Posta elettronica aziendale: il diritto di difesa in giudizio del datore di lavoro non può pregiudicare il diritto del lavoratore alla tutela dei dati personali (Camera di Commercio di Spagna in Italia – Enrico De Luca, Luca Cairoli)

Con Ordinanza di ingiunzione dello scorso 11 gennaio 2023, il Garante per la Protezione dei dati Personali (il “Garante” o l’”Autorità”) ha comminato ad una società il pagamento di una sanzione amministrativa pari a euro 5.000 per aver mantenuto attivo l’account di posta elettronica di una collaboratrice e aver preso visione del contenuto dello stesso.  

I fatti 

Una società, nel corso di alcune trattative volte a definire l’acquisizione di una società cooperativa, concordava che una esponente di quest’ultima collaborasse, spendendo il nome della società acquirente, alla promozione di un fornitore comune in occasione di un evento fieristico. 

Alla collaboratrice veniva quindi attivato un account di posta elettronica aziendale al fine di consentirle di relazionarsi con i potenziali clienti conosciuti in occasione dell’evento.  

A distanza di qualche mese, le trattative tra le due società venivano interrotte e la reclamante richiedeva la disattivazione dell’account di posta elettronica assegnatole. La società, al fine di non perdere i contatti di potenziali nuovi clienti raccolti durante l’evento, manteneva attivo l’account e impostava un sistema di inoltro delle comunicazioni in entrata alla mail del direttore commerciale, disattivando l’indirizzo di posta della reclamante solamente trascorsi (circa) sei mesi dall’attivazione. 

L’esito dell’istruttoria del Garante 

Il Garante ha innanzitutto rilevato che la società non ha adempiuto all’obbligo di informare la reclamante circa il trattamento dei dati effettuato sul suo account di posta così come invece prescritto dall’articolo 13 del Regolamento (UE) 2016/679 (il “Regolamento“). Tale obbligo, ricorda l’Autorità, vige anche nell’ambito di eventuali trattative precontrattuali quale espressione dei principi di correttezza e trasparenza (cfr. art. 5, Regolamento). 

Nel caso di specie, la società: 

1. ha effettuato un trattamento di dati personali in assenza di un criterio di legittimazione nella parte in cui ha (i) visionato, senza una idonea base giuridica, la corrispondenza ricevuta ed inviata sull’account durante la collaborazione con la reclamante e (ii) impostato, al termine della collaborazione, un sistema automatico di inoltro delle mail ad un diverso account aziendale; 

2. non ha realizzato un adeguato bilanciamento “degli interessi in gioco”: da un lato, infatti, si riconosce la necessità per la società di proseguire le proprie attività economiche e dall’altro il diritto alla riservatezza dell’interessato (alias la reclamante). Al riguardo, si legge nel provvedimento, “la finalità (legittima) di non perdere contatti utili per la propria attività commerciale, […], si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie”; 

3. non ha ottemperato all’obbligo di agevolare l’esercizio dei diritti dell’interessato nella parte in cui non ha fornito un idoneo riscontro all’istanza di cancellazione – c.d. «diritto all’oblio» – presentata più volte dalla reclamante. 

◊◊◊◊ 

Ciò detto, il Garante ricorda che: “[…] il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non [può] comportare un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati […]”. 

Con il provvedimento in oggetto viene, altresì, richiamato un consolidato orientamento dell’Autorità secondo cui un adeguato bilanciamento degli interessi come menzionati alla precedente lett. b) si realizza attivando un sistema di risposta automatico con il quale vengono forniti al mittente degli indirizzi alternativi attraverso cui contattare la società, titolare del trattamento, senza accedere alle comunicazioni in entrata, come invece fatto nel caso di specie in violazione, tra le altre, del principio di minimizzazione (cfr. art. 5 del Regolamento).