La newsletter del 15 marzo 2023 dell’Autorità Garante per il Trattamento dei Dati Personali dà risalto ad un recente provvedimento che ingiunge ad una società il pagamento di euro 5.000,00 nonché la pubblicazione della medesima ordinanza sul sito web del Garante. Oltre al danno, la figuraccia.
L’ingiunzione è stata emessa all’esito di una istruttoria svolta dall’Autorità Garante a seguito di un reclamo presentato da una (quasi) dipendente, che si è vista rifiutare l’immediata disattivazione della casella di posta elettronica aziendale.
Ma procediamo con ordine. La vicenda riguarda le infelici sorti di una trattativa tra la società ingiunta ed una cooperativa, volta a definire l’acquisizione di quest’ultima da parte della prima. Nel corso delle trattative si presenta per le due società l’opportunità di partecipare congiuntamente ad una fiera, attribuendo alla reclamante, all’epoca esponente della società cooperativa – e in fase di definizione di un rapporto di lavoro con l’ingiunta – il compito di promuovere un fornitore comune; nel corso della fiera, la reclamante avrebbe speso il nome dell’ingiunta, distribuendo biglietti da visita appositamente confezionati nei quali figurava una email aziendale per consentire alla stessa di relazionarsi, come da accordi, con i potenziali clienti conosciuti all’evento. Terminata la fiera, l’ipotesi di acquisizione sfuma e la reclamante, chiede, senza eccessive formalità, che la casella di posta elettronica aziendale venga subito disattivata. Si vede rifiutare la richiesta; l’ingiunta anzi lascia l’email attiva per circa 60 giorni, continuando a prendere visione del contenuto ed importando in sistema di inoltro verso il direttore commerciale. Intanto la società ingiunta instaura un giudizio civile per chiedere i danni derivanti da responsabilità precontrattuale, contestando alla reclamante il tentativo di contattare i potenziali clienti conosciuti alla fiera, ad esclusivo beneficio della società cooperativa. La decisione dell’ingiunta è quindi collegata ad una specifica strategia: sia la tutela dei propri diritti in sede giurisdizionale che consentire la provvisoria gestione della clientela potenziale che potrebbe scrivere alla casella di posta elettronica.
In uno scenario così conflittuale, perché l’Autorità Garante ha ritenuto il diritto della reclamante preminente rispetto a quello della società ingiunta?
Sarebbe frettoloso concludere che “la difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore”. La tematica deve essere correttamente inquadrata e ponderata.
Gli errori all’ingiunta non sono ravvisabili unicamente nella condotta successiva alla richiesta di disattivazione della casella email aziendale, ma soprattutto in quella precedente. Dall’istruttoria è emerso che la società ingiunta non aveva reso l’informativa ex art. 13 GDPR, che, lo ricordiamo, è necessaria quando inizia il trattamento dei dati personali (nel nostro caso, mediante l’assegnazione di una email aziendale durante le trattative precontrattuali) e non solo da quando viene formalizzato il rapporto di lavoro.
Più in generale, l’assenza di una corretta procedura relativa al trattamento dei dati personali si è evidenziata anche in relazione alla complessiva gestione della casella email. L’ingiunta si è vista contestare la mancata condivisione del regolamento aziendale, nel quale, ben si dovrebbe specificare ed informare preventivamente sui processi aziendali previsti per la gestione della casella email, nei casi, non rari, di criticità e patologia del rapporto contrattuale; la tesi difensiva secondo la quale il regolamento sarebbe stato asseritamente reso noto alla reclamante mediante mera affissione nella sede aziendale, non ha convinto il Garante. In ogni caso anche il documento affisso era risultato privo di data certa. Tra le varie contestazioni, si è anche rilevata la non corretta formulazione della replica alla richiesta di disattivazione, nella quale si è omesso di indicare alla reclamante gli specifici motivi per i quali non avrebbe potuto dare seguito all’istanza di cancellazione dell’account di posta elettronica; la risposta resa alla reclamante non ha inoltre fatto riferimento al diritto di presentare un ricorso all’autorità giudiziaria o un reclamo al Garante, come richiesto dall’art. 12, par. 4, del Regolamento, nel caso in cui il titolare del trattamento non ottemperi alla richiesta dell’interessato.