Il Garante per la Protezione dei dati personali ha affermato che l’inibizione dell’accesso all’account di posta aziendale al collaboratore esterno (agente), attraverso la modifica della password, configura una violazione delle norme a tutela della privacy. Il datore di lavoro deve sempre informare i lavoratori in maniera esaustiva sul trattamento dei dati e rispettarne i diritti, le libertà fondamentali e la reputazione professionale, senza distinzione tra dipendenti e collaboratori esterni. (Comunicato 19 maggio 2022, n. 489). Il Garante per la privacy, intervenuto a seguito di un reclamo nei confronti di una società da parte di una collaboratrice esterna (agente) per l’inibizione dell’accesso all’account di posta aziendale, ha affermato il principio che il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale. Il collaboratore esterno ha gli stessi diritti del dipendente. Nella fattispecie, la società senza alcun preavviso né comunicazione successiva, aveva inibito alla collaboratrice l’accesso al suo account di posta aziendale, utilizzato per le relazioni commerciali; l’account però risultava ancora attivo.
La collaboratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.
L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si è rivolta al Garante.
A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, il Garante ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.
Numerose le violazioni contestate all’azienda:
– omesso riscontro alla richiesta di informazioni del Garante;
– inosservanza del principio di limitazione della conservazione dei dati;
– mancata documentazione del rilascio di un’idonea informativa;
– mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale.
In relazione alle violazioni riscontrate, alla società è stata comminata una sanzione di 50.000 euro, oltre alla diffida a consentire alla collaboratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi.
La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo.
Inoltre, la società dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.