Dal Garante l’ennesima conferma: la privacy si estende anche ai dati presenti sui dispositivi aziendali in uso ai dipendenti

Dal Garante l’ennesima conferma: la privacy si estende anche ai dati presenti sui dispositivi aziendali in uso ai dipendenti

OfficeLife_1

Uno dei più comuni equivoci in cui ci si imbatte prestando consulenza privacy è quello per cui i datori di lavoro sarebbero legittimati ad accedere indiscriminatamente al contenuto degli account di posta elettronica aziendale ed ai dispositivi in uso ai dipendenti, sia in costanza che dopo la cessazione del rapporto di lavoro. Nulla di più sbagliato, come più volte affermato dal Garante e dalla giurisprudenza nazionale e sovranazionale.
L’ultima vicenda in ordine di tempo riguarda un provvedimento del Garante dello scorso 10 febbraio, con cui la società Costampress S.p.A. ha ricevuto una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 del Regolamento UE 2016/679 (“GDPR”) per violazione degli artt. 5, par. 1, lett. a), 12 e 13 GDPR, a causa dell’accesso al computer in uso al suo ex amministratore delegato in assenza di idonea informativa.

I FATTI
A seguito del proprio licenziamento, deliberato dalla Costampress il 4 ottobre 2018, il dirigente ha presentato un reclamo al Garante lamentando diverse violazioni dei propri dati personali. In particolare, lo stesso ha evidenziato: (i) la mancata cancellazione del proprio account di posta elettronica aziendale a seguito della cessazione del rapporto di lavoro con la Società; (ii) l’impossibilità di vedersi attribuito il numero di telefono aziendale, che in passato era un numero privato e veniva utilizzato dal reclamante per esigenze sia lavorative che personali, oltre di accedere al proprio computer portatile; (iii) che la Società avrebbe avuto accesso ai propri dispositivi permettendo anche a terzi di accedere alle sue conversazioni private di WhatsApp. Il tutto sarebbe avvenuto all’insaputa del reclamante e senza la fornitura di alcuna informativa privacy.

Punto centrale della vicenda è quello relativo all’accesso al computer del reclamante in assenza di idonea informativa, avendo il Garante appurato l’assenza di violazioni con riguardo alle altre contestazioni.

A tal proposito, nel corso del procedimento e dell’istruttoria, la Costampress ha in primo luogo chiarito come tra gli incarichi affidati al reclamante vi fosse proprio la predisposizione di un regolamento aziendale sull’utilizzo degli account di posta aziendale e sulla nomina dell’Amministratore di sistema autorizzato a visionare, per conto della società, i messaggi in entrata in tali account. In particolare, pur non avendo portato a termine l’incarico, il dirigente avrebbe preso visione della “bozza” del regolamento al tempo del trattamento e sarebbe quindi stato a conoscenza del fatto che esso prevedeva che la casella di posta elettronica aziendale fosse accessibile in ogni momento da parte della Società o dei suoi incaricati. La Costampress ha quindi precisato di aver adottato, a licenziamento ormai avvenuto, l’apposito «Disciplinare interno per l’utilizzo della strumentazione informatica aziendale, della rete internet, della posta elettronica e del numero telefonico aziendale» ,facente funzioni anche di informativa ex art. 13 GDPR.
Infine, la Società ha confermato di aver avuto accesso al computer in uso all’ex amministratore delegato grazie all’ausilio di un esperto di digital forensic allo scopo di ricavare informazioni necessarie per le tutela di un proprio diritto in sede giudiziaria, nell’ambito di una vicenda che vedeva contrapposte le due parti.
.

LA DECISIONE DEL GARANTE
Conclusasi l’istruttoria, il Garante ha accertato come nel periodo in cui è stato effettuato il controllo sui dati contenuti nel computer assegnato al reclamante la Società non avesse adottato alcun documento, in versione definitiva e comunque resa nota ai dipendenti, che regolamentasse i possibili controlli e fungesse da informativa ai sensi dell’art. 13 GDPR.
A parere del Garante, a nulla rileva il fatto che il compito di redigere tale documento fosse attribuito al reclamante. Ferma restando, infatti, l’eventuale responsabilità civile dell’amministratore nei confronti della Società, l’eventuale responsabilità derivante da inadempimento di obblighi di legge, da parte dello stesso, ricade comunque sulla Costampress, in quanto quest’ultima assume il ruolo di titolare del trattamento e come tale è tenuta anche a fornire l’informativa privacy.

Ciò detto, il Garante ha richiamato – come spesso fatto in passato – il costante orientamento della Corte europea dei diritti dell’uomo per cui la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost). In particolare, tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Barbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antovi and Mirkovi v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). Pertanto, ha chiarito il Garante, il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

Alla luce di quanto sopra, il Garante ha concluso affermando la violazione dell’art. 13 GDPR da parte della Costampress, la quale ha effettuato il trattamento in assenza di un’idonea informativa all’interessato. La Società si è quindi vista irrogare una sanzione di euro 10.000.

CONCLUSIONI
Nel provvedimento in commento, lungi dall’aver compiuto una rivoluzione, il Garante ha ribadito dei punti fermi che, seppur consolidati, meritano sempre di essere ribaditi.
In primis l’importanza della tutela della privacy anche nei luoghi di lavoro, che non sono oasi in cui al datore è concesso tutto, ma spazi in cui si estrinseca la personalità del lavoratore, i cui diritti devono essere sempre tutelati.
La decisione ha inoltre ribadito l’importanza del principio della trasparenza, la cui violazione è risultata decisiva per la sanzione.
A livello formale, importante anche segnalare come il Garante abbia nuovamente sottolineato la differenza concettuale tra il titolare del trattamento e il proprio amministratore delegato. Quest’ultimo, pur rappresentando organicamente l’ente, è infatti un interessato come tutti gli altri e deve quindi ricevere una idonea informativa sul trattamento dei propri dati.
Infine, con riguardo all’utilizzabilità in giudizio dei dati acquisiti in violazione del GDPR, merita una menzione il richiamo del Garante all’art. 160-bis del D.lgs. 196/2003 (codice privacy), ai sensi del quale: “La validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti, e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o regolamento restano disciplinate dalle pertinenti disposizioni processuali”.