[doc. web n. 4298277]
Trattamento effettuato sulle e-mail di dipendenti ed ex dipendenti – 30 luglio 2015
Registro dei provvedimenti
n. 456 del 30 luglio 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);
VISTO il reclamo del 4 marzo 2014, presentato da XY, XX, YY, ZZ e WW, concernente il trattamento di dati personali riferiti agli interessati effettuato da Filmmaster Events s.r.l.;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);
VISTE le “Linee guida per posta elettronica e internet”, adottate con provvedimento n. 13 del 1° marzo 2007 (pubblicato nella G.U. 10 marzo 2007, n. 58);
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
PREMESSO
1.1. Con reclamo del 4 marzo 2014 XY, XX, YY, ZZ e WW, ritenendo illegittimo il trattamento di dati personali effettuato da Filmmaster Events s.r.l. (di seguito: la società) attraverso gli account di posta elettronica aziendale loro assegnati nell’ambito del rapporto di lavoro (allo stato non più in essere), hanno chiesto all’Autorità di dichiarare illegittimo il trattamento dei dati personali effettuato dalla società e disporne il blocco o il divieto nonché di ordinare la disattivazione dei menzionati account.
I reclamanti, in particolare, hanno lamentato la violazione di alcune disposizioni del Codice (artt. 11, 23, 113 e 114) in relazione:
a. alla persistente operatività, successivamente alla risoluzione del rapporto di lavoro con la società, degli account di posta elettronica loro assegnati anche attraverso il reindirizzo dei medesimi “presso un utente dell’azienda”, con il conseguente trattamento di “informazioni personali degli esponenti, sulle quali gli [stessi] avevano la legittima aspettativa di segretezza” (cfr. reclamo 4.3.2014, p. 2 e 3);
b. all’aver appreso solo in occasione della produzione in un giudizio civile di un significativo numero di e-mail da parte della società che quest’ultima aveva avuto accesso ai messaggi di posta elettronica in transito sui menzionati account (cfr. reclamo cit., p. 2 e all. 1-36).
1.2. La società, in risposta alla richiesta di elementi formulata dall’Ufficio, con nota del 24.6.2014 ha dichiarato che:
a. in qualità di titolare ha effettuato, attraverso il servizio di posta elettronica aziendale, il trattamento dei dati personali “dei propri dipendenti e collaboratori, tra cui [i] reclamanti” (cfr. nota 24.6.2014, p. 2);
b. essendo la struttura “di dimensioni medio-piccole, […] i dipendenti e i collaboratori interni sono a conoscenza del funzionamento dei sistemi IT, del salvataggio delle e-mail sui server aziendali e della conseguente possibilità di controllo delle e-mail per la tutela del patrimonio aziendale. Ciò considerato la società non ha diramato un documento scritto a tale proposito” (cfr. nota cit., p. 3);
c. a seguito delle dimissioni rassegnate (in data 24.9.2013) da tre (dei cinque) reclamanti, la società il giorno successivo ha comunicato che “come da prassi, [si stava] procedendo alla chiusura” degli account di posta elettronica aziendali, chiedendo altresì la restituzione dei computer ed altri strumenti forniti in dotazione (cfr. nota cit., p. 5 e e-mail 25.9.2013, All. 3);
d. nei giorni “immediatamente successivi”, ed intervenute nel frattempo (il 30.9) le dimissioni di una quarta reclamante, la società ha verificato che dai computer aziendali restituiti “erano stati cancellati tutti i file e i documenti aziendali relativi ai loro incarichi professionali” (cfr. nota cit., p. 5-6);
e. a fronte di tale situazione la società ha “legittimamente tenuto aperti gli account aziendali degli ex dipendenti” ed ha altresì “legittimamente trattato le e-mail che giungevano” per finalità di tutela dei propri diritti (cfr. nota cit., p. 7);
f. la decisione di non attivare sugli account oggetto di reclamo un messaggio automatico “che segnalasse al mittente il reindirizzamento dell’e-mail ad altro dipendente, e [la] sospensione dell’informativa agli ex dipendenti dell’avvio del controllo delle e-mail arrivate sui loro account”, è riconducibile all’esigenza “di non pregiudicare la possibilità della società di fare valere i propri diritti in sede giudiziaria” (cfr. nota cit., p. 7);
g. a seguito della produzione in giudizio di copia delle e-mail oggetto di reclamo (con atto di citazione notificato in data 11.12.2013), essendo cessata “l’esigenza di raccolta di elementi difensivi […] gli account dei reclamanti sono stati chiusi” (cfr. nota cit., p. 10).
