GDPR ed Email aziendale: il collaboratore esterno ha gli stessi diritti di un dipendente. Per questo il Garante ha sanzionato un'azienda per aver inibito l'accesso email ad una collaboratrice senza alcuna comunicazione allo stessa.

Il reclamo della collaboratrice esterna 

La vicenda origina dal reclamo che, nel 2020, una collaboratrice esterna della società ha deciso di inviare al Garante. In questo, la reclamante spiegava: 

• che in corso di rapporto di lavoro si era trovata inibita dall'accesso al proprio account email aziendale senza preavviso né comunicazione successiva;
• che l'account aziendale era uno strumento aziendale che utilizzava dal 2018 per i rapporti commerciali e pre-contrattuali coi clienti delle azienda;
• come nell'account erano presenti "personali" che avrebbero potuto arrecare "grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa”. Infatti la reclamante ha sottolineato come diversi clienti si sono rivolti altrove non ricevendo più risposta;
• l'account era ancora attivo al momento del reclamo;
• la ricezione, più volte, di alert automatici del server di avviso modifica password da remoto;
• di aver avvisato la società committente e di aver richiesto il ripristino dell'accesso all'account aziendale, necessario per proseguire l'attività lavorativa;
• di non aver mai ricevuto riscontro alle PEC inviate alla società.

 La collaboratrice sottolineava come questo atteggiamento da parte della società configurasse

 "un grave abuso, che si riservava di far valere anche in sede giudiziale, ma “in primo luogo perpetra (va) una grave lesione del suo diritto alla riservatezza e del diritto costituzionalmente garantito alla segretezza della propria corrispondenza”.

Il Garante privacy si attiva e contatta l'azienda 

Nel 2021 l'Ufficio del Garante privacy ha inviato una email PEC alla società in questione chiedendo di fornire informazioni utili a riguardo del reclamo presentato dalla collaboratrice esterna. Informazioni necessarie a verificare il rispetto del GDPR nella gestione del suddetto account email aziendale. Come già avvenuto in altri casi, il Garante privacy non riceve alcun riscontro né tramite ulteriori invii email né contattando i riferimenti telefonici presenti sul sito web dell'azienda. L'ultima comunicazione inviata dal Garante privacy, sollecitando l'azienda a fornire le informazioni richieste, è del 22 Aprile del 2021 ma rimane comunque ignorata. 

Vista l'assenza di risposte, il Garante privacy ha aperto il provvedimento verso la società, attivando il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza per notificare sia l'apertura del provvedimento sia la precedente richiesta di informazioni.

I riscontri dell'istruttoria del Garante e delle verifiche della Guardia di Finanza: la gestione dell'account email aziendale viola il GDPR 

Il verbale redatto dalla Guardia di Finanza confermava sia il mancato riscontro alle comunicazioni del Garante sia la fondatezza del reclamo della collaboratrice esterna. Si prefiguravano gli estremi per violazione, nella gestione dell'account email aziendale, non solo del GDPR ma anche della Convenzione europea dei diritti dell'uomo. Si trova anche la conferma del fatto che la società aveva inviato alla reclamante più email PEC contestandole una serie di inadempienze contrattuali, fino alla comunicazione della cessazione del rapporto di lavoro a partire dal 26 agosto 2020. Nella comunicazione di cessazione del rapporto, non c'era però alcun riferimento alla sospensione dell'utilizzo dell'account email aziendale.

 La società confermava alla Guardia di Finanza la disponibilità, con metodi e tempistiche da concordare:

 “l’accesso e l’interrogazione della casella elettronica al fine di individuare dati personali che la riguardano”.

 Finalmente la società dava riscontro alle richieste del Garante confermando che:

 "In relazione alla l’informativa ed al disciplinare relativo all’interessatavi informiamo che non ci risulta firmata, probabilmente per mera distrazione e tenuto conto che il contratto di agenzia fu negoziato e sottoscritto a distanza. Il nostro standard aziendale è quello di presentare e far sottoscrivere, alla firma del contratto sia per un dipendente che per consulenti esterni o terze figure, l’informativa sulla privacy e l’informativa riguardante l’uso di apparecchiature e mezzi aziendali.”

La reclamante però sottolineava come tali documenti non le sarebbero mai stati forniti dall'azienda e che l'unico documento da firmare che le era stato presentato è stato il solo contratto di lavoro. Tra l'altro la scadenza del contratto di lavoro era fissata in data 31 Agosto 2023.

La società invia una memoria difensiva

Preso atto della mancata presentazione dell'informativa privacy, problema aggiuntivo all'inibizione dell'accesso all'account email, il Garante optava per ulteriore procedimento sanzionatorio e correttivo. La memoria difensiva presentata dalla società confermava infatti di: 

• non poter provare di aver sottoposto l'informativa privacy e il disciplinare alla collaboratrice per la firma;
• l'inibizione, dal 23 Giugno 2020, dell'accesso all'email aziendale adducendo come motivazione l'indebita rivelazione di informazioni aziendali riservate;
• aver già contestato la condotta della collaboratrice in due precedenti comunicazioni, fino alla risoluzione del contratto per giusta causa;
• aver mantenuto attivo l'account per esigenze aziendali e in ragione del contenzioso in corso;
• che la casella di posta in oggetto era titolarità esclusiva del datore di lavoro;
• che un collaboratore esterno non è equiparabile ad un lavoratore subordinato, data l'autonomia organizzativa e operativa.

GDPR ed email aziendale: il Garante privacy opta per la sanzione 

Il Garante prende atto quindi che le violazioni contestate nei due procedimenti avviati trovano conferma. Se l'inibizione all'uso dell'account aziendale è ritenuto meno grave, rispetto alla violazione in oggetto della seconda contestazione invece

 " si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore".

Quindi il Garante trova applicabile l'art.8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata. Su questo punto il Garante rigetta quindi la non equiparabilità del dipendente interno e del collaboratore esterno. Il rispetto dei diritti e delle libertà fondamentali nel trattamento dati tramite strumenti informatici si applica a qualsiasi tipologia di rapporto lavorativo.

 Visti quindi: 

• l'omessa risposta alle richieste del Garante;
• l'inosservanza del principio di limitazione della conservazione dei dati;
• il mancato rilascio di idonea informativa;
• l'omessa risposta all'interessata;
• l'inibizione del dell'accesso all'email aziendale

Il Garante ha sanzionato la società per un ammontare di 50.000 euro, per violazione del GDPR e della Convenzione europea sui diritti dell'uomo nella gestione dell'email aziendale. Inoltre la società dovrà dare l'accesso all'email aziendale per consentire alla reclamante di recuperare la propria corrispondenza, per poi procedere a disattivare l'account. Al momento della disattivazione, la società dovrà darne comunicazione ai fornitori e fornire indirizzi alternativi di contatto. Il Garante notifica anche il divieto di trattamento dei dati presenti nell'account email.

 Il provvedimento completo è disponibile qui.