x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Email aziendale dell’ex amministratore: il Garante belga si pronuncia sul ripristino e sull’accesso

Il Garante belga ha sanzionato un datore di lavoro per aver ripristinato il contenuto dell’account email aziendale dell’ex amministratore/dipendente, da quest’ultimo cancellato prima di uscire dalla società
Email aziendale dell’ex amministratore
Email aziendale dell’ex amministratore

Altri articoli dell'autore

Diritto /

Galeotto fu Google Street View

Diritto /

Geolocalizzazione dei dipendenti: il ruolo della DPIA va valorizzato

Diritto /

Chiamate tra operatori e consumatori: per il Garante francese sono registrabili senza consenso

Email aziendale dell’ex amministratore: il Garante belga si pronuncia sul ripristino e sull’accesso


Account di posta elettronica

Il 1° aprile 2022, il Garante belga si è pronunciato su una vicenda riguardante il ripristino di un account email cancellato dall’ ex dipendente prima di abbandonare la società, irrogando una sanzione di euro 7.500,00.

La vicenda è peculiare rispetto a quelle analoghe decise fino ad ora da altri Garanti europei ma riguarda casi molto diffusi nella pratica.

Per riassumere la vicenda, tutto ha inizio dal ricorso di una persona fisica, ex dipendente di una società, che lamentava il ripristino della propria email aziendale (e degli annessi contenuti) da parte dell’ex datore di lavoro. Fino a qui la vicenda è abbastanza “classica”, se non fosse che la persona fisica aveva venduto la propria società alla società acquirente convenuta davanti al Garante ed era restato in forze quale dipendente, cessando dalla carica di amministratore ma conservando comunque lo stesso account email aziendale che aveva usato sino a quel momento.

In pendenza del rapporto di lavoro, nasceva un contezioso tra l’acquirente della società e il cedente delle quote in relazione al saldo del prezzo di vendita delle azioni. L’acquirente, infatti, lamentava l’emersione di sopravvenienze passive e tratteneva una parte del prezzo di vendita.

I rapporti finivano così per deteriorarsi e il rapporto di lavoro tra l’alienante, rimasto per l’appunto fino ad allora in forze quale dipendente, e la società, detenuta interamente dall’acquirente, cessava. Prima di abbondare il luogo di lavoro, l’ormai ex dipendente eliminava tutta la posta elettronica contenuta nella propria casella di posta elettronica aziendale che, ribadiamo, era la stessa che utilizzava quale amministratore prima di vendere la società.

A fronte di questa condotta, la società/datrice di lavoro si attivava così per recuperare il contenuto della casella di posta elettronica, avvisando l’ex dipendente e giustificando il trattamento sulla base di plurimi legittimi interessi, quali (a) raccogliere prove da produrre nel contenzioso già in essere con l’ex-dipendente, in qualità di alienante, relativamente al prezzo di vendita delle azioni, e il (b) potenziale esercizio dell’azione di responsabilità verso il soggetto, in quanto ex amministratore della società.

A questo punto, l’ex-dipendente ricorreva quindi al Garante belga e lamentava l’illiceità del trattamento.


La pronuncia del Garante belga

Davanti a questa vicenda, il Garante ha riconosciuto l’esistenza del legittimo interesse di cui al punto (a), seppur sottolineando che il trattamento avrebbe dovuto limitarsi ai dati pertinenti alla finalità e, quindi, riguardare solo le email relative al periodo dall’avvenuta compravendita delle azioni (2017) in poi, fermo restando che la mancanza di una preventiva LIA rendeva comunque l’intero trattamento illecito ab origine, come d’altronde affermato da altri Garanti europei di recente.

Sul punto, nelle valutazioni del Garante ha pesato molto anche il rifiuto della società ad accogliere l’invito del ricorrente ad un esame congiunto, insieme ad un terzo, delle email recuperate, per selezionare quelle pertinenti alla finalità perseguita dalla società.

Anche il potenziale esercizio dell’azione di responsabilità verso il reclamante è stato ritenuto un legittimo interesse apprezzabile da parte del Garante belga, per quanto limitatamente ai dati riferiti ai soli 5 anni anteriori alla cessazione della carica, essendo quest’ultimo il termine di prescrizione per l’azione di responsabilità verso l’ex amministratore nell’ordinamento belga.

Di grande interesse sono anche le statuizioni del Garante belga in relazione all’omesso adempimento dell’obbligo di informativa da parte del titolare.

Premesso che, nel caso di specie, il titolare aveva semplicemente comunicato all’interessato i dati che erano stati estratti mediante il recupero delle email cancellate, il Garante non ha ritenuto violato l’obbligo poiché (i) ha presunto che dalla qualità di ex-amministratore dell’interessato egli già disponesse delle informazioni di cui all’articolo 13 GDPR, che prevede infatti una dispensa dall’obbligo al titolare nel caso in cui l’interessato già disponga delle informazioni relative al trattamento, e (ii) relativamente al termine di conservazione, doveva considerarsi la difficoltà del titolare nel poterlo stimare, dipendendo da processi in itinere/in fase di avvio.

A fronte di tutte queste considerazioni, il Garante belga ha irrogato una sanzione abbastanza bassa per il tipo di trattamento illecito effettuato dal titolare.

Va comunque rilevato come il Garante belga abbia offerto interpretazioni sicuramente molto interessanti sulla declinazione pratica dei principi del GDPR in vicende come questa, che comunemente accadono.

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

La riservatezza su Whatsapp

Diritto /

La tecnica del bilanciamento nel difficile equilibrio tra accesso agli atti amministrativi e tutela della privacy

Newsletter Abbonamenti