Sanzione da 50.000 euro ai danni di una società per accertate violazioni privacy

Il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve rispettare i diritti e le libertà fondamentali nonché la dignità dell’interessato.

Questo è il principio ribadito dal Garante a seguito di un reclamo presentato da un collaboratore (nello specifico, un agente), che aveva lamentato violazioni nella gestione del proprio account aziendale.

Nello specifico l’agente, senza alcun preavviso, si era visto inibire l’accesso all’account, che era continuato però a rimanere attivo.

A seguito della segnalazione e all’esito dell’accertamento ispettivo che ne è derivato – effettuato dal Nucleo Speciale Privacy della Guardia di Finanza – il Garante ha imposto alla società una sanzione di € 50.000 per violazioni delle norme in materia di privacy, precisando che il fatto che il reclamante fosse un agente e non un lavoratore subordinato non rileva ai fini delle valutazioni.

Le violazioni contestate alla società sono state molteplici. Tra le altre:

  • non essere in grado di dimostrare di aver fornito al lavoratore un’idonea informativa sul trattamento dei dati personali;
  • non aver adottato un valido disciplinare sulle modalità di utilizzo degli strumenti informatici;
  • non aver disattivato l’account dopo la cessazione del rapporto di lavoro;
  • non aver riscontrato, senza ingiustificato ritardo e comunque entro trenta giorni, la richiesta presentata dall’interessato per l’esercizio dei propri diritti.

Il Garante ha ribadito che la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità dell’interessato.

Lo scambio di corrispondenza elettronica – estranea o meno all’attività lavorativa – su un account aziendale individuale consente di conoscere alcune informazioni personali relative al lavoratore. Ragione per cui il Garante ha nuovamente chiarito che dopo la cessazione del rapporto di lavoro il titolare del trattamento deve provvedere alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informare i terzi e a fornire a questi indirizzi e-mail alternativi.

La necessità, del tutto legittima, di conservare la documentazione necessaria per la continuità dell’attività aziendale può essere garantita attraverso la predisposizione di idonei sistemi di gestione documentale con i quali individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati.

Tutto ciò conferma, ancora una volta, la necessità – anche al fine di evitare il rischio di pesati sanzioni – di adeguarsi alle prescrizioni in materia di privacy. Nello specifico, tra le altre, con riguardo ai rapporti con i dipendenti e collaboratori:

  • fornire preventivamente – ed essere in grado di dimostrare di aver fornito – adeguate informative;
  • adottare una policy dettagliata sull’utilizzo degli strumenti informatici, che detti anche le regole per la gestione degli account di posta elettronica in costanza e al termine del rapporto con gli interessati;
  • implementare idonei sistemi di archiviazione documentale;
  • adottare una procedura che consenta di garantire un completo e tempestivo riscontro agli interessati nel caso di esercizio dei diritti.