Il Garante della Privacy, con ordinanza n. 8 dell'11 gennaio 2023, ha statuito che non è ammissibile accedere ai messaggi di posta elettronica di un ex collaboratore nemmeno per esigenze di difesa in sede di contenzioso giudiziale e, per tale ragione, ha ingiunto alla società il pagamento di una sanzione amministrativa per la violazione delle regole in materia di trattamenti di dati personali.
La vicenda trae origine dal fatto che un'azienda, dopo l'interruzione della collaborazione con un'esponente di una cooperativa, ne aveva mantenuto attivo l'account di posta elettronica, prendendo visione del contenuto che dettagliava i riferimenti di potenziali clienti.
Tra l'azienda e la ex collaboratrice era poi insorto un contenzioso per regolare le pendenze del precedente rapporto.
Secondo il Garante della Privacy il comportamento aziendale, motivato dall'esigenza di non perdere la potenziale clientela da un lato e, dall'altro, di tutelare il proprio diritto di difesa in giudizio, non giustificava né legittimava un’intrusione illecita nella corrispondenza di un collaboratore che è coperta da una garanzia anche costituzionale di segretezza.
Principio che tende a proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nell'ambito delle formazioni sociali.
Infatti il legittimo interesse a trattare i dati personali per difendere un proprio diritto in giudizio non può comportare un annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati.
Secondo il Garante non risultava, poi, nessun criterio di legittimazione per l'effettuazione del trattamento sia relativamente all'accesso alle e-mail scambiate durante la collaborazione, sia per quanto riguarda la stessa predisposizione di un sistema di inoltro delle comunicazioni ad altro account.
Secondo il Garante della Privacy, la finalità (legittima) di non perdere contatti commerciali utili per la propria attività si sarebbe potuta perseguire con trattamenti meno invasivi e rispettosi del principio di minimizzazione.
In merito infatti alla dichiarata esigenza di “non interrompere ex abrupto i contatti con i clienti che la collaboratrice aveva contattato agendo per conto della società, spendendone il nome” il Garante ricorda come, secondo il proprio orientamento consolidato (tra i più recenti vedasi provvedimento n. 440 del 16 dicembre 2021, doc. web n. 9739653), realizzi un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell'attività economica del titolare e diritto alla riservatezza dell'interessato) l'attivazione di un sistema di risposta automatico con il quale vengono forniti indirizzi alternativi ai quali contattare il titolare.
Ciò senza che il titolare del trattamento prenda visione delle comunicazioni in entrata sull'account individualizzato assegnato all'interessato. Ciò discende anche dal principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) per cui il titolare del trattamento deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
