[doc. web n. 10101221]

Provvedimento del 27 novembre 2024

Registro dei provvedimenti
n. 732 del 27 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO  il reclamo presentato dal sig. XX, tramite l’Avv. XX, ai sensi dell’art. 77 del Regolamento nei confronti di Unistara S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’avvio dell’istruttoria preliminare a seguito della presentazione del reclamo.

Con reclamo presentato in data 29/08/2022, il Sig.XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte di Unistara S.p.A. (di seguito “la Società”), rispetto alla quale aveva rivestito la carica sociale di Vice Presidente del Consiglio di Amministrazione nonché di consulente legale.

Con il reclamo, in particolare, veniva rappresentato che, a seguito dell’interruzione del rapporto di collaborazione con la Società, gli veniva interdetto l’utilizzo dell’account di posta elettronica aziendale (XX), utilizzato anche per fini personali.

A fronte di tale situazione, il reclamante rappresentava di aver “più volte reiterato a Unistara la richiesta di poter accedere al proprio account di posta elettronica al fine di poter estrarne i dati personali e le informazioni confidenziali di sua proprietà, nonché di aver accesso agli ulteriori documenti archiviati sul server della Società negli spazi a lui assegnati”, allegando a supporto la documentazione recante le richieste formulate in data 17, 21 e 25 febbraio e 16 maggio 2022 alle quali, tuttavia, la Società aveva dato riscontri ritenuti non idonei.

Veniva, inoltre, lamentata l’impossibilità di subentrare nel contratto di telefonia sottoscritto dalla Società per suo conto, rispetto all’utenza telefonica che aveva utilizzato a far data dal 2000.

Con nota del 23/12/2022, l’Ufficio formulava una richiesta di informazioni, ai sensi dell’art. 157 del Codice, nei confronti della Società con cui si chiedevano idonei elementi di valutazione rispetto a quanto segnalato, con particolare riferimento allo stato dell’account di posta elettronica assegnato al reclamante.

La Società forniva riscontro con nota del 20/01/2023, con cui dichiarava che:

- “L’account di dominio è stato utilizzato dal reclamante fino al 14/02/2022 (…) e quindi disabilitato mediante interfaccia Account Properties sul server Domain Controller. La disabilitazione dell’account di dominio ha reso inaccessibile l’account di posta elettronica assegnato al reclamante. L’account di posta elettronica è quindi rimasto attivo, continuando a ricevere messaggi, ma inaccessibile. Nessuno poteva accedervi per leggerli o inviarne di nuovi”;

- “Il regolamento aziendale (Allegato Istruzioni per gli incaricati Rev.01 22-06-2018) prevede che la casella di posta venga conservata per 6 mesi dopo la cessazione dell’interessato per consentire eventuali accessi da parte dello stesso”;

- “nelle prime comunicazioni indirizzate a Unistara egli richiedeva l’inoltro dei messaggi indirizzati al suo indirizzo di posta elettronica. Tale possibilità è stata presa in esame da Unistara ma scartata per ovvie ragioni. Nelle successive comunicazioni egli ha richiesto l’attivazione di una risposta automatica, ma il sistema di posta elettronica in uso presso Unistara (MS Exchange / MS Outlook) non consente l’impostazione di una risposta automatica se non accedendo alla casella di posta. L’attivazione di una risposta automatica non era pertanto tecnicamente possibile perché avrebbe comportato un accesso da parte di Unistara alla cassetta postale del reclamante. Il reclamante è stato invitato a venire presso la sede Unistara per impostarne una, ma l’invito non è stato accolto”;

- “in data 28/02/2022, presso la sede di Genova di Unistara, alla presenza del reclamante, l’account di dominio è stato riabilitato temporaneamente ed egli ha effettuato l’accesso con le sue credenziali. Il reclamante ha effettuato la copia di dati e file personali (foto e documenti) su dispositivo rimovibile USB nuovo e sigillato, fornito da Unistara. Al termine dell’incontro, il reclamante ha effettuato con successo il cambio della password e l’account è stato nuovamente disattivato (Allegato Verbale accesso al file system 28-02-2022.pdf). (…) In data 13/07/2022, al reclamante è stata offerta una seconda opportunità di accesso ai dati, rimasta inascoltata”.

