Privacy del collaboratore esterno all'azienda
Multa da 50000 euro ad un’azienda per aver gestito "male" l’account di posta aziendale di un collaboratore esterno
Sul piano dei dati personali il collaboratore esterno va trattato come il dipendente e i suoi diritti e libertà fondamentali, come la riservatezza, vanno debitamente considerati e rispettati.
Ribadendo tali aspetti, il Garante per la protezione dei dati personali ha comminato ad un’azienda una sanzione pari a 50000 euro per aver gestito male l’account aziendale di posta elettronica di una collaboratrice esterna, in violazione delle norme sulla privacy.
I collaboratori esterni, ribadisce il Garante nel provvedimento sanzionatorio (del 7 aprile 2022 n. 9771545), al pari dei dipendenti, vanno debitamente informati sul trattamento dei loro dati personali e il datore di lavoro è tenuto a rispettarne i diritti e le libertà fondamentali, oltre che tutelarne il diritto alla riservatezza professionale, a nulla valendo il fatto che non sussista un rapporto di lavoro dipendente, ma una semplice collaborazione esterna.
Cosa era accaduto
L’azienda, senza alcuna comunicazione preventiva, aveva interdetto alla collaboratrice, l’accesso al suo account di posta aziendale, che la stessa, in virtù del rapporto di collaborazione con l’azienda, utilizzava per intrattenere ogni rapporto di natura commerciale e precontrattuale con fornitori e clienti; la collaboratrice continuava a ricevere, via computer e sullo smartphone, messaggi di posta che le chiedevano di inserire la nuova password, la quale era stata evidentemente modificata a sua insaputa da remoto per bloccare alla stessa l’accesso all’account di posta aziendale, che quindi risultava essere ancora attivo.
La collaboratrice, pertanto, si era rivolta all’azienda per chiedere che le venisse ripristinato l’accesso, al fine di recuperare i messaggi di posta, anche personali, contenuti in quella casella di posta aziendale.
A causa del silenzio dell’azienda, la collaboratrice aveva quindi formulato un reclamo al Garante della privacy, la quale autorità aveva avviato un’istruttoria sull’accaduto.
Dall’indagine sono emerse numerose violazioni a carico dell’azienda:
- il mancato riscontro alla richiesta di esercizio del diritto di accesso ai dati promossa dalla collaboratrice nella sua qualità di interessato al trattamento dei dati personali;
- la modifica della password ad insaputa della collaboratrice e conseguente impedimento alla stessa di accedere alla casella di posta;
- la violazione del principio della limitazione alla conservazione dei dati personali;
- l’assenza di idonea informativa sul trattamento dei dati personali (alla collaboratrice, infatti, era stato fatto sottoscrivere unicamente il contratto di collaborazione, senza alcuna informativa sul trattamento dei dati personali);
- la mancata disattivazione di un account non più in uso.
La società, nella sua memoria difensiva, evidenziava che l’account era stato mantenuto attivo in ragione del contenzioso in corso con la reclamante, nei confronti della quale era stata avviata un’azione giudiziaria per rivelazione di informazioni aziendali riservate e che, trattandosi di rapporto di agenzia, l’agente non sarebbe equiparabile al lavoratore subordinato (stante la connaturata autonomia organizzativa ed operativa).
Il Garante, tuttavia, ha precisato che il trattamento dei dati, effettuato mediante tecnologie informatiche, nell’ambito di un qualsivoglia rapporto di lavoro, deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).
In proposito, l’Autorità sottolinea altresì che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che permette al titolare del trattamento di venire a conoscenza di alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", cit., spec. punto 5.2, lett. b)).
Il Garante dunque, con orientamento costante, ha ritenuto necessario, ai fini della conformità ai principi in materia di protezione dei dati personali e in particolare al principio di limitazione della conservazione di cui all’articolo 5 par. 1, lett. e) del Regolamento n. 679/2016 (v. provv.ti 29 settembre 2021, cit.; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.), che, al termine del rapporto di lavoro, il titolare del trattamento è tenuto ad eliminare l’account di posta, disattivandolo e adottando sistemi automatici finalizzati a rendere nota ai terzi la disattivazione di quell’indirizzo e a fornire a questi indirizzi e-mail alternativi riferiti alla sua attività professionale.
Cosa avrebbe dovuto fare dunque l’azienda per evitare la sanzione
L’azienda, trattando i dati personali della collaboratrice, avrebbe innanzitutto dovuto fornire alla stessa una idonea informativa privacy, nella quale specificare anche le regole circa l’utilizzo dell’account di posta elettronica aziendale e di Internet, precisando che l’account di posta, al termine della collaborazione, sarebbe stato disattivato e, quindi, comunicando la necessità di procedere per tempo al recupero di eventuali messaggi personali.
Secondo poi, avrebbe dovuto rispondere tempestivamente alle richieste di accesso della collaboratrice, infatti, in quanto interessata al trattamento dei dati personali, la stessa aveva il diritto di recuperare dalla casella di posta aziendale a lei riferita, la propria corrispondenza.
La società avrebbe dovuto, inoltre, rendere inattivo l’account, informando di tale disattivazione clienti e fornitori e fornendo loro indirizzi email alternativi.
Infine, nel rispetto del principio di limitazione della conservazione, si ricorda che i dati estratti dalla casella di posta di un dipendente/collaboratore esterno che non ha più rapporti professionali con un’azienda, possono essere trattati esclusivamente per la difesa dei diritti in sede giudiziaria e unicamente per il tempo necessario a tal fine.