Sofia Monici 

Con l’ordinanza ingiunzione in commento, il Garante per la Protezione dei Dati personali è tornato a confrontarsi con il tema - centrale nella gestione dei rapporti professionali - del trattamento dei dati contenuti in un account di posta elettronica aziendale assegnato nominativamente ad un collaboratore.

Il provvedimento è rilevante, come sarà approfondito infra, in quanto riguarda un rapporto lavorativo di fatto; al contempo, è interessante in quanto vaglia (seppur con alcuni limiti, appresso evidenziati) la possibilità di ritenere ravvisabile un legittimo interesse dell’impresa a mantenere attivo l’account dopo la cessazione del rapporto.

Il caso

La società Reweb S.r.l. aveva messo a disposizione della reclamante «un account di posta elettronica individualizzato con estensione riferita all'azienda» (il classico account “nomecognome@nomeazienda.it/com”). L’attivazione era avvenuta nell’ambito di una collaborazione di fatto, intrapresa nelle more delle trattative volte all’acquisizione, da parte di Reweb, di un ramo d’azienda della IT Distribuzione, società cooperativa per cui lavorava la reclamante. Nella prospettiva dell’imminente trasferimento del rapporto lavorativo in capo a Reweb, quest’ultima aveva generato l’account di posta, al precipuo scopo di consentire alla collaboratrice di intrattenere rapporti commerciali con alcuni potenziali clienti. Come evidenziato nel provvedimento, l’indirizzo era stato, tra l’altro, indicato anche su alcuni biglietti da visita, fatti stampare appositamente per essere distribuiti ad una fiera del settore.

Fallita la trattativa e venuta meno la prospettiva dell’assunzione, la collaboratrice aveva richiesto a Reweb di provvedere all’immediata cancellazione dell’indirizzo, ma la società risultava aver mantenuto attivo l’account ed aver consultato il contenuto della casella di posta, attraverso l’espediente dell’inoltro dei messaggi sull’e-mail del proprio direttore commerciale. L’accesso alla casella si evinceva, in particolare, dalla produzione in giudizio (nella causa intentata contro IT Distribuzione) di «e-mail inviate dallo stesso account dalla reclamante nel corso della collaborazione».

Apprese tali circostanze, la collaboratrice aveva quindi proposto reclamo al Garante.

Le difese della reclamata

Investito del reclamo, il Garante aveva avviato la consueta istruttoria, nell’ambito della quale la reclamata si era difesa allegando che l’account e-mail in parola era stato mantenuto attivo (esclusivamente temporaneamente[1]) per due legittime ragioni: a) da un lato «nell’interesse [..] di non interrompere ex abrupto i contatti con i clienti che la [reclamante] aveva contattato agendo per conto di Reweb s.r.l. stessa, spendendone il nome»; b) dall’altro «per tutelare [..] i propri diritti in sede giudiziaria».

Sotto il primo profilo, Reweb aveva precisato, nello specifico, di aver disposto «il reindirizzamento delle comunicazioni [..] sull’indirizzo del […], direttore commerciale, proprio allo scopo di non perdere quei potenziali clienti con i quali la [reclamante] aveva preso contatti».

Mentre, a proposito dell’esigenza di tutelare i propri diritti in sede giudiziaria, Reweb aveva affermato di aver appreso di condotte volte a sviare la clientela contattata e di aver quindi promosso un’azione giudiziale a tutela dei propri diritti.

Con il provvedimento qui analizzato, il Garante non ha ritenuto soddisfacenti le difese formulate ed ha, per contro, accertato la violazione da parte di Reweb degli «artt. 5, par. 1, lett. a) e c), 6, 12 anche con riferimento all’art. 17, 13 del Regolamento[2]».