Con riferimento alle modalità con cui è stato assolto l’obbligo di rendere al reclamante l’informativa ai sensi dell’art. 13 del Regolamento, nonché alla predisposizione di un documento recante istruzioni sull’utilizzo degli strumenti aziendali, la Società ha dichiarato che:

- il regolamento recante “Istruzioni per gli incaricati”, rev. 00, è stato “sottoposto per approvazione al reclamante con e-mail del 06/10/2017 ed accettata mediante sottoscrizione della lettera di incarico. Tale revisione  è stata sostituita dalla Rev. 01 del 22/06/2018, pubblicata sulla intranet aziendale in data 22/06/2018”;

- tale documento prevede che “la casella di posta venga conservata per 6 mesi dopo la cessazione dell’interessato per consentire eventuali accessi da parte dello stesso. (…) Alla luce delle recenti azioni intraprese dal reclamante nei confronti di Unistara, la scrivente società ha ritenuto di prolungare il periodo di conservazione della cassetta postale in attesa di una definizione delle azioni stesse”;

- “Il reclamante in data 27/08/2018 ha sottoscritto l’informativa al trattamento dei dati” (allegato alla nota).

Per quanto concerne i profili relativi all’utilizzo della SIM, la Società trasmetteva all’Ufficio il modulo di subentro in capo alla Società della SIM e del relativo numero di cellulare, precedentemente intestati al reclamante.

Rispetto a tale questione, non sono stati ravvisati profili di violazione della disciplina in materia di protezione dei dati personali, posto che, nel caso di specie, la regolamentazione dell’intestazione della SIM e del relativo numero di telefono è stata rimessa al contratto stipulato dall’intestatario con il gestore telefonico, da cui si evince l’attribuzione della titolarità in capo alla società.

L’Ufficio, preso atto anche della memoria integrativa presentata dal reclamante in data 08/05/2023, invitava la Società a fornire ulteriori informazioni in merito alle modalità con cui era stato concesso al reclamante di accedere ai dati contenuti sul proprio account e sul server aziendale (nota del 10/05/2023).

La Società, pertanto, con riscontro del 23/05/2023, precisava che:

- “In due occasioni, al reclamante è stato consentito l’accesso alla cassetta postale, alle cartelle e files personali nonché ai documenti cartacei conservati nell’ufficio a lui assegnato. Il reclamante ha colto solo la prima delle opportunità (…). Nella pec [del 13/07/2022, allegata alla nota di riscontro] si offriva una seconda opportunità (…) ma tale offerta è rimasta senza risposta”;

- “la cassetta postale non è stata ancora eliminata”;

- “le procedure descritte ai punti 1.14 e 1.19 delle Istruzioni per gli incaricati sono state parzialmente rispettate: l’account di dominio è stato disabilitato rendendo inaccessibile la casella di posta elettronica; l’attivazione del risponditore automatico non è tecnicamente possibile senza la collaborazione del reclamante; la cassetta postale è stata conservata per 6 mesi ed è stato garantito l’accesso al reclamante (…)”;

- “La facoltà di Unistara, in caso di diniego dell’interessato a nominare una persona fiduciaria, di accedere alla casella di posta dell’interessato cessato mediante reset della password non è stata esercitata, pur se prevista”. 

Alla luce di quanto rappresentato dalla Società, l’Ufficio rivolgeva al reclamante una specifica richiesta volta a conoscere le ragioni che avevano impedito di completare le operazioni di accesso. Il reclamante, con comunicazione datata 13/09/2023, contestava il modus operandi della Società che, già in occasione dell’accesso svolto il 28/02/2022, si era opposta ad eseguire il backup di alcuni documenti perché ritenuti di carattere “non personale”. Secondo quanto rappresentato dal reclamante, con l’invito del 13/07/2022, la Società “imponeva al reclamante di vedersi inibito ogni diritto alla duplicazione di comunicazioni email e di documenti di sua proprietà contenuti nel server aziendale”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (nota del 22/12/2023), per la violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 12, par. 3 e 15 del Regolamento.

