Per la salvaguardia della propria attività, le aziende possono prevedere un sistema di raccolta, gestione e conservazione dei dati, anche delle mail, che tuteli dipendenti e collaboratori accompagnato da un’adeguata informativa sull’uso degli strumenti aziendali e di lavoro. E’ fondamentale, però, che le aziende facciano un constante monitoraggio delle informative e una valutazione periodica di un loro aggiornamento con attenzione al contenuto ed alle finalità dichiarate del trattamento dei dati: sempre più oggi, nel contesto in continua evoluzione delle conoscenze tecniche, degli orientamenti del Garante della Privacy e della legislazione speciale che interviene periodicamente in questa materia, un elemento dal quale non è possibile prescindere. Attenzione: perché pare accentuarsi il divario preoccupante fra prassi abitualmente ritenute lecite delle aziende e sanzioni ex post di quelle stesse prassi da parte del Garante della Privacy. Con provvedimento n. 472 del 17 luglio 2024, il Garante della privacy ha (pesantemente) sanzionato una società per ritenuta violazione delle disposizioni del GDPR (Regolamento n. 679/2016) ed, in particolare, per comportamenti riconducibili ad un’illecita raccolta, trattamento e conservazione (art. 5, par. 1 lett. a), c) ed e) relative rispettivamente ai principi di liceità, adeguatezza e limitazione del trattamento) delle mail aziendali di un proprio ex agente di commercio scambiate nel corso del rapporto di collaborazione, da cui poi l’azienda aveva tratto elementi ed informazioni per avviare a danno dello stesso un giudizio per concorrenza sleale ex art. 2598 n. 3 c.c. Al di là del merito della vicenda scaturita da un esposto, quale reazione dell’ex collaboratore all’azione di concorrenza sleale intentatagli dalla società, a seguito di quanto emerso dal controllo delle mail aziendali successivamente alla cessazione del rapporto, quello che stupisce nel caso concreto è la gravità con cui il Garante della privacy ha valutato nel suo complesso il comportamento dell’azienda dal punto di vista tecnico, irrogando una sanzione di ben euro 80.000 ed inibendo il trattamento e la conservazione delle mail. Ordine questo che certamente avrà un impatto anche nel giudizio di concorrenza sleale nel frattempo avviato ai danni dell’ex agente. Quello sanzionato sarebbe stato, infatti, l’uso di un dispositivo MailStore (peraltro utilizzato da un gran numero di aziende) che garantiva il back-up delle caselle di posta elettronica di tutti i dipendenti, ivi compreso l’ex agente. Si legge, infatti, nel provvedimento “risulta che attraverso tale dispositivo la società effettua il backup del contenuto delle caselle di posta elettronica in uso ai dipendenti e ai collaboratori, in vigenza del rapporto di lavoro/collaborazione, conservandone il contenuto in modo sistematico e automatico per un periodo di tempo pari a tre anni, dopo la cessazione dei rapporti lavorativi. La società ha dichiarato, nelle memorie difensive, che la finalità di tale trattamento è garantire la sicurezza dei sistemi informatici, ai sensi dell’art. 5, par. 1, lett. f), del Regolamento”. Peraltro, l’eventualità di conservazione delle e-mail aveva formato adeguatamente oggetto dell’informativa ex art. 13 GDPR consegnata al collaboratore. A ciò si aggiunga che il Garante ha altresì ritenuto la mail aziendale (ed il successivo back up effettuato tramite MailStore) integrante un controllo aziendale a distanza ex art. 4 della legge n. 300/1970 che avrebbe richiesto l’adozione di un accordo aziendale previsto dalla stessa norma. Il che pare francamente eccessivo, considerato che lo stesso art. 4 esenta dall’adozione della procedura autorizzativa sindacale o amministrativa gli strumenti di lavoro, come certamente la posta aziendale, e di conseguenza il back up della stessa.

Fonte: IPSOA