Il trattamento illecito dei dati di due ex dipendenti è costato caro a un’azienda piacentina. In data 25 marzo 2022 due ex dipendenti di un centro riparazioni hanno presentato un reclamo lamentando violazioni del Regolamento (GDPR) ed in particolare del “prosecuzione dell’attività dei singoli account aziendali per diversi mesi oltre la cessazione del rapporto di lavoro, con contestuale accesso ai messaggi ivi ricevuti”. Inoltre, lamentavano l’impossibilità di esercitare il diritto di accesso al contenuto dei suddetti account a causa della cancellazione dei loro contenuti. Inoltre, secondo i denuncianti, la società non avrebbe fornito loro adeguate informazioni circa il trattamento dei dati relativi alla posta elettronica.
L’indagine ha accertato, infatti, che dopo la cessazione del rapporto di lavoro il Titolare ha mantenuto attive, per alcuni mesi, le caselle di posta elettronica individualizzate assegnate ai denuncianti; agli stessi conti ha avuto accesso, in quel periodo, il presidente del consiglio di amministrazione, legale rappresentante della Società,”al fine di garantire la continuità operativa della società, considerata la rilevanza delle comunicazioni sociali ricevute, tenuto anche conto del ruolo di vertice ricoperto dagli ex dipendenti”.
Al momento del rilascio del provvedimento del 7 marzo 2024, l’Autorità ha ribadito che lo scambio di corrispondenza elettronica su un conto aziendale individualizzato – estraneo o meno al lavoro – costituisce un’operazione che consente la conoscenza di alcune informazioni personali relative all’interessato. Affermare, però, che il legale rappresentante si sarebbe limitato a ricercare comunicazioni particolarmente importanti per la continuità aziendale – senza visionare le altre – non è sufficiente per rendere lecito il trattamento dei dati. La ricerca, infatti, delle comunicazioni ritenute rilevanti dalla Società è avvenuta sempre dopo aver avuto accesso a tutti i messaggi contenuti nelle caselle di posta. Al riguardo, il Garante precisa che anche i dati esterni delle comunicazioni stesse e dei file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 della Costituzione).
Sarebbe stato lecito, però, limitarsi a mantenere gli account assegnati ai denuncianti, attivando al contempo un messaggio di risposta automatica volto ad informare i terzi dell’imminente disattivazione degli account e la possibilità di contattare altri e diversi e -indirizzi di posta elettronica, e ciò solo per un tempo proporzionato alle esigenze di continuità dell’attività svolta dalla Società. Avrebbero dovuto essere adottate idonee misure anche per impedire l’accesso ai messaggi in arrivo e la loro visualizzazione nel periodo in cui era operativo tale sistema automatico (Indicazioni più volte ribadite dal Garante: V., tra gli altri, doc. web n. 9978536; doc web 8159221, punto 3.4).
L’Autorità ha, pertanto, irrogato una sanzione amministrativa al Titolare in quanto quest’ultimo ha mantenuto attive le caselle di posta elettronica aziendali individualizzate a seguito della cessazione del rapporto di lavoro, accedendo ai loro contenuti. L’operazione di trattamento illecito, tra l’altro, ha comportato una sanzione pecuniaria di ventimila euro, con facoltà di comporre la controversia pagando, entro i termini, una somma pari alla metà della stessa. [Provvedimento del 7 marzo 2024 [10009004], Registro dei provvedimenti n. 140 del 7 marzo 2024].
