienti, avesse: 

• visionato il contenuto dell'account di posta della reclamante;
• attivato un meccanismo di inoltro delle email ricevute verso l'account di posta del direttore commerciale dell'azienda;
• mantenuto l'account aperto per oltre un mese dalla cessazione del rapporto. I messaggi contenuti sono stati spostati poi sul servizio cloud Microsoft 365.

Per saperne di più > GDPR e email aziendale: il Garante sanziona un’azienda per aver inibito l’accesso all’account email ad una collaboratrice esterna

Il Garante opta per la sanzione amministrativa

Alla luce di quanto ricostruito, il Garante ha potuto individuare una serie di violazioni da parte dell'azienda soggetto del reclamo. Secondo il Garante, non legittimano un tale trattamento dei dati: 

• né l'esigenza di mantenere i rapporti con i clienti e potenziali;
• né l'interesse a difendere un proprio diritto in giudizio.

Per un adeguato bilanciamento degli interessi tra necessità aziendali e diritto alla riservatezza dell'interessato sarebbe bastata l'attivazione delle email di risposta automatiche, contenenti indirizzi alternativi da contattare. Questo avrebbe reso non necessaria la presa visione delle comunicazioni in entrata nell'account di posta elettronica del lavoratore.

Inoltre, non aver fornito immediato riscontro alle richieste della reclamante di chiusura della casella di posta né l'informativa sul trattamento dati prefigurano violazione del principio generale di correttezza. Nel provvedimento, tra le altre cose, il garante ricorda che le forme di corrispondenza (compresa la posta elettronica) godono di tutele costituzionali volte alla protezione "del nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali".

La sanzione comminata all'azienda è pari a 5.000 euro.
Il provvedimento completo è disponibile qui.