1.3. Con nota di replica pervenuta l’8.7.2014, nel ribadire le richieste già avanzate all’Autorità, i reclamanti hanno ritenuto che proprio l’esistenza di una prassi consistente nella “disattivazione degli indirizzi aziendali all’atto dell’uscita” dei dipendenti, avrebbe determinato a proprio favore una “legittima aspettativa di chiusura” degli account medesimi, considerato anche che in due casi era stata preannunciata l’imminente chiusura degli account aziendali (cfr. nota cit., p. 4-5).
1.4. Con successiva nota pervenuta il 10.9.2014, la società – rispondendo anche ad una richiesta di integrazioni e chiarimenti formulata dall’Ufficio – ha precisato, a parziale rettifica di quanto indicato in precedenza:
a. che già due giorni dopo le dimissioni di tre reclamanti, nel momento in cui (il 26.9.13) veniva attivato il reindirizzamento delle e-mail, “emergeva che i reclamanti stavano portando avanti dall’esterno sia progetti di Filmaster ancora in corso sia progetti che Filmaster credeva sospesi”, mentre il 27.9 “emergeva che i reclamanti avevano rimosso tutti i dati dai loro pc aziendali” (cfr. nota 10.9.2014, p. 8 e 9)
b. di non effettuare e non aver “mai eseguito […] controlli sulle e-mail dei dipendenti attraverso i server aziendali” né attraverso il sistema di posta elettronica aziendale è possibile controllare a distanza l’attività dei dipendenti (cfr. nota cit., p. 2 e 13);
c. che è possibile effettuare controlli delle e-mail “per finalità di tutela del patrimonio aziendale”, solo “incidentalmente […] nel caso in cui i responsabili delle funzioni ricevano direttamente o per copia conoscenza […] e-mail che mostrino una condotta illecita da parte di dipendenti o collaboratori […], oppure ricevano simili e-mail per effetto di un reindirizzamento interno per esigenze operative a seguito di sospensione o interruzione” del rapporto di lavoro (cfr. nota cit., p. 2);
d. che le e-mail sono memorizzate sui server aziendali e rese accessibili all’amministratore di sistema “per sette giorni, dopodiché vengono cancellate […]. Ogni utente può […] modificare il tempo di permanenza delle e-mail […] sui server aziendali” (cfr. nota cit., p. 12);
e. che sui server sono invece memorizzati per due anni, accessibili al solo amministratore di sistema, i c.d. log relativi alla posta elettronica (cfr. nota cit., p. 11 e 12).
2.1. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento, della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, nonché della documentazione acquisita, emerge che la società ha effettuato in qualità di titolare operazioni di trattamento di dati personali riferiti ai reclamanti mediante la raccolta e la successiva produzione in giudizio di copia di e-mail scambiate su account di posta elettronica – individualizzati con nome e cognome dei dipendenti – forniti loro in dotazione nell’ambito del rapporto di lavoro. In particolare, la società ha acquisito copia di comunicazioni elettroniche recanti l’indicazione sia di dati c.d. esterni (nominativi di mittenti e destinatari; indirizzi e-mail aziendali e privati; data e ora delle comunicazioni) che relativi al contenuto di e-mail inviate e ricevute reciprocamente dai reclamanti – anche antecedentemente alle loro dimissioni – e da terzi (cfr.: e-mail 27 e 28.9.2013 in All. 5-6, nota 24.6.2014 con riferimento ad un’altra reclamante che si è dimessa solo il successivo 30.9.2013; e-mail 9.10.2013 in All. 15, nota cit., con riferimento ad altra dipendente poi dimessasi ma non reclamante, la quale tra l’altro scriveva da un suo account non aziendale).
