Il 10 febbraio 2022 l’Autorità Garante per la protezione dei dati personali ha emesso un provvedimento che dichiara illecito l’utilizzo di dati personali contenuti nel computer di un ex dipendente in assenza di un regolamento interno sul trattamento degli strumenti informatici, confermando di fatto il suo precedente orientamento sul punto.

Con reclamo presentato all’Autorità il 2 dicembre 2018, l’interessato aveva denunciato un trattamento illecito dei propri dati personali ad opera della società in cui aveva precedentemente prestato la propria attività lavorativa nel ruolo di Amministratore Delegato e dirigente.

A seguito del licenziamento, avvenuto ad ottobre del 2018, la società resistente si era avvalsa di un consulente specializzato in “Digital Forensics and incident response” per effettuare una perizia sui dati contenuti nel PC del reclamante, in particolare nell’account di posta elettronica aziendale. Tale trattamento era avvenuto all’oscuro dell’interessato; infatti, nel periodo in cui era stato effettuato il controllo sui dati presenti nel computer aziendale, la società non aveva adottato alcun documento, in versione definitiva e resa nota ai dipendenti, che regolamentasse i possibili controlli del datore di lavoro sui dispositivi forniti per lo svolgimento dell’attività lavorativa.

Nelle memorie difensive la società aveva precisato che la predisposizione del regolamento aziendale, concernente la regolamentazione dell’utilizzo dell’account di posta aziendale e la nomina dell’amministratore di sistema autorizzato a visionare i messaggi in entrata negli account aziendali, sarebbe spettata al reclamante. In merito a tale argomentazione, il Garante ha stabilito che, nonostante tali compiti spettassero al reclamante alla luce delle mansioni svolte, la responsabilità derivante da inadempimento di obblighi di legge ricade sulla società in quanto titolare del trattamento dei dati personali.

Il Garante ha rilevato preliminarmente che, in applicazione dell’art. 8 della Convenzione europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo senza distinzione tra sfera privata e sfera professionale; pertanto il trattamento dei dati effettuato mediante tecnologie informatiche deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato a tutela dei lavoratori.

L’Autorità ha poi sottolineato che grava sul titolare del trattamento, di regola il datore, l’obbligo di adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 del GDPR, ovvero le informazioni relative alle caratteristiche essenziali del trattamento raccolte presso l’interessato o soggetti terzi (dati di contatto del titolare, del responsabile, finalità e base giuridica del trattamento, legittimi interessi perseguiti dal titolare, destinatari dei dati, eventuali trasferimenti verso paesi terzi). L’obbligo di informare l’interessato è espressione del principio generale di correttezza dei trattamenti sancito dall’articolo 5 par. 1 lett. a) del GDPR.

Il Garante ha quindi ritenuto che il trattamento dei dati personali effettuato dalla società risulti illecito in relazione agli artt. 5, par. 1, lett. a) (principio di correttezza), 12 e 13 (informativa all’interessato) del GDPR.

Per la violazione delle predette disposizioni è stata applicata la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del GDPR. Tenuto conto della violazione di principi generali del trattamento, della condotta della Società, dell’assenza di precedenti specifici e considerati i principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, in primo luogo le condizioni economiche della società, è stata applicata la sanzione amministrativa del pagamento di una somma pari ad euro 10.000.

Il Garante ha quindi ribadito la necessità per i datori di lavoro di predisporre un’adeguata informativa privacy e un regolamento interno sull’utilizzo dei sistemi informatici contenente un espresso riferimento alla possibilità di accedere all’account e ai servizi di posta elettronica in conformità ai requisiti stabiliti dal GDPR. In particolare, per il principio di minimizzazione del trattamento imposto dall’articolo 5 del GDPR, tale accesso è consentito solo nel caso in cui il datore abbia motivo di ritenere che sussistano condotte illecite e non per verificare lo svolgimento della prestazione lavorativa o il rendimento del dipendente.

CLICCA QUI per il provvedimento dell’Autorità Garante per la protezione dei dati personali