Il provvedimento n. 472 del 17 luglio 2024, emesso dal Garante per la Protezione dei Dati Personali e reso pubblico ieri, 22 ottobre 2024, riguarda una controversia tra un ex agente di commercio e la società Selectra S.p.A.. Il reclamo verte su un presunto trattamento illecito di dati personali da parte della società, che avrebbe mantenuto attivo e monitorato un account e-mail aziendale dell’ex collaboratore dopo la cessazione del rapporto di lavoro. Di seguito, esploreremo le motivazioni del Garante, le violazioni rilevate e le conseguenze sanzionatorie.
Origine della controversia e dettagli istruttori
Il reclamo, presentato a fine 2021, denuncia che Selectra S.p.A. avrebbe mantenuto accessibile l’account e-mail aziendale dell’ex collaboratore, accedendo alle comunicazioni anche dopo la conclusione del rapporto. Selectra ha dichiarato che l’accesso all’account era necessario per tutelare segreti aziendali e verificare presunte condotte lesive, come la sottrazione di dati. Per svolgere tali attività, Selectra ha impiegato il software MailStore per effettuare backup sistematici delle caselle e-mail, conservandone i contenuti fino a tre anni dopo la cessazione del rapporto.
Violazioni rilevate e inadeguatezza dell’informativa privacy
Dall’analisi del Garante emerge una pluralità di violazioni normative da parte di Selectra, principalmente riferite ai principi fondamentali del GDPR e al Codice Privacy (D.Lgs. 196/2003):
- violazione del Principio di Liceità e Proporzionalità (art. 5, par. 1, lett. a, c ed e, GDPR): la società ha trattenuto e trattato dati personali in modo sproporzionato, conservandoli per periodi di tempo eccessivamente lunghi senza una motivazione adeguata. La retention di tre anni per i backup e di sei mesi per i log di accesso non risulta conforme alle finalità dichiarate;
- inadeguatezza dell’Informativa (art. 13, GDPR): Selectra ha omesso di fornire informazioni chiare riguardo ai tempi di conservazione dei dati e all’eventuale accesso ai contenuti e-mail per finalità di tutela aziendale. L’informativa si è rivelata insufficiente, non rispecchiando correttamente le modalità e finalità dei trattamenti reali;
- illiceità del controllo a distanza (art. 114 del Codice Privacy e art. 88, GDPR): il backup delle email e la conservazione dei log di accesso consentivano a Selectra un controllo potenzialmente invasivo sull’attività lavorativa dei collaboratori, senza rispettare le garanzie previste dall’art. 4 dello Statuto dei Lavoratori.
Implicazioni sanzionatorie e misure correttive
Alla luce delle irregolarità rilevate, il Garante ha adottato i seguenti provvedimenti correttivi:
- divieto di ulteriore trattamento dei dati ottenuti tramite MailStore (art. 58, par. 2, lett. f, GDPR);
- sanzione pecuniaria di 80.000 euro, in considerazione della gravità delle violazioni e della reiterazione delle condotte non conformi. L’ammontare tiene conto della capacità economica di Selectra, risultante dai ricavi aziendali.
Selectra ha collaborato dichiarando di aver sospeso l’uso del software contestato, impegnandosi a rivedere le informative privacy, ma tali azioni correttive sono state ritenute insufficienti per evitare la sanzione.
Considerazioni e implicazioni per le aziende
Questo provvedimento evidenzia alcune aree critiche nelle prassi di gestione dei dati aziendali, soprattutto in relazione ai collaboratori esterni. Emerge la necessità, per le aziende, di strutturare con attenzione le informative e le politiche di conservazione dei dati, limitando il trattamento ai soli dati necessari e per il tempo strettamente indispensabile.
- liceità e finalità determinate: la base giuridica di ogni trattamento deve essere giustificata e delimitata, evitando trattamenti “preventivi” o potenzialmente invasivi. Anche nelle situazioni di sospetta violazione contrattuale, le verifiche devono essere proporzionate e documentate in modo adeguato;
- conformità dell’Informativa: è fondamentale che l’informativa privacy rifletta esattamente tutte le attività di trattamento dei dati, incluse eventuali procedure di backup, accesso a email e conservazione dei log di accesso, senza lasciare margini di ambiguità;
- rispetto delle garanzie per i controlli a distanza: gli strumenti di monitoraggio devono essere impiegati nel rispetto dello Statuto dei Lavoratori, ottenendo, se necessario, accordi con le rappresentanze sindacali o autorizzazioni specifiche dall’Ispettorato del Lavoro.
Conclusioni
Il caso Selectra S.p.A. funge da monito per tutte le aziende che operano nella gestione digitale dei rapporti di lavoro, evidenziando l’importanza di una compliance accurata e della trasparenza nelle prassi di trattamento dei dati personali. Il Garante, con questo provvedimento, ha ribadito che il rispetto delle norme di protezione dei dati è imprescindibile, anche quando in gioco vi sono interessi legittimi dell’azienda.
Michele De Luca
Ultimi post di Michele De Luca (vedi tutti)
- La notifica telematica e la saturazione della casella PEC: analisi della sentenza della Cassazione Civile, Sezioni Unite, n. 28452/2024 - Novembre 6, 2024
- Sull’accesso alla posta elettronica del dipendente e sulla conservazione di e-mail e log - Ottobre 23, 2024
- Tempestiva l’istanza di verificazione proposta dall’appellante - Luglio 12, 2024
- Conduttore contro proprietario di fondo limitrofo: la Cassazione chiarisce i limiti dell’interrogatorio formale - Ottobre 25, 2023
- Le modifiche apportate al primo libro del codice di procedura civile dalla riforma Cartabia - Febbraio 2, 2023