In data 25 marzo 2022 due ex dipendenti di una società hanno presentato un reclamo all’Autorità Garante, lamentando il “perdurare dell’attività degli account aziendali individuali per diversi mesi oltre la cessazione dei rapporti lavorativi, con contestuale accesso ai messaggi ivi pervenuti” e la mancata consegna, da parte della società, di un’idonea informativa in merito al trattamento dei dati personali relativi alla posta elettronica in costanza del rapporto lavorativo.
In base agli elementi acquisiti nel corso dell’attività istruttoria, l’Autorità Garante ha accertato che la società ha mantenuto attivi, per diversi mesi dopo la cessazione del rapporto di lavoro, gli account di posta elettronica assegnati ai reclamanti, ai quali ha avuto accesso il legale rappresentante.
A riguardo, l’Autorità ha rilevato che la società avrebbe dovuto attivare un messaggio di risposta automatico, volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri referenti della società.
Secondo l’Autorità la condotta tenuta dalla Società, che è consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro, gli account di posta elettronica, con possibilità di accesso al contenuto degli stessi, ha comportato la violazione dei seguenti principi:
- Liceità (art. 5, par. 1, let. a) del GDPR), in mancanza di un’idonea base giuridica del trattamento;
- Minimizzazione (art. 5, par. 1, let. c) del GDPR) e limitazione della conservazione (art. 5 , par. 1, let. e) del GDPR), in quanto la finalità del trattamento, ossia la prosecuzione dell’attività lavorativa, si sarebbe potuta realizzare con modalità meno invasive della sfera di riservatezza dei reclamanti.
Inoltre, l’Autorità ha rilevato la mancata consegna di un’idonea informativa sul trattamento dei dati personali che il datore di lavoro avrebbe effettuato attraverso l’account di posta elettronica e conseguentemente la violazione dell’art. 13 del GDPR, che costituisce corollario del principio di trasparenza (art. 5, par. 1, let. a) del GDPR).
In conseguenza delle violazioni sopra descritte, l’Autorità con provvedimento del 20 marzo 2024 ha ingiunto alla Società il pagamento della sanzione amministrativa pecuniaria di euro 30.000,00.