La decisione

La decisione in commento si pone, anzitutto, nel solco dell’insegnamento già tracciato dal Garante sin dalle proprie “linee Guida per la posta elettronica ed internet del 2007”[3]. Risulta, infatti, sotteso alla pronuncia in discorso il principio - ormai acquisito - per cui non può ritenersi mai consentito un accesso indiscriminato, da parte dell’impresa, ai dati di un account di posta elettronica aziendale “nominativo”, ancorché con dominio riferito all’azienda stessa. L’aspettativa di confidenzialità che contraddistingue la corrispondenza, inclusa quella di carattere elettronico, rende concreto il rischio che l’assegnatario dell’account possa essere indotto a farne «un uso personale pur operando in una struttura lavorativa»[4]  e pertanto che su tale account transitino, appunto, anche dati personali[5]. La possibilità di accedervi da parte dell’azienda cui il dominio è riferibile presuppone conseguentemente l’assolvimento degli obblighi previsti dal Regolamento e, quindi, anzitutto una adeguata informativa che renda consapevole il collaboratore del divieto di utilizzo per finalità extralavorative ed edotto della possibilità di un controllo sul contenuto dell’account.

Le prime applicazioni del principio in discorso si sono registrate nel contesto dei rapporti di lavoro di natura subordinata[6]. Più recenti decisioni hanno chiarito come i medesimi principi riguardino anche rapporti lavorativi di diversa natura[7], essendo del tutto irrilevanti ai fini dell’obbligo informativo, il «ruolo professionale» rivestito all’interno della compagine aziendale, così come la «tipologia contrattuale» in virtù della quale lo strumento viene assegnato[8].

Nel caso de quo, la peculiarità della vicenda consisteva nella circostanza che lo strumento fosse stato messo a disposizione della reclamante prima ancora che alcun rapporto contrattuale fosse formalizzato. Il Garante ha ugualmente ritenuto pienamente applicabile l’obbligo di informativa, sul presupposto che «nell’ambito di trattative precontrattuali l’obbligo di informare gli interessati è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a)».

In virtù di quanto precede, la preliminare verifica compiuta dal Garante è stata proprio quella volta ad accertare se l’interessata avesse ricevuto da Reweb un’informativa sul trattamento dei dati operato sull’account di posta elettronica messo a sua disposizione.

La reclamata aveva dichiarato che la policy aziendale sarebbe stata fatta sottoscrivere al momento dell’assunzione (che non si era poi concretizzata), ma di aver redatto un «regolamento per l’uso della posta elettronica aziendale con dominio @reweb.it” [..] esposto presso la bacheca nei locali aziendali». L’Autorità ha, tuttavia, considerato che la mera affissione del regolamento, in assenza di prova dell’avvenuta informativa individuale dell’interessata, non fosse sufficiente a provare l’assolvimento dell’obbligo di cui all’art. 13[9].

Infine, anche ad un esame dei contenuti del regolamento, lo stesso è stato valutato gravemente lacunoso e deficitario, in quanto non venivano comunque «rese note le specifiche attività di trattamento che Reweb s.r.l. esercita nei confronti dei soggetti a cui assegna un account».

Chiariti tali profili, il Garante si è quindi soffermato anche sul trattamento dei dati operato da Reweb successivamente al termine della collaborazione, posto che l’account di posta elettronica non era stato immediatamente disattivato.

Coerentemente con precedenti resi in casi similari[10], il provvedimento ha ribadito che gli account di posta elettronica riconducibili a persone identificate o identificabili devono essere tempestivamente disattivati al termine del rapporto. Tale obbligo si pone allo scopo di assicurare che non sia effettuato alcun trattamento dei dati contenuti sull’accountindividuale, in assenza di alcuna base giuridica.

A fronte delle difese di Reweb si è, nondimeno, reso necessario approfondire la possibilità di ritenere sussistente un “legittimo interesse” ex art. 6, par. 1 lett. f) dell’impresa[11], a mantenere attivo l’account di posta elettronica aziendale, sia per scongiurare la perdita di occasioni commerciali con i clienti contattati dalla reclamante, che per tutelare in giudizio i propri diritti.

Per quanto riguarda la prima eccezione sollevata da Reweb, relativamente all’interesse a non interrompere «ex abrupto» i contatti con i potenziali clienti, il Garante ha rammentato come la «finalità (legittima)» di non perdere contatti utili per la propria attività commerciale debba essere perseguita, pur sempre, nel rispetto del principio di minimizzazione[12], per cui il titolare deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario” a tale finalità. Nel caso in esame, per l’autorità, la medesima finalità avrebbe potuto essere perseguita con strumenti meno invasivi e soprattutto protettivi della riservatezza dell’interessato, quale «l’attivazione di un sistema di risposta automatico con il quale vengono forniti (al mittente) indirizzi alternativi ai quali contattare il titolare». Dall’istruttoria, è emerso invece come Reweb avesse attivato un sistema di inoltro automatico di tutti i messaggi in “arrivo” sull’account del proprio direttore commerciale, accedendo così, in assenza di base giuridica, alla corrispondenza elettronica.

