Lo scambio di corrispondenza elettronica su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato: va disattivato
Nell’emettere il provvedimento d.d. 7 marzo 2024, l’Autorità ribadiva che lo scambio di corrispondenza elettronica su un account aziendale di tipo individualizzato − estranea o meno all’attività lavorativa − configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato. Affermare, invece, che il rappresentante legale si sarebbe limitato a ricercare comunicazioni particolarmente importanti per la continuità aziendale – non visualizzando le altre – non è sufficiente per rendere lecito il trattamento dei dati. La ricerca delle comunicazioni che la Società riteneva pertinenti avveniva pur sempre, infatti, successivamente all’accesso alla totalità dei messaggi contenuti nelle caselle di posta. In proposito, il Garante precisa che anche i dati esteriori delle comunicazioni stesse e i files allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).
Lecito sarebbe stato, invece, limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi dell’imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, e ciò solo per un tempo proporzionato alle esigenze di continuità dell’attività svolta dalla Società. Si sarebbero altresì dovute adottare misure idonee ad impedire l’accesso ai messaggi in arrivo e la visualizzazione degli stessi durante il periodo in cui tale sistema automatico fosse stato in funzione.
IL PASSO SALIENTE DEL PROVVEDIMENTO
[…] Violazione dell’art. 5 par. 1 lett. a), c), e), del Regolamento.
In base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni di questo Dipartimento, risulta accertato che la Società, dopo la cessazione del rapporto di lavoro con i reclamanti (nel reclamo, in proposito, è stato dichiarato che i reclamanti “hanno cessato ogni carica e ruolo all’interno dell’azienda in data 17.03.2021”; dall’allegato agli scritti difensivi dell’1/08/2023 contenente il modulo di recesso è risultato che le dimissioni sono state presentate rispettivamente in data 19/02/2021 con decorrenza dal 21/06/2021 e in data 12/03/2021 con decorrenza in data 16/07/2021), ha mantenuto attivi, fino al 16 novembre 2021, in base a quanto dalla stessa dichiarato, gli account di posta elettronica individualizzati assegnati ai reclamanti; ai medesimi account ha acceduto, in tale lasso di tempo, il presidente del consiglio di amministrazione, rappresentante legale della Società.
In proposito, in particolare, la Società ha dichiarato di avere mantenuto attivi i predetti account per recuperare reclami o richieste tecniche inviate dai clienti (v. nota 16/05/2023) e che “L’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti” (v. nota 1/08/2023, p. 3).
La Società, in tal modo, quindi, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro.
In proposito, infatti, la Società ha dichiarato di avere individuato, nel legale rappresentante della stessa, il “soggetto legittimato al recupero delle comunicazioni aziendali dagli indirizzi in questione” (v. nota 1.08.2023, p. 2).
A conferma dell’attività effettuata dalla Società sugli account oggetto di esame, la Società ha dichiarato che l’accesso alle caselle di posta è stato effettuato “con riferimento solamente alle e-mail provenienti dal Gruppo Iveco e relative ai rapporti aziendali, selezionate quindi in base al mittente e all’oggetto, mediante l’utilizzo di parole chiave” (v. nota 1/08/2023, p. 2, 3).
In proposito, si precisa che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. “Linee guida del Garante per posta elettronica e Internet”, in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b), e che il Garante ha già ritenuto conforme ai principi in materia di protezione dei dati personali (v. tra gli altri Provv.ti 1 dicembre 2023, n. 602, doc. web n. 9978536; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.) che dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
Non è invece sufficiente a fare venire meno l’illiceità del trattamento effettuato dalla Società, l’affermazione di quest’ultima secondo la quale (tra l’atro e in ogni caso, non supportata da evidenza alcuna) accedendo agli account, il rappresentante legale si sarebbe limitato a ricercare comunicazioni provenienti dal Gruppo Iveco e relative a rapporti aziendali.
La ricerca delle comunicazioni che la Società ha ritenuto pertinenti è pur sempre avvenuta, infatti, successivamente all’accesso alla totalità dei messaggi contenuti nelle caselle di posta.
Considerato che il legale rappresentante ha dichiarato di avere effettuato una ricerca dopo avere acceduto alla totalità delle e-mail, quantomeno, quindi, ai dati esteriori delle comunicazioni contenute negli account assegnati ai reclamanti, in proposito si precisa che anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).
La condotta tenuta dalla Società, in qualità di titolare del trattamento (v. art. 4 (7) del Regolamento), che è consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, si pone pertanto in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento.
In particolare, infatti, la Società ha acceduto, in qualità di titolare ai predetti account in assenza di alcuna condizione di liceità del trattamento: la finalità prospettata dalla Società di prosecuzione dell’attività della stessa si sarebbe potuta realizzare con modalità di trattamento conformi alla disciplina di protezione dei dati che, tra l’altro, sarebbero state meno invasive della sfera di riservatezza dei reclamanti.
Per tale ragione, il trattamento posto in essere viola anche il principio di minimizzazione poiché, tramite la descritta condotta, la Società non si è limitata a trattate dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati, nonché il principio di limitazione della conservazione considerato che solo in data 16 novembre 2021, tra l’altro, sollecitata dai reclamanti in data 3 novembre 2021, ha provveduto a cancellare gli account in questione; in tale occasione la Società ha in proposito dichiarato essersi trattato di un “disguido” che sarebbe “stato determinato esclusivamente da una dimenticanza dovuta alla grave situazione di carenza di personale” (v. all. 2 al reclamo). Sempre in tale occasione la Società ha dichiarato che “laddove fossero giunte comunicazioni di carattere personale, un nostro addetto è stato incaricato di cestinare con effetto immediato – senza verificarne il contenuto – ogni mail in tal senso”.[…]