2.2. In relazione ai descritti trattamenti risulta che la società non ha adottato e reso noto alcun disciplinare (o analogo documento informativo) sull’utilizzo della posta elettronica aziendale, in applicazione del principio di correttezza in base al quale le caratteristiche essenziali dei trattamenti devono essere preventivamente rese note ai lavoratori, in particolare se effettuati per finalità di controllo (art. 11, comma 1, lett. a), del Codice). Risulta invece che la società ha comunicato, il giorno successivo le dimissioni di tre dei reclamanti, l’imminente “chiusura” degli account aziendali (cfr. email 25.9.2013, All. 3 nota 24.6.2014), senza poi dare corso alla rimozione, anzi avviando il reindirizzamento delle mail e il monitoraggio del flusso di comunicazioni in transito sugli stessi, protrattosi peraltro per un periodo significativo di tempo. Né risulta che la società abbia comunque fornito un’informativa ai dipendenti, considerato che l’esistenza di una non meglio specificata “prassi” aziendale non soddisfa quanto stabilito in proposito dall’art. 13 del Codice. L’informativa ai dipendenti deve riguardare anche le modalità (compresi i tempi) di conservazione dei contenuti e dei file di log relativi alla posta elettronica in transito sugli account aziendali nonché le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio (cfr. anche Provv. 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008, modificato con provvedimento del 25 giugno 2009, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, doc. web n. 1577499, spec. n. 2, lett. c) e f) del dispositivo. In base a tale provvedimento il titolare è altresì tenuto ad adottare sistemi che registrino gli “accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema”).
Come precisato in precedenza dall’Autorità il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale (v., tra gli altri, Provv. n. 139 del 7 aprile 2011, doc. web n. 1812154; Provv. n. 308 del 21.7.2011, doc. web n. 1829641; Provv. 23 dicembre 2010, doc. web n. 1786116). L’assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione (cfr. Provv. n. 13 del 1° marzo 2007, Linee guida per posta elettronica e internet, doc. web n. 1387522, spec. 3; 5.2. lett. b), e 6.1.).
2.3. Risulta inoltre dalla documentazione in atti che la società ha trattato per finalità ulteriori – volte ad effettuare controlli per dichiarati scopi di tutela del patrimonio aziendale – dati asseritamente raccolti al (diverso) scopo di assicurare la continuità e l’efficienza dei sistemi aziendali, in violazione del principio di finalità dei trattamenti effettuati (cfr. art. 11, comma 1, lett. b) del Codice).
2.4. Con riferimento ai trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, si ritiene che, in conformità ai principi in materia di protezione dei dati personali, gli account riconducibili a persone identificate o identificabili debbano essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento (e non, come correttamente osservato dalla società, eventuali account privati riferiti agli ex dipendenti). L’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività, pertanto, deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi (v. provv.ti 5 marzo 2015, n. 136, doc. web n. 3985524 e 27 novembre 2014, n. 551, doc. web n. 3718714). Non risulta invece conforme ai suesposti principi la prassi adottata dalla società, secondo quanto dalla medesima riferito, consistente nel “reindirizzare” automaticamente i messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato (o in ipotesi di non meglio precisata “sospensione” del rapporto stesso) su indirizzi di posta elettrica aziendale attribuiti ad altri dipendenti.
3. Per i suesposti motivi, considerato che il trattamento risulta illecito per violazione degli artt. 11, comma 1, lett. a) e b), e 13 del Codice ed è tutt’ora suscettibile di essere posto in essere in quanto – pur essendo stati disattivati gli account aziendali (cfr. il punto 1.2., lett. g) – l’azienda dispone ancora dei dati relativi alla posta elettronica già acquisiti, si dispone il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti posti dall’art. 160, comma 6, del Codice, in base al quale “la validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali, ancorché non conforme a disposizioni di legge o di regolamento, restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale”.
TUTTO CIÒ PREMESSO, IL GARANTE
ritenuto illecito, nei termini di cui in motivazione, il trattamento effettuato dalla società sulle e-mail dei dipendenti ed ex dipendenti in violazione degli artt. 11, comma 1, lett. a) e b) e 13 del Codice, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice vieta l’ulteriore trattamento dei dati indicati in premessa, salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti di cui all’art. 160, comma 6 del Codice.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 30 luglio 2015