Neppure la seconda delle eccezioni sollevate da Reweb, ossia quella relativa all’interesse a tutelare i propri diritti in sede giudiziaria, è stata reputata idonea a giustificare l’accesso della medesima all’account aziendale. In merito, l’autorità ha sottolineato che l’esercizio del diritto di difesa non possa comportare un «aprioristico annullamento del diritto alla protezione dei dati personali», soprattutto se riguarda la corrispondenza, assistita da garanzie di segretezza di rango costituzionale. A ben vedere dalla motivazione non traspaiono le ragioni per cui, nella propria operazione di bilanciamento tra interessi contrapposti (entrambi di rango costituzionale), il Garante non abbia ritenuto sufficienti le difese formulate da Reweb a proposto della sussistenza di un contenzioso in atto.

Un profilo che, soprattutto alla luce di precedenti decisioni in materia[13], avrebbe invece meritato di essere esplicitato e che, pur non potendo essere qui compiutamente affrontato per ragioni di spazio, ci si può attendere solleverà non pochi dubbi in casi analoghi. 

[1] Per circa un mese dalla cessazione del rapporto.

[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR). L’art. 5 par. 1, alle lett. a) e c), enuncia i principi per cui il trattamento dei dati personali deve essere “lecito, corretto e trasparente”, nonché “adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per cui i dati sono trattati”. L’art. 6 specifica il principio di “liceità”, stabilendo che il trattamento dei dati è lecito quando si fonda sul «consenso dell’interessato» (lett. a), quando «necessario per l’esecuzione di un contratto di cui l’interessato è parte» (lett. b) o per «adempiere ad un obbligo legale» (lett. c) nonché, tra l’altro, a norma della lett. f), se «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali». L’art. 17 prevede il c.d. “diritto all’oblio”, per cui venuto meno il fondamento giuridico alla base del trattamento (il consenso e/o la necessità), l’interessato ha diritto ad ottenere la cancellazione dei dati personali che lo riguardano, con la sola eccezione delle ipotesi di cui al par. 3, tra cui rientra, alla lett. e), «l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».  Il principio di trasparenza, infine, è alla base degli artt. 12 e 13 del Regolamento, che descrivono gli obblighi di informazione.

[3] Adottate il 1° marzo 2007 e pubblicate in Gazzetta Ufficiale n. 58 del 10 marzo 2007.

[4] Cfr. par. 5.2. lett. b), e 6.1. delle citate “Linee guida”.

[5] L’art. 4 GDPR definisce “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile.

[6] Ove è stato altresì significativamente affermato che neppure la legittima facoltà del datore di lavoro di operare controlli sull’esecuzione dell’attività lavorativa (peraltro con i noti limiti di cui all’art. 4 St. Lav.), può valere ad ammettere un accesso indiscriminato da parte del medesimo all’account di posta aziendale, se riferito individualmente al lavoratore.

[7] V. ordinanza ingiunzione n. 127 del 7 aprile 2022, Caso Palumbo Superyacht Ancona S.r.l., nel quale i medesimi princìpi sono stati applicati ad un rapporto di agenzia.

[8] V. sempre ordinanza ingiunzione n. 127 del 7 aprile 2022, cit., nella parte in cui richiama la Raccomandazione CM/Rec (2015) 5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3, per cui «il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi».

[9] Così “come la produzione di copie del regolamento predetto consegnato e sottoscritto” da altri colleghi. V. pag. 12 del provvedimento.

[10] V. provvedimento n. 551 del 27 novembre 2014, nel caso Iras S.r.l.; provvedimento n. 136 del 5 marzo 2015; provvedimento n. 53 del 1° febbraio 2018, nel caso Sicily by Car S.p.A.

[11] nonché un “motivo legittimo cogente” ex art. 21 par. 1 GDPR, prevalente sui diritti dell’interessato.

[12] art. 5, par. 1, lett. c) del Regolamento.

[13] Al riguardo, il Garante ha da tempo chiarito che «il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti» (v. il provvedimento nel caso Sicily by Car S.p.A., cit.).