Privacy: sanzionata l’azienda per accesso illecito alle e-mail del collaboratore

La questione in esame origina da un reclamo presentato da un ex collaboratore di una società, il quale denunciava una presunta violazione della normativa sulla protezione dei dati personali. Il reclamante aveva intrattenuto un rapporto di collaborazione come agente di commercio e, al termine di tale rapporto, sosteneva che la società aveva mantenuto attivo l’account di posta elettronica aziendale a lui assegnato durante il periodo lavorativo.

In risposta al reclamo, l’Autorità Garante ha avviato un’indagine e ha richiesto alla società di fornire informazioni e chiarimenti riguardo ai fatti denunciati. Nell’adempimento delle richieste dell’Autorità, la società ha confermato di eseguire regolarmente backup automatici delle caselle di posta elettronica aziendali mediante un software dedicato, ma di non aver mai effettuato accessi diretti all’account di posta elettronica del reclamante durante il rapporto di lavoro. Tali backup, secondo la società, venivano effettuati senza alcun intervento manuale da parte del personale e conservati per un periodo di tempo determinato, anche successivamente alla cessazione del rapporto lavorativo. 

La società ha dichiarato, inoltre, di aver avviato un’azione legale contro il reclamante sulla base di sospetti circa determinati comportamenti illeciti del collaboratore come la sottrazione di segreti aziendali. Nel contesto dell’indagine veniva acquisita una copia forense del backup dell’account di posta elettronica del reclamante, allo scopo di verificare eventuali condotte illecite legate all’esfiltrazione di dati aziendali.

Invero, secondo le memorie difensive presentate dalla società, il reclamante non ha mai avuto un rapporto di lavoro subordinato con l’azienda, bensì ha operato come agente di commercio in virtù di un contratto di agenzia, regolato dagli articoli 1742 e seguenti del Codice civile. Tale distinzione, secondo la società, risulta fondamentale per inquadrare correttamente la vicenda, poiché l’intero impianto accusatorio sarebbe stato erroneamente fondato su norme che si applicano ai lavoratori subordinati, come l’art. 114 del Codice privacy, richiamante l’art. 4 dello Statuto dei Lavoratori (l. 300/1970).

La società ha inoltre precisato che l’agente non faceva parte dell’organizzazione aziendale e operava in completa autonomia, senza avere accesso a strutture interne o a dispositivi aziendali, come un ufficio o un personal computer fornito dall’azienda. La casella di posta elettronica messa a disposizione del collaboratore doveva essere, quindi, utilizzata esclusivamente per fini professionali legati alla sua attività di agente di commercio. Ogni utilizzo della casella di posta elettronica per fini personali era quindi ritenuto inappropriato, e la scoperta di corrispondenza personale nell’account aziendale del reclamante, successiva alla cessazione del rapporto, avrebbe ulteriormente confermato tale condotta illecita da parte del collaboratore.  La società ha poi illustrato come la procedura di backup delle caselle di posta elettronica aziendale fosse obbligatoria come misura tecnica di sicurezza in ottemperanza a quanto previsto dal combinato disposto di cui gli artt. 5 e 32 del GDPR.  Tale procedura, eseguita automaticamente e senza intervento del personale, era stata implementata per garantire la protezione dei dati personali da attacchi informatici o perdite accidentali, e il periodo massimo di conservazione dei backup era stato fissato a tre anni.

L’accertamento del Garante

All’esito dell’analisi delle dichiarazioni e della documentazione raccolta nel corso del procedimento, il Garante ha accertato che la Società, in qualità di titolare del trattamento, ha condotto operazioni non conformi alla normativa vigente in materia di protezione dei dati personali. La violazione principale riguarda l’utilizzo del software per il backup automatico e sistematico delle caselle di posta elettronica di dipendenti e collaboratori. Sebbene la Società abbia giustificato l’uso di tale software con la necessità di garantire la sicurezza dei sistemi informatici, l’Autorità ha riscontrato che il trattamento andava ben oltre tale finalità. Il software consentiva di conservare le comunicazioni elettroniche per un periodo di tre anni anche dopo la cessazione del rapporto lavorativo o di collaborazione, senza che la Società avesse fornito giustificazioni adeguate e proporzionate rispetto a tale estesa durata. Non solo, ma l’informativa fornita dalla Società ai collaboratori e dipendenti che risultava generica e carente di elementi fondamentali, la stessa, infatti, non specificava in modo chiaro le modalità di conservazione delle e-mail né i tempi di retention dei dati, non chiariva le modalità di accesso alle caselle di posta elettronica aziendali da parte della Società e non indicava specifiche ragioni per cui tale accesso potesse avvenire, se non in modo molto generico per finalità di “continuità lavorativa”.

La distinzione tra dipendenti e collaboratori esterni

Uno degli aspetti centrali del procedimento riguarda la distinzione tra dipendenti e collaboratori esterni, sollevata dalla Società quale argomento difensivo. La Società ha affermato che il reclamante non rivestisse la qualifica di dipendente, bensì quella di agente di commercio operante in regime di collaborazione autonoma. Tuttavia, il Garante ha chiarito che, a prescindere dalla qualificazione formale del rapporto giuridico intercorso tra le parti, la Società, nella sua veste di titolare del trattamento, è tenuta a rispettare le medesime norme in materia di protezione dei dati personali per tutti i soggetti che intrattengono rapporti con essa, siano essi dipendenti o collaboratori autonomi. Nel caso di specie, il trattamento dei dati personali, tra cui l’accesso alle caselle di posta elettronica aziendale e la conservazione delle comunicazioni, deve essere esaminato alla luce dei principi sanciti dal GDPR. In particolare, l’art. 5 del Regolamento impone l’adozione di misure proporzionate, adeguate e giustificate in base alle finalità del trattamento, senza distinzione tra le categorie di soggetti interessati.

Inoltre, il Garante ha rilevato che l’uso del software implementato dalla Società per effettuare il backup delle caselle di posta elettronica e per monitorare le attività sui sistemi aziendali, rappresentava uno strumento idoneo a realizzare una forma di controllo sull’attività lavorativa.

Alla luce delle violazioni riscontrate, il Garante vietato l’ulteriore trattamento dei dati raccolti tramite il software e ha inflitto una sanzione amministrativa pecuniaria di 80.000 euro, determinata tenendo conto della gravità delle violazioni, del numero di soggetti coinvolti e delle condizioni economiche della Società.