Con provvedimento 472 del 17 luglio 2024 (clicca qui per maggiori informazioni), il Garante per la protezione dei dati personali ha recentemente sanzionato un’azienda trentina, operante nel settore del commercio di materiale elettrico all’ingrosso e al dettaglio, per violazioni relative al trattamento dei dati personali dei dipendenti e collaboratori, con particolare riferimento alla gestione della posta elettronica aziendale.
Le violazioni riscontrate
Il caso è emerso a seguito del reclamo, esposto al Garante, di un ex agente di commercio che ha scoperto come l’azienda avesse mantenuto e analizzato il contenuto della sua casella email aziendale dopo la cessazione del rapporto di collaborazione e utilizzato queste informazioni per giustificare un procedimento contro il reclamante, accusato di concorrenza sleale e sottrazione di dati segreti.
Il Garante ha quindi identificato diverse criticità riguardanti:
- Informativa sul trattamento dati inadeguata. L’azienda non ha correttamente informato dipendenti e collaboratori sul fatto che le caselle di posta elettronica fossero sottoposte a backup, sui tempi di conservazione dei dati (pari a tre anni successivi alla conclusione del rapporto) e sulle modalità e finalità dei controlli effettuati.
- Violazione dei principi di minimizzazione e limitazione della conservazione. L’azienda ha conservato in maniera sistematica e prolungata tutte le e-mail aziendali, per un periodo di tempo ingiustificatamente lungo (tre anni) dopo la cessazione del rapporto di lavoro, oltre ad aver mantenuto per sei mesi i log in di accesso della posta elettronica e del gestionale aziendale. Queste tempistiche sono state giudicate eccessive e non giustificate rispetto alle finalità del trattamento.
- Possibilità di controllo a distanza dei lavoratori: mediante l’utilizzo di un software ad hoc per il monitoraggio dell’attività della posta elettronica, oltre ad aver acceduto in modo illegittimo ai contenuti della casella di posta elettronica senza aver attivato, peraltro, le procedure di garanzia di cui all’art. 4 dello Statuto dei lavoratori.
Le indicazioni operative del Garante
Il provvedimento fornisce importanti indicazioni per le aziende:
- La posta elettronica non può essere utilizzata come sistema di gestione documentale (pratica di fatto estremamente diffusa tra le imprese di qualsiasi livello dimensionale).
- I controlli devono essere conformi ai principi di liceità, proporzionalità e gradualità.
- L’accesso ai contenuti delle email per tutela giudiziale deve riferirsi a contenziosi in atto o situazioni precontenziose concrete, non a generiche ipotesi di tutela. I lavoratori devono sempre essere informati di questa finalità.
Le sanzioni
Oltre alla sanzione pecuniaria di 80.000 Euro, il Garante ha disposto il divieto di utilizzare ulteriormente il software impiegato per effettuare i controlli illeciti, la pubblicazione sul sito del Garante del provvedimento (con conseguente danno di immagine e reputazione per l’azienda) e l’obbligo di comunicare entro 90 giorni le azioni poste in essere per rimediare alle violazioni riscontrate.
Considerazioni conclusive
Il caso evidenzia l’importanza di:
- predisporre informative complete e trasparenti;
- definire tempi di conservazione proporzionati e giustificati;
- rispettare le procedure autorizzative per i controlli;
- utilizzare strumenti di monitoraggio solo per finalità legittime e dichiarate.
Il provvedimento conferma il costante orientamento dell’Autorità in materia di gestione della posta elettronica.
Il Garante si è già espresso sull’argomento, anche tramite provvedimenti sanzionatori. Abbiamo riportato sul nostro sito alcune notizie che invitiamo a recuperare su:
- trattamento dei metadati delle e-mail;
- corretta gestione della posta elettronica degli ex-dipendenti;
- sanzioni per uso illecito della posta elettronica.
Alla luce di questo e altri provvedimenti in materia, invitiamo le aziende a verificare le proprie prassi operative nella gestione della posta elettronica insieme al proprio consulente informatico, fornitore dei servizi di posta elettronica, e a consultare il consulente privacy per verificare la propria situazione.
L’Ufficio Privacy di CNA Reggio Emilia rimane a disposizione per qualsiasi informazione e chiarimento in merito, per fornire tutto il supporto necessario ai propri clienti e associati.
Vi invitiamo a contattarci all’indirizzo e-mail: gdpr@cnare.it o telefonicamente ai numeri: 0522 356340 o 0522 356341.