La Società, in data 20/01/2024, inviava le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con cui osservava che:

- “in merito alla contestata violazione dell’art. 12 del Regolamento, per avere la Società fornito riscontri non idonei (…), si ritiene che la condotta sia stata corretta e conforme al dettato normativo citato. Invero, il riscontro fornito dalla Società è stato tempestivo ed entro il termine di 30 giorni, avendo avuto con lo stesso (…) l’incontro in azienda per l’estrazione dei file di sua proprietà il 28 febbraio 2022 (…)”;

- con riferimento alla violazione dell’art. 15 del Regolamento “Unistara ritiene di aver agito conformemente alla normativa citata, in quanto ha comunicato ai lavoratori e quindi anche al sig. … sia con l’informativa, sia con la lettera di incaricato e le allegate “Istruzioni per gli incaricati” tutte le informazioni e le istruzioni per l’utilizzo degli strumenti aziendali, tra cui la posta elettronica”. (…) “proprio nelle menzionate istruzioni (…) viene dichiarato che la casella di posta elettronica aziendale deve essere usata solo per scopi aziendali (…); sempre nello stesso documento al punto 1.10 viene stabilito che è vietato memorizzare dati, documenti o immagini personali, propri o altrui sui supporti di archiviazione aziendali, siano essi locali o di rete (…). Per completezza al punto 1.20 viene stabilito che l’inosservanza delle norme poste a tutela dei dati personali può determinare l’insorgere di responsabilità di tipo disciplinare, civile o anche penale. (…) Si ravvisa che la condotta tenuta dal reclamante sia ampiamente in contrasto con la politica aziendale, peraltro adottata sotto il suo controllo”;

- “nel caso di specie, quindi, Unistara ha consentito al sig. … di estrarre le email strettamente personali e non di lavoro, mentre ha considerato il restante materiale di carattere aziendale per il quale ritiene di avere il diritto di tutela e di conservazione, riguardando aspetti delicati e strategici per l’azienda”;

- per quanto riguarda la violazione dell’art. 5, par. 1, lett. a), del Regolamento contestata dall’Autorità “in quanto, dopo la cessazione del rapporto di lavoro, il titolare non ha provveduto ad adottare, contestualmente alla disattivazione dell’utenza, dei sistemi informatici di avviso ai soggetti terzi della cessazione di tale casella e della sua rimozione” (…), si ribadisce che l’attivazione del risponditore automatico, prevista dalle procedure aziendali “ (…) considerati i rapporti tra le parti particolarmente ostili e conflittuali, la Società non ha voluto generare pretesti di contestazioni, prive di un qualche fondamento, riguardo a possibili accessi abusivi e indiscriminati da parte della Società a scapito del reclamante”;

- rispetto alla violazione dei principi di limitazione della conservazione e di minimizzazione, “Unistara ha ritenuto di impostare la conservazione delle caselle di posta elettronica per la durata di 6 mesi per (…) creare una agevolazione al dipendente cessato, consentendogli di recuperare un proprio documento di cui non aveva più la disponibilità. Le trattative con i clienti Unistara sono gestite in prima persona dai rappresentanti commerciali principalmente per mezzo della posta elettronica. (…) la conservazione di n. 6 mesi consentirebbe il recupero di documenti commerciali, revisioni di progetti, accordi o specifiche tecniche difficili da reperire diversamente e di importanza cruciale per la Società stessa. Alla luce di quanto sopra, la conservazione della casella per il termine di n. 6 mesi è stata considerata ammissibile sulla base giuridica del legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento.

In data 30/05/2024, si è svolta l’audizione della parte, nel corso della quale sono state ribadite le osservazioni già formulate nel corso dell’istruttoria e precisato che con l’attuale policy aziendale il periodo di conservazione della posta elettronica è stato ridotto a due mesi.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, nonché della documentazione acquisita, risulta accertato che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1 Violazione degli artt. 12 e 15 del Regolamento.

Risulta, dall’esame della documentazione prodotta, che il reclamante ha chiesto alla Società di poter recuperare il contenuto della posta elettronica nonché la cartella contenente documenti personali conservata sul server dell’azienda (e-mail del 17 e del 21 febbraio 2022).

A fronte di tale richiesta, è stato concordato un incontro (che si è svolto il 28/02/2022), nel corso del quale la Società ha consentito al reclamante di eseguire la copia dei soli dati e documenti personali (come ad esempio foto personali e documenti antecedenti al suo ingresso in Società), mentre “il contenuto delle restanti cartelle (…) non è stato copiato per opposizione di Unistara S.p.A. vista la natura non personale dei documenti in esse contenuti” (verbale dell’accesso, prodotto in atti).

Con l’e-mail del 13/07/2022 (prodotta in atti), la Società confermava la disponibilità a un nuovo incontro, al fine di consentire l’accesso “ai files di carattere personale da lei archiviati, in violazione della policy aziendale, nel file system aziendale” oltre “agli eventuali messaggi di posta di carattere personale, ricevuti sull’account aziendale (…), di cui vorrà cortesemente indicare la categoria di appartenenza prima della sua visita”, escludendo in ogni caso “la richiesta di una copia integrale dei documenti aziendali elaborati ed archiviati durante la sua collaborazione, così come quella di una copia integrale di tutti i messaggi di posta elettronica ricevuti ed inviati [che], comporterebbero la violazione di segreti aziendali ed industriali di Unistara S.p.A. e dei suoi clienti e pertanto risulterebbero lesive di diritti e libertà della società stessa e di terzi”.

Come risulta dall’istruttoria, l’incontro tra le parti non si è più perfezionato per la differenza di posizioni tra le parti e pertanto il reclamante non ha potuto completare l’accesso ai propri dati personali, ancora presenti nel server aziendale come tra l’altro riconosciuto dalla stessa Società nella citata comunicazione del 13/07/2022.

Ciò posto, occorre richiamare, preliminarmente, il costante orientamento della Corte europea dei diritti dell’uomo, richiamato anche dall’Autorità nei propri provvedimenti, in base al quale la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost.; Infatti, nel provvedimento recante “Linee guida per posta elettronica e internet” l’Autorità ha osservato che “Il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali” (provvedimento del 01/03/2007, n. 13, doc. web n. 1387522, punto 5.2, lett. b).

Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ha ritenuto applicabile anche all’ambito lavorativo l’art. 8 della CEDU posto a tutela della vita privata, senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16/12/1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03/04/2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 05/09/2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28/11/2017 (ric. n. 70838/13), spec. par. 41-42).

Pertanto, il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

Alla luce di quanto sopra, rilevato che la corrispondenza oggetto dell’istanza di accesso riguarda comunicazioni elettroniche ricevute su un account di tipo individualizzato prima dell’interruzione del rapporto di lavoro, e pertanto già conosciute dall’interessato, si ritiene che il rifiuto opposto dalla Società di poter accedere a tutta la corrispondenza che è transitata sulla casella di posta elettronica non sia lecito perché in violazione dell’art. 15 del Regolamento (“L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali (…)”, art. 15, par. 1). 

Tra l’altro, si evidenzia come il Regolamento non consente deroghe o esenzioni all’esercizio del diritto di accesso, se non quelli espressamente previsti dall’art. 15, par. 4 (diritti e libertà altrui) e dall'art. 12, par. 5 (richieste manifestamente infondate o eccessive).

In particolare, è utile richiamare, per quanto qui di interesse, l'art. 15, par. 4, del Regolamento, in combinato disposto con il considerando 63, in base al quale il diritto di ottenere una copia dei dati (così come il diritto di accedere ai dati) non deve ledere i diritti e le libertà altrui, “compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software”.

Tuttavia, “la generica preoccupazione che, dando seguito alla richiesta di accesso, i diritti e le libertà altrui possano essere lesi non è sufficiente per fare appello all'articolo 15, paragrafo 4, GDPR. Il titolare del trattamento dev'essere in grado di dimostrare che, nella situazione concreta, i diritti o le libertà altrui sarebbero effettivamente lesi” (Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso, adottate dall’EBDP il 28/03/2023, punto 172).

Nel caso in esame, la Società non ha prodotto alcun elemento di fatto utile a dimostrare (né nei riscontri resi all’Autorità né nelle risposte fornite all’istante) che dall’accesso alla propria corrispondenza da parte dell’interessato potesse effettivamente derivare un pregiudizio serio per i diritti e le libertà, quali appunto la conoscibilità o la sottrazione di segreti aziendali.

Tra l’altro, la particolare posizione rivestita dal reclamante nell’ambito dell’organizzazione aziendale prima dell’interruzione del rapporto, rende difficile configurare nel caso in esame la fattispecie di cui all’art. 15, par. 4, del Regolamento.

Per quanto concerne la richiesta di accedere ai documenti presenti sul server aziendale, precisamente nella cartella personale presente all’interno della sezione denominata “Direzione_Unistara”, tenuto conto della portata del citato articolo 15 del Regolamento il cui ambito di applicazione è fortemente legato alla nozione di “dato personale” (v. Linee guida sul diritto di accesso, cit., punto 4.2., par. 102 e ss.) si osserva come sia compito del titolare del trattamento individuare nei propri sistemi informatici le informazioni che riguardano l’interessato e adottare misure appropriate per consentirne l’accesso.   

3.2 Violazione dell’art. 5, par. 1, lett. a), del Regolamento.

Dall’esame della documentazione acquisita nell’ambito dell’istruttoria, è risultato che la Società ha predisposto una policy aziendale, in data 22/06/2018, portata anche a conoscenza del reclamante.

Nel documento, nella sezione dedicata alla “posta elettronica” (par. 1.14.) si legge che “in caso di cessazione del rapporto di lavoro (…), l’indirizzo di posta elettronica viene disattivato e viene attivato un risponditore automatico. In caso di cessazione, la cassetta postale viene conservata per un periodo di 6 mesi, decorsi i quali viene eliminata. Durante questo periodo, l’utente cessato può richiedere di accedere al contenuto di eventuali messaggi a contenuto privato ricevuti prima della disattivazione. Tale accesso deve avvenire presso la sede di Unistara, in presenza di un amministratore di sistema”.

Mentre la valutazione circa i tempi di conservazione della posta elettronica è approfondita al par. 3.3, in tale sede occorre soffermarsi sull’informazione resa dalla Società in ordine all’attivazione di un risponditore automatico, conformemente alle indicazioni rese dall’Autorità nei propri provvedimenti.

In particolare, considerato che lo scambio di corrispondenza elettronica, estranea o meno all’attività lavorativa, su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. “Linee guida del Garante per posta elettronica e Internet”, cit., spec. punto 5.2, lett. b), il Garante ha ritenuto conforme ai principi in materia di protezione dei dati, che, dopo la cessazione del rapporto di lavoro, il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale (v. in proposito anche i provvedimenti n. 216 del 04/12/2019, doc web n. 9215890, n.53 del 01/02/2018, doc web n. 8159221).

La circostanza che la Società non abbia provveduto a realizzare le misure che essa stessa aveva previsto e comunicato alle persone con le quali aveva instaurato un rapporto professionale, fa sì che la condotta posta in essere risulti contraria ai principi di correttezza e trasparenza, di cui all’art. 5, par. 1, lett. a), del Regolamento.

Si prende atto delle revisioni apportate in data 13/07/2023 al documento recante “Istruzioni per gli incaricati” in cui si precisa che “In caso di cessazione del rapporto di lavoro (…) l’indirizzo di posta elettronica viene immediatamente disattivato e l’utente imposta un risponditore automatico” (par. 1.14).

3.3 Violazione degli artt. 5, par. 1, lett. c) ed e), e 6 del Regolamento.

Allo stesso modo, deve confermarsi il rilievo avente ad oggetto la conservazione per il periodo di 6 mesi del contenuto della corrispondenza che transita sugli account di posta elettronica, assegnati ai propri dipendenti e collaboratori, successivamente alla cessazione dei rapporti stessi.

Rispetto a tale specifica attività, occorre evidenziare che la Società, nel corso dell’istruttoria, ha rappresentato, quale finalità principale della conservazione di tali dati, quella di consentire agli stessi interessati l’accesso al contenuto dei messaggi aventi contenuto privato (v. “Istruzioni per gli incaricati” del 22/06/2018, punto 1.14).

Allo stesso tempo, secondo quanto rappresentato, tale conservazione di dati consentirebbe alla Società, in caso di cessazione del rapporto di lavoro,  “ di non interrompere le trattative (anche aziendali) in capo all’incaricato” chiedendo allo stesso “di nominare una persona fiduciaria alla quale dovrà comunicare le sue credenziali di accesso. La funzione aziendale che dovrà portare avanti le attività del cessato, affiancata dalla persona fiduciaria, accede al dispositivo per il recupero delle informazioni. Solo in caso di diniego da parte dell’incaricato, l’addetto ai sistemi informativi, amministratore di sistema, resetta la password e affianca la funzione interessata al recupero dell’informazione prima di disattivare l’utente” (punto 1.19 delle Istruzioni).

Al riguardo, si osserva che in numerosi provvedimenti l’Autorità ha rappresentato che “la legittima necessità di assicurare la conservazione di documentazione necessaria per l´ordinario svolgimento e la continuità dell´attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell´ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l´adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche” (v. provv. n. 263 del 22/06/2023. doc. web n. 9920814, provv. n. 53 del 01/02/2018, doc. web n. 8159221 e provv. n. 214 del 29/10/2020 doc. web 9518890).

Pertanto, al fine di assicurare una ordinaria ed efficiente gestione dei flussi documentali aziendali, è opportuno che la Società predisponga, conformemente alle disposizioni vigenti, strumenti e tecniche meno invasive per il diritto alla riservatezza degli interessati, con ciò evitando di porre in essere attività di accesso al contenuto delle comunicazioni pervenute sugli account assegnati ai collaboratori cessati, posto che tale attività non è necessaria né proporzionata rispetto allo scopo (v. provv. n. 53 del 01/02/2018, doc. web 8159221).

Sotto questo profilo, le modifiche introdotte al documento recante “Istruzioni per gli incaricati” (specificatamente al punto 1.20, in cui si legge che “La funzione aziendale subentrata al cessato, al fine di non interrompere le trattative e le altre attività da questi interrotte, può accedere alla sua cassetta postale” secondo modalità che vengono descritte più in dettaglio) risulta ancora non conforme al quadro normativo appena richiamato.

Ne consegue che la condotta tenuta dalla Società, consistente nella conservazione per 6 mesi dopo la cessazione del rapporto di lavoro del contenuto della corrispondenza transitata sugli account di posta elettronica individualizzata dei propri dipendenti, nonché la loro reperibilità, per mere finalità di continuità dell’attività aziendale, risulta illecita, in quanto posta in essere in assenza di un presupposto di liceità ai sensi dell’art. 6 del Regolamento, e contraria ai principi di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. c) ed e) del Regolamento.

Nel caso di specie, considerato che non è stato accertato un accesso da parte del titolare del trattamento al contenuto della posta elettronica dei dipendenti cessati, si è ritenuto di non contestare la violazione dell’art. 114 del Codice (che richiama l’art. 4 della legge n. 300/1970 quale condizione di liceità del trattamento).

Si prende atto delle modifiche introdotte dalla Società alla policy aziendale aggiornata al 13/07/2023, laddove è previsto un periodo di conservazione della posta elettronica dei dipendenti cessati pari a due mesi, unicamente per assolvere alla finalità di consentire all’ “utente cessato di richiedere di accedere al contenuto di eventuali messaggi a contenuto privato ricevuti prima della disattivazione” (Istruzioni del 13/07/2023, punto 1.14). In tale caso, è necessario che il titolare del trattamento predisponga idonee misure per evitare di accedere al contenuto della posta elettronica, durante questo periodo.

4. Conclusioni: dichiarazione di illiceità del trattamento.  Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Unistara S.p.A. risulta illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), c), e), 6, 12 e 15 del Regolamento.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, si prende atto che nel corso del procedimento la Società ha provveduto ad adottare alcune misure volte ad allineare il trattamento dei dati personali dei propri dipendenti e collaboratori al quadro normativo sopra descritto.

Si ritiene ad ogni modo necessario prescrivere le seguenti misure correttive:

- consentire al reclamante l’accesso al contenuto della corrispondenza presente sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del rapporto di collaborazione;

- consentire l’accesso agli ulteriori dati e informazioni personali riferite all’interessato laddove presenti nel server aziendale;

- conformare la policy aziendale alla disciplina in materia di protezione dei dati personali come sopra richiamata, con particolare riferimento alla possibilità di accedere al contenuto della posta elettronica dei dipendenti cessati per le dichiarate finalità di garantire la continuità dell’attività aziendale e di consentire l’accesso ai dipendenti/collaboratori cessati .

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Unistara S.p.A. ha violato gli artt. 5, par. 1, lett. a), c) ed e), 6, 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Unistara S.p.A. di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’ applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento, connessi all’utilizzo degli strumenti elettronici nell’ambito del rapporto di lavoro, nonché il riscontro inidoneo all’istanza di esercizio dei diritti;

con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società, il grado di responsabilità della stessa che non risulta tuttora conforme alla disciplina in materia di protezione dei dati relativamente;

a favore della parte si è tenuto conto dell’assenza di precedenti specifici.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio di esercizio per l’anno 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Unistara S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 40.000,00 (quarantamila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione della condotta particolarmente lesiva dei diritti dell’interessato, avvenuta in violazione dei principi generali in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del trattamento effettuato da Unistara S.p.A., in persona del legale rappresentante pro tempore, con sede legale in Genova, Piazza Raffaele Rossetti, P.I. 02611500105, per la violazione degli artt. 5, par. 1, lett. a), c), e), 6, 12 e 15 del Regolamento;

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, prescrive alla Società di conformarsi, entro 60 giorni dalla data di notifica del presente provvedimento, alle prescrizioni formulate al par. 4 della presente decisione, richiedendo al contempo di fornire, entro il predetto termine, un riscontro adeguatamente motivato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;               

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Società di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/20129, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 27 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei