Registro dei provvedimenti
n. 216 del 4 dicembre 2019
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento (UE) 2016/679 in data 31 ottobre 2018, regolarizzato il 5 febbraio 2019, da XX, rappresentato e difeso dall’avvocato XX, nei confronti di Imper Italia S.r.l. (di seguito, “la società”), con il quale sono state lamentate presunte violazioni del Regolamento con riferimento alla persistente attivazione dell’account di posta elettronica aziendale dopo l’interruzione del rapporto di lavoro con la società avvenuta in data 10 settembre 2016;
VISTO, in particolare, che il reclamante ha lamentato di aver appreso che l’account di posta elettronica di tipo individualizzato (XX@XX.it) era stato mantenuto attivo, solo in occasione del deposito in un giudizio incardinato davanti al Tribunale di Ivrea – sezione lavoro (RG n. 919/2017) a seguito di reclamo proposto dall’ex datore di lavoro, di una email datata 12 settembre 2017 indirizzata al suddetto account di posta elettronica;
CONSIDERATO che il reclamante ha altresì lamentato di non aver ricevuto alcuna informativa relativa alla possibilità per il datore di lavoro di accedere ai messaggi pervenuti sull’indirizzo di posta elettronica aziendale successivamente alla cessazione del rapporto di lavoro;
VISTO che il reclamante ha rappresentato di aver inviato alla società, in data 24 aprile 2018, formale diffida affinché l’account venisse disattivato e, nel contempo, si provvedesse a trasmettere copia di tutte le comunicazioni pervenute sulla menzionata casella di posta elettronica “a far data dal 10.9.2016 e sino al momento della disattivazione”;
VISTO che in risposta all’interpello presentato dal reclamante, la società ha inviato una nota (del 15.5.2018) con la quale ha rappresentato che:
- la mancata disattivazione dell’account e contestuale inoltro delle email in arrivo sull’account del responsabile della funzione di Information Technology è stata disposta sia perché il reclamante non aveva provveduto ad inviare ai clienti della società una comunicazione con i nuovi riferimenti aziendali sia perché “il ricevimento delle email indirizzate [al reclamante] era indispensabile alla corretta gestione dei rapporti commerciali della società”;
- la società aveva “aperto e letto solo le mail provenienti dalla propria clientela, non anche mail personali”;
- la disattivazione dell’account sarebbe stata disposta solo nel momento in cui il reclamante avesse comunicato “a tutti i clienti […] con cui era in contatto” che le comunicazioni alla società dovevano essere inviate a diverso account riferito all’azienda;
- si provvedeva ad allegare copia delle comunicazioni ricevute sull’account riferito al reclamante;
VISTA la nota del 3 aprile 2019 con la quale l’Autorità ha invitato la società a fornire riscontro sui fatti oggetto di reclamo;
VISTA la nota di riscontro del 13 maggio 2019 con la quale la società ha dichiarato che:
- il reclamante era consapevole che in base alla “prassi aziendale” il suo indirizzo di posta elettronica “sarebbe stato girato – alla cessazione del rapporto di lavoro − […] al responsabile dell’Information Technology” (v. nota 13.5.2019 cit., p. 2);
- il reclamante era pertanto “a conoscenza del fatto che il datore di lavoro (dopo la cessazione del rapporto di lavoro) avrebbe controllato la corrispondenza commerciale a lui diretta” (v. nota cit., p. 2);
- come già reso noto al reclamante con la nota inviatagli il 15 maggio 2018, la società non “ha aperto e letto mail personali inviate al [reclamante]” sull’account aziendale;
- la società ha aperto “una e-mail proveniente da un cliente [della società medesima] e con stupore si è accertato che [il reclamante] proponeva prodotti […] in diretta concorrenza con [la società]” (v. nota cit., p. 3);
- il menzionato account aziendale allo stato non è più attivo “in quanto, in data 3/5/2018, lo stesso è stato comunque chiuso come da comunicazione del gestore della posta elettronica aziendale” (v. nota cit., p. 2);
VISTO che il 9 settembre 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate; visto altresì che con nota del 9 ottobre 2019 la società, rappresentata e difesa dall’avvocato XX, ha rappresentato che:
- “il reclamante […] era a conoscenza del fatto che una volta cessato il rapporto di lavoro il suo indirizzo sarebbe stato girato al responsabile dell’Information Technology”;
- “non vi è stata violazione del principio di correttezza in quanto [la società] ha avuto accesso alle sole email aziendali, non anche a quelle di contenuto privato”;
- “la giurisprudenza (Cass. Civile n. 26682/2017) ed anche la Corte Europea dei diritti dell’Uomo (CEDU causa 61496/18) ritiene legittimo il diritto del datore di lavoro di controllare la mail del lavoratore (addirittura in costanza del rapporto di lavoro) sulla sola mail aziendale […] con l’unico limite che la corrispondenza sia resa nell’ambito del rapporto di lavoro”;
