Sono molti gli adempimenti richiesti per una gestione a prova di GDPR degli account nominativi aziendali, tra cui rientrano le e-mail.
Difatti, vi sono una serie di criticità da non dimenticare. Anzitutto, il “nome e cognome”, ancorché accompagnati o seguiti dal dominio aziendale, sono a tutti gli effetti “dati personali” (ex art. 4 del GDPR): dunque, necessitano della tutela prevista dalla normativa europea e italiana. Un altro aspetto da considerare è quello delle mail contenute in una casella di posta nominativa che, se prive di una regolamentazione, sono da considerarsi corrispondenza privata del lavoratore. Difatti, come ha ricordato la Corte Europea dei Diritti dell’Uomo, “controllare la posta elettronica di un dipendente equivale ad una violazione del diritto ad avere una vita privata ed una propria corrispondenza; le e-mail di lavoro sono equiparate al domicilio e alla corrispondenza. L’accesso da parte del datore alle mail dei dipendenti è legittimo solo a condizione che questi ultimi siano stati preventivamente informati dell’esistenza di un controllo sulla corrispondenza aziendale, delle modalità e motivazioni di tale controllo” (Corte europea diritti dell’Uomo sez. Grande Chambre, 05/09/2017, n.61496).
Tale tema ha interessato l’Autorità Garante per la Privacy nazionale in diverse occasioni: già nel 2007, e dunque ben prima l’entrata in vigore del Regolamento, erano state pubblicate le Linee Guida per posta elettronica e internet.
Da ultimo, in data 7 aprile 2022, l’Autorità ha avuto modo di chiarire che le obbligazioni di cui alla normativa per la protezione dei personali cui il datore di lavoro deve tener conto quando apre una casella di posta elettronica per un dipendente si applicano anche al collaboratore esterno. Con “collaboratore esterno” deve, dunque, intendersi il lavoratore autonomo che collabora con l’imprenditore o con l’azienda (l’ultima riforma in materia è intervenuta con il c.d. Jobs Act – D.lgs 81/2015 – con il quale è stata ha abrogata la disciplina del contratto a progetto e quella delle collaborazioni a partita IVA di cui all’art. 69bis D.lgs 276/2003).
Ebbene, a seguito di un reclamo, l’Autorità ha sanzionato una società per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione del GDPR. Il Garante ha, difatti, rammentato: “il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale”.
La società, difatti, senza avvisare preventivamente la collaboratrice, le aveva inibito l’accesso all’account di lavoro senza disattivarlo: la lavoratrice continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa. La società, nonostante le richieste della lavoratrice di essere riammessa all’interno del sistema di posta elettronica interno – che, peraltro, conteneva sia comunicazioni di lavoro sia personali – non aveva risposto.
La valutazione dell’Autorità ha confermato che il fatto che la reclamante era una collaboratrice esterna, nello specifico un’agente, non rilevava ai fini della necessità di adempiere alla disciplina prevista dal Regolamento: “il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi”. Difatti, dall’attività istruttoria era emerso che la società non aveva rilasciato all’interessata alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account di posta elettronica aziendale, e che, dunque, non era stata informata della gestione dei propri dati sia in costanza di rapporto di collaborazione sia dopo la cessazione dello stesso e la conservazione dei dati presenti nella casella elettronica.
Oltre a ciò, il Garante ha constatato numerose violazioni, tra cui: inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.