2023-03-23

Posta elettronica aziendale: il diritto di difesa in giudizio del datore di lavoro non può pregiudicare il diritto del lavoratore alla tutela dei dati personali

a cura dell’Avv. Enrico De Luca e l’Avv. Luca Cairoli

Con Ordinanza di ingiunzione dello scorso 11 gennaio 2023, il Garante per la Protezione dei dati Personali (il “Garante” o l’”Autorità”) ha comminato ad una società il pagamento di una sanzione amministrativa pari a euro 5.000 per aver mantenuto attivo l’account di posta elettronica di una collaboratrice e aver preso visione del contenuto dello stesso.

I fatti

Una società, nel corso di alcune trattative volte a definire l’acquisizione di una società cooperativa, concordava che una esponente di quest’ultima collaborasse, spendendo il nome della società acquirente, alla promozione di un fornitore comune in occasione di un evento fieristico.

Alla collaboratrice veniva quindi attivato un account di posta elettronica aziendale al fine di consentirle di relazionarsi con i potenziali clienti conosciuti in occasione dell’evento.

A distanza di qualche mese, le trattative tra le due società venivano interrotte e la reclamante richiedeva la disattivazione dell’account di posta elettronica assegnatole. La società, al fine di non perdere i contatti di potenziali nuovi clienti raccolti durante l’evento, manteneva attivo l’account e impostava un sistema di inoltro delle comunicazioni in entrata alla mail del direttore commerciale, disattivando l’indirizzo di posta della reclamante solamente trascorsi (circa) sei mesi dall’attivazione.

L’esito dell’istruttoria del Garante

Il Garante ha innanzitutto rilevato che la società non ha adempiuto all’obbligo di informare la reclamante circa il trattamento dei dati effettuato sul suo account di posta così come invece prescritto dall’articolo 13 del Regolamento (UE) 2016/679 (il “Regolamento“). Tale obbligo, ricorda l’Autorità, vige anche nell’ambito di eventuali trattative precontrattuali quale espressione dei principi di correttezza e trasparenza (cfr. art. 5, Regolamento).

Nel caso di specie, la società:

  1. ha effettuato un trattamento di dati personali in assenza di un criterio di legittimazione nella parte in cui ha (i) visionato, senza una idonea base giuridica, la corrispondenza ricevuta ed inviata sull’account durante la collaborazione con la reclamante e (ii) impostato, al termine della collaborazione, un sistema automatico di inoltro delle mail ad un diverso account aziendale;
  2. non ha realizzato un adeguato bilanciamento “degli interessi in gioco”: da un lato, infatti, si riconosce la necessità per la società di proseguire le proprie attività economiche e dall’altro il diritto alla riservatezza dell’interessato (alias la reclamante). Al riguardo, si legge nel provvedimento, “la finalità (legittima) di non perdere contatti utili per la propria attività commerciale, […], si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie”;
  3. non ha ottemperato all’obbligo di agevolare l’esercizio dei diritti dell’interessato nella parte in cui non ha fornito un idoneo riscontro all’istanza di cancellazione – c.d. «diritto all’oblio» – presentata più volte dalla reclamante.

◊◊◊◊◊◊

Ciò detto, il Garante ricorda che: “[…] il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non [può] comportare un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati […]”.

Con il provvedimento in oggetto viene, altresì, richiamato un consolidato orientamento dell’Autorità secondo cui un adeguato bilanciamento degli interessi come menzionati alla precedente lett. b) si realizza attivando un sistema di risposta automatico con il quale vengono forniti al mittente degli indirizzi alternativi attraverso cui contattare la società, titolare del trattamento, senza accedere alle comunicazioni in entrata, come invece fatto nel caso di specie in violazione, tra le altre, del principio di minimizzazione (cfr. art. 5 del Regolamento).

ti potrebbe interessare

2024-05-24

People first: l’approccio Eurofirms

Eurofirms Group è la principale società multinazionale spagnola di gestione dei talenti. Fin dalla nostra nascita, nel 1991, la nostra missione è stata quella di aiutare le persone a...

2024-05-24

Codere chiude il primo trimestre con ricavi pari a 313,8 milioni di euro

Codere, multinazionale leader nel settore dell'intrattenimento e dei giochi, ha annunciato oggi i risultati del primo trimestre del 2024. I ricavi del periodo sono stati pari a 313,8M€,...

2024-05-24

Barceló Hotel Group adquiere un nuevo hotel en Roma

La cadena hotelera tiene previsto invertir 60 millones en la compra y posterior reforma del hotel Midas, un emblemático hotel de eventos y congresos, ubicado en la capital italiana Con...

VUOI
SAPERNE
DI PIÙ?

Per ricevere più informazioni sul mondo
di Camera di Commercio di Spagna in Italia
compila il form e contattaci.


    Ho letto e accettato l’informativa privacy