- con riferimento alla sussistenza delle condizioni per infliggere sanzioni amministrative pecuniarie (ai sensi dell’art. 83, par. 2, del Regolamento) si è rilevato che “non vi è stato certamente comportamento doloso o colposo, in quanto l’azienda ha agito nella consapevolezza di porre in essere attività legittima”, che la società ha “cessato – non appena ricevuta la comunicazione del lavoratore – la casella di posta elettronica” né in passato ha commesso o le sono state contestate violazioni della stessa natura; infine la società “ha cooperato in tutto e per tutto con l’autorità di controllo ed ha posto rimedio […] alla violazione”; “i dati trattati erano […] inerenti all’attività commerciale e non dati privati del ricorrente”;
VISTO, infine, che in sede di audizione richiesta dalla società e tenutasi l’11 novembre 2019, il legale delegato dalla società ha dichiarato che “i fatti oggetto del reclamo […] sono antecedenti all’entrata in vigore del Regolamento UE 679/2016” e, di conseguenza, l’informativa circa la prassi adottata dalla società in materia di posta elettronica aziendale “veniva resa oralmente ai propri dipendenti”; inoltre, a scioglimento della riserva effettuata in sede di audizione, la società ha prodotto la documentazione relativa al ricorso presentato davanti all’autorità giudiziaria nei confronti del reclamante, rappresentando che la data di presentazione, 29 giugno 2017, è antecedente al rinvenimento della email successivamente prodotta nel medesimo giudizio in data 6.12.2017; la società ha altresì prodotto documentazione relativa alla adozione di una nuova procedura relativa alla gestione delle email aziendali, anche successivamente alla cessazione del rapporto di lavoro, fornendo in particolare copia del “Disciplinare tecnico per l’utilizzo dei sistemi informatici aziendali e istruzioni operative agli incaricati del trattamento dei dati”, datato 1 giugno 2019 e consegnato in copia a tutti i dipendenti nel luglio 2019, con il quale si prevede, tra l’altro, che “in caso di cessazione del rapporto di lavoro, la società provvede a chiudere l’indirizzo e-mail aziendale del lavoratore”, inviando contestualmente un avviso ai mittenti recante, tra l’altro, l’indicazione di un diverso account aziendale riferito alla società (v. nota della società 15 novembre 2019, All. A, B, C, D, E, F e H);
RILEVATO che, in base alle risultanze dell’attività istruttoria, è emerso che la società, dopo la cessazione del rapporto di lavoro con il reclamante avvenuta il 10 settembre 2016, ha mantenuto attivo l’account di posta elettronica individualizzato assegnato al dipendente, al dichiarato fine di non perdere contatti utili con i clienti che avessero voluto mantenere rapporti commerciali con la società; alcune informazioni in tal modo raccolte sono state utilizzate nell’ambito di un procedimento avviato successivamente all’inizio della raccolta dei dati (con ricorso del 29.6.2017, notificato all’ex dipendente l’11.7.2017) in sede giurisdizionale nei confronti del reclamante − in particolare mediante deposito in giudizio di una email pervenuta sull’account il 12 settembre 2017 − per l’ulteriore e sopravvenuta finalità di difesa di propri diritti;
RILEVATO pertanto che l’account aziendale è rimasto attivo per un periodo di tempo significativo (pari a circa un anno e sette mesi, durante il quale la società ha acceduto alle comunicazioni ivi pervenute), fino alla cancellazione effettuata dalla società (il 3 maggio 2018) a seguito della diffida presentata dal reclamante;
RILEVATO altresì che, in relazione a tale modalità di trattamento dei dati relativi all’ex dipendente, si prende atto che la società ha dichiarato di aver previamente comunicato “verbalmente” al reclamante il trattamento connesso al suo indirizzo di posta elettronica, e che ciò non costituisce elemento idoneo a documentare l’avvenuto adempimento da parte della società dell’obbligo informativo che l’ordinamento pone in capo al titolare del trattamento;
RITENUTO che il titolare è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro, ciò anche in applicazione del principio di correttezza (v. artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, criteri peraltro confluiti negli artt. 5, par. 1, lett. a) e 13 del Regolamento);
RITENUTO che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42);
RILEVATO che lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account di tipo individualizzato con soggetti interni o esterni alla compagine aziendale configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, anche relativamente ai dati c.d. esterni delle comunicazioni (data, ora, oggetto, nominativi di mittenti e destinatari) (v. Provv. 27.11.2014, n. 551, doc. web n. 3718714);
VISTO, a tale ultimo proposito, che l’elenco delle comunicazioni ricevute sull’account aziendale riferito al reclamante dopo la cessazione del rapporto di lavoro contiene anche messaggi che, in base a quanto si evince dall’indicazione del mittente e dell’oggetto, non sono riferibili all’attività professionale dell’ex dipendente (ad es. inviti ricevuti sul social LinkedIn, inviti ad iniziative culturali, pubblicità di un istituto bancario alla clientela: v. reclamo 31.10.2018, All. 10);
RILEVATO altresì che nel provvedimento contenente le "Linee guida del Garante per posta elettronica e Internet" (adottato dall´Autorità il 1° marzo 2007 e pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007), il Garante ha ritenuto che "il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati- riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali" (punto 5.2 lett. b) e che ciò, trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati), possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione; rilevato che tali esigenze di tutela devono essere tenute in considerazione anche nell´ipotesi in cui venga a cessare il rapporto di lavoro tra le parti;
RITENUTO, in particolare, che il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro debba rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure), previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione; l’adozione di tali misure tecnologiche ed organizzative consente di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi (v., da ultimo, provv.to 1° febbraio 2018, n. 53, in www.garanteprivacy.it, doc. web n. 8159221. Si veda anche il provv. 5 marzo 2015, n. 136, doc. web n. 3985524 e il citato provv. 27 novembre 2014, n. 551; nello stesso senso v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. par. 14.5);
RITENUTO che non risulta conforme ai suesposti principi la prassi già adottata dalla società, consistente nel reindirizzare automaticamente - per un periodo di tempo anche assai ampio - i messaggi pervenuti sull’account dell’ex dipendente su un diverso account aziendale, tenuto conto peraltro che il ricorso della società nei confronti del reclamante davanti all’autorità giudiziaria ordinaria (in relazione a ritenute condotte illecite effettuate in violazione del patto di non concorrenza) è stato presentato in data successiva al reindirizzo dell’account; tale trattamento è pertanto avvenuto in violazione dei principi di liceità, necessità e proporzionalità (v. art. 11, comma 1, lett. d) del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, criterio peraltro confluito nell’art. 5, par. 1, lett. c) del Regolamento);
PRESO ATTO, con riguardo alla richiesta del reclamante di “imporre il divieto del trattamento illegittimo” consistente nella persistente attività dell’account a lui riferito, che la società ha affermato – con dichiarazione della quale può essere chiamata a rispondere ai sensi dell’art. 168 del Codice, “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” – di aver disposto la disattivazione dell’account a far data dal 3 maggio 2018 (dunque prima della proposizione del reclamo al Garante, sebbene in sede di riscontro all’interpello presentato il 24.4.2018, la società abbia dichiarato al reclamante che avrebbe provveduto alla disattivazione solo dopo che quest’ultimo avesse comunicato ai clienti della società gli estremi del nuovo account per contattare la società; v. nota 15.5.2018, All. 10, reclamo 5.2.2019 cit.);
RITENUTO pertanto che, relativamente a tale istanza, non vi siano i presupposti per l’adozione di misure correttive da parte dell’Autorità;
VISTO che, in base a quanto dichiarato all’Autorità, la società allo stato ha adottato un regolamento interno in base al quale subito dopo la cessazione del rapporto di lavoro l’account aziendale è disattivato con contestuale adozione di un messaggio automatico volto ad informarne i terzi e a indicare un account alternativo per contattare la società;
PRESO ATTO, con riguardo all’istanza di accesso alle comunicazioni pervenute sull’account di posta elettronica aziendale riferito al reclamante − formulata con il menzionato interpello del 24 aprile 2018 −, che la società ha inviato al reclamante un sufficiente riscontro in allegato alla nota del 15 maggio 2018;
RITENUTO pertanto che, anche relativamente a tale istanza, considerata pure l’assenza di controdeduzioni del reclamante sul punto, non vi siano i presupposti per l’adozione di provvedimenti da parte dell’Autorità;
RITENUTO che il reclamo sia fondato in relazione alla prospettata illiceità del trattamento, allo stato non più in essere, consistente nella prolungata attività dell’account di posta aziendale riferito al reclamante dopo la cessazione del rapporto di lavoro ed all’accesso ai messaggi ivi pervenuti, peraltro in assenza di una policy aziendale resa nota ai dipendenti al riguardo;
RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
TUTTO CIÒ PREMESSO
ai sensi dell’art. 57, par. 1, lett. f) e 58, par. 2, lett. b) del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione, consistente nella persistente attività dell’account aziendale individualizzato per un ampio periodo di tempo dopo l’interruzione del rapporto di lavoro, con contestuale accesso ai messaggi ivi pervenuti, ed ammonisce Imper Italia S.r.l. sulla necessità di conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni ed ai principi in materia di protezione dei dati personali indicati in motivazione.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 4 dicembre 2019
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia