Un ex collaboratore proponeva reclamo al Garante lamentando ripetute violazioni della normativa privacy da parte della società con cui intratteneva un rapporto lavorativo.
In particolare, il reclamante lamentava la prassi degli organi apicali della società di controllare quotidianamente il contenuto della corrispondenza elettronica che veniva scambiata mediante l’account aziendale nell’esercizio delle proprie mansioni lavorative.
Il reclamante sosteneva quindi la violazione del trattamento dei dati personali effettuato mediante l’account di posta elettronica, il tutto in assenza di alcuna informativa fornita ai dipendenti che li informasse della visibilità degli scambi di posta elettronica da parte della direzione o comunque dettasse un regolamento aziendale.
LE VIOLAZIONI ACCERTATE
L’istruttoria del Garante ha rivelato che la società non aveva in alcun modo informato i suoi collaboratori e dipendenti circa la possibilità, per quest’ultima, di effettuare il trattamento oggetto di contestazione. Ma non solo: le indagini hanno evidenziato come non fosse stata fornita alcuna informativa, nemmeno generica, sulle modalità di utilizzo degli account di posta elettronica.
Infine, dai controlli del Garante è emerso che la società gestiva i messaggi di posta elettronica senza rispettare i principi di minimizzazione e proporzionalità rispetto alle finalità perseguite. Infatti, intervenendo con commenti sull’operato dei singoli dipendenti, resi noti anche agli altri colleghi e clienti presenti nella conversazione elettronica, gli organi amministrativi perseguivano scopi (evidentemente) ulteriori rispetto a quello di assicurare il coordinamento delle attività svolte.
In base alla tipologia delle violazioni accertate, al grado di cooperazione della Società con l’Autorità Garante, al carattere doloso o colposo della condotta illecita ed all’assenza di precedenti violazioni in tema privacy, il Garante ha ingiunto una sanzione pari alla somma di euro 40.000, oltre alla pubblicazione del provvedimento.
ALCUNI PRINCIPI FONDAMENTALI
Il GDPR prevede alcuni principi fondamentali che devono essere osservati anche – e soprattutto – nella gestione dei rapporti con dipendenti e collaboratori. Tra questi, in correlazione al caso di specie:
- il Titolare può trattare lecitamente i dati personali dei propri collaboratori solo se il trattamento è necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi di legge, pur sempre nel rispetto dei principi dettati dal GDPR. Ad esempi, l’accesso alle e-mail dei dipendenti è ammesso solo quando strettamente necessario al fine di tutelare il patrimonio aziendale o verificare la commissione di un illecito.
- è onere del titolare del trattamento fornire ai propri dipendenti e collaboratori l’informativa sulla visibilità degli account, la quale deve comunque essere conforme ai principi di liceità, proporzionalità e gradualità. Non può essere ritenuto conforme alla normativa Privacy l’aver fornito l’informativa in maniera verbale, così come sostenuto nelle memorie difensive dalla Società. L’art. 12 GDPR prevede infatti che “Le informazioni sono fornite per iscritto o con altri mezzi” solamente “se richiesto dall’interessato, le informazioni possono essere fornite oralmente”.
- il titolare è altresì tenuto ad indicare chiaramente le modalità corrette di utilizzo degli strumenti messi a disposizione dei propri collaboratori e se, in che misura e con quali modalità vengano effettuati controlli. In questo caso, sarebbe opportuno adottare un apposito “Regolamento Aziendale” per l’utilizzo dei dispositivi informativi.
Il nostro Team supporta i reparti HR di moltissime aziende, implementando modelli di gestione del personale che garantiscono la compliance al GDPR.
Chiamaci ora: 0541 1798723Un ex collaboratore proponeva reclamo al Garante lamentando ripetute violazioni della normativa privacy da parte della società con cui intratteneva un rapporto lavorativo.
In particolare, il reclamante lamentava la prassi degli organi apicali della società di controllare quotidianamente il contenuto della corrispondenza elettronica che veniva scambiata mediante l’account aziendale nell’esercizio delle proprie mansioni lavorative.
Il reclamante sosteneva quindi la violazione del trattamento dei dati personali effettuato mediante l’account di posta elettronica, il tutto in assenza di alcuna informativa fornita ai dipendenti che li informasse della visibilità degli scambi di posta elettronica da parte della direzione o comunque dettasse un regolamento aziendale.
LE VIOLAZIONI ACCERTATE
L’istruttoria del Garante ha rivelato che la società non aveva in alcun modo informato i suoi collaboratori e dipendenti circa la possibilità, per quest’ultima, di effettuare il trattamento oggetto di contestazione. Ma non solo: le indagini hanno evidenziato come non fosse stata fornita alcuna informativa, nemmeno generica, sulle modalità di utilizzo degli account di posta elettronica.
Infine, dai controlli del Garante è emerso che la società gestiva i messaggi di posta elettronica senza rispettare i principi di minimizzazione e proporzionalità rispetto alle finalità perseguite. Infatti, intervenendo con commenti sull’operato dei singoli dipendenti, resi noti anche agli altri colleghi e clienti presenti nella conversazione elettronica, gli organi amministrativi perseguivano scopi (evidentemente) ulteriori rispetto a quello di assicurare il coordinamento delle attività svolte.
In base alla tipologia delle violazioni accertate, al grado di cooperazione della Società con l’Autorità Garante, al carattere doloso o colposo della condotta illecita ed all’assenza di precedenti violazioni in tema privacy, il Garante ha ingiunto una sanzione pari alla somma di euro 40.000, oltre alla pubblicazione del provvedimento.
ALCUNI PRINCIPI FONDAMENTALI
Il GDPR prevede alcuni principi fondamentali che devono essere osservati anche – e soprattutto – nella gestione dei rapporti con dipendenti e collaboratori. Tra questi, in correlazione al caso di specie:
- il Titolare può trattare lecitamente i dati personali dei propri collaboratori solo se il trattamento è necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi di legge, pur sempre nel rispetto dei principi dettati dal GDPR. Ad esempi, l’accesso alle e-mail dei dipendenti è ammesso solo quando strettamente necessario al fine di tutelare il patrimonio aziendale o verificare la commissione di un illecito.
- è onere del titolare del trattamento fornire ai propri dipendenti e collaboratori l’informativa sulla visibilità degli account, la quale deve comunque essere conforme ai principi di liceità, proporzionalità e gradualità. Non può essere ritenuto conforme alla normativa Privacy l’aver fornito l’informativa in maniera verbale, così come sostenuto nelle memorie difensive dalla Società. L’art. 12 GDPR prevede infatti che “Le informazioni sono fornite per iscritto o con altri mezzi” solamente “se richiesto dall’interessato, le informazioni possono essere fornite oralmente”.
- il titolare è altresì tenuto ad indicare chiaramente le modalità corrette di utilizzo degli strumenti messi a disposizione dei propri collaboratori e se, in che misura e con quali modalità vengano effettuati controlli. In questo caso, sarebbe opportuno adottare un apposito “Regolamento Aziendale” per l’utilizzo dei dispositivi informativi.
Il nostro Team supporta i reparti HR di moltissime aziende, implementando modelli di gestione del personale che garantiscono la compliance al GDPR.
Chiamaci ora: 0541 1798723