[doc. web n. 9909235]

Provvedimento del 27 aprile 2023

Registro dei provvedimenti
n. 171 del 27 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dai Sig.ri XX, XX e XX nei confronti di Geico S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

Con reclamo del 20 agosto 2020, i Sig.ri XXX, XX e XX hanno lamentato presunte violazioni del Regolamento da parte di Geico S.p.A. (di seguito, la Società), con riferimento ai trattamenti di dati personali effettuati mediante gli account di posta elettronica (XX, XX e XX) assegnati ai reclamanti nell’ambito del rapporto di lavoro intercorso con la Società.

Con il reclamo, in particolare, è stato lamentato che la Società ha mantenuto attivi i predetti indirizzi di posta elettronica dopo l’interruzione del rapporto di lavoro ed ha acceduto al contenuto degli stessi, quantomeno fino alla data del 17 marzo 2021 (come evidenziato dalle notifiche automatiche di sicurezza di Google ricevute dagli interessati: v. memoria di replica dei reclamanti del 1/6/2021).

Parte dei dati in tal modo trattati sono stati utilizzati in un giudizio avviato dalla Società davanti all’autorità giudiziaria ordinaria competente.

Tali operazioni di trattamento sugli account di posta elettronica aziendale sarebbero state effettuate dalla Società, in assenza di informativa agli interessati, ai sensi dell’art. 13 del Regolamento.

La Società, nel fornire riscontro alla richiesta di informazioni dell’Ufficio, con nota del 22 marzo 2021, ha dichiarato che:

a. “i fatti contestati devono essere collocati nell’ambito di una vicenda ben più ampia e complessa”, in relazione alla quale la Società ha adito l’autorità giudiziaria competente (Tribunale di Milano-Sezione specializzata in materia di imprese) nei confronti dei reclamanti (nota 22/3/2021, p. 2);

b. “quando GEICO ha preso contezza del grave e irreparabile pericolo in corso che rischiava di compromettere […] l’ulteriore prosecuzione della propria attività di business si è vista obbligata ad adottare delle misure straordinarie ed eccezionali rispetto alle proprie procedure ordinarie di trattamento dei dati personali” (nota cit., p. 5);

c. “Gli account [assegnati ai reclamanti] sono stati disattivati alla fine del marzo 2019 (con riferimento ai reclamanti XX e XX) il giorno successivo alla cessazione del rapporto. Riguardo all’account del Sig.XX, questo è stato disattivato nel maggio 2019, il giorno successivo alla cessazione del rapporto. Considerata la grave condotta illecita posta in essere dai reclamanti […] non si è provveduto a compiere la consueta attività di archiviazione “takeout” stante la necessità di mantenere del tutto intatto il materiale probatorio contenuto nelle rispettive caselle” (nota cit., p. 5);

d. “l’accesso [agli account] è stato eseguito [dal perito di parte] esclusivamente per la tutela dei diritti [della Società] in sede giudiziale” (nota cit., p. 6);

e. “non si sono trattati (né dedotti in giudizio) fatti o dati relativi alla vita privata altrui (trattando le email in questione esclusivamente profili lavorativi e professionali)” (nota cit., p. 8).

Con successiva nota del 15 febbraio 2022, inviata in riscontro a una richiesta di ulteriori informazioni formulata dall’Ufficio, la Società ha dichiarato che:

a. “le procedure operative aziendali […] sono state ufficializzate tramite comunicazioni aziendali da parte dei responsabili di settore. In particolare l’IS6417 è stata ufficializzata a tutti i dipendenti […] in data 27 luglio 2015” (nota 15/2/2022, p. 1-2);

b “tutte le procedure aziendali, incluse la IS6188 (relativa a Regole di utilizzo Strumenti e Servizi Informatici Aziendali) e la IS6417 (relativa a OutBoarding Google Apps), venivano puntualmente ed efficacemente diffuse […] tramite comunicazione trasmessa al dominio XX” (nota cit., p. 2);

c. ancora con riferimento alle specifiche modalità con le quali le policy aziendali relative all’uso corretto della posta elettronica aziendale e dei controlli effettuati dalla Società sono state rese note ai reclamanti, è stato rappresentato che, dalla e-mail del 2 marzo 2015 indirizzata dalla funzione Risorse umane anche ad uno dei reclamanti, emerge che “per consolidata prassi aziendale […], evidentemente ben nota ai reclamanti, tutti i neoassunti vengono sottoposti a precisi training iniziali e sessioni di «induction», anche in punto policy [aziendale]” (nota cit., p. 6);

d. “come dimostrano i Moduli di Assegnazione e Autorizzazione al Trasporto di Personal Computer […] i reclamanti […] hanno accettato e sottoscritto l’impegno ad attenersi alla Istruzione operativa «Regole di utilizzo strumenti e servizi informatici aziendali» IS6188 […]” (nota cit., p. 2-3);

e. “In una prima fase, gli account sono stati sospesi (disattivati) […] il giorno successivo alla cessazione del rapporto” (nota cit., p. 3);

f. “In relazione al meccanismo di forward automatico […] si rimanda alla procedura […] IS6417 (OutBoarding Google Apps)” (nota cit., p. 3);

g. “Alla fine di marzo 2019, i reclamanti comunicano […] all’allora presidente […] la loro intenzione di dimettersi. Comunicano, inoltre, di voler mettere su una società per lavori di piccolo calibro. Sennonché, nei giorni seguenti, venivano però riscontrati comportamenti contraddittori […], che generavano […] numerosi sospetti” (nota cit., p. 6);

h. “il trattamento operato sugli account di posta elettronica dei reclamanti è stato quindi unicamente ed esclusivamente motivato e finalizzato agli opportuni accertamenti e alle strettamente conseguenti e correlate esigenze difensive scaturite dalle condotte dei reclamanti” (nota cit., p. 6);

i. “l’allegato 6 alla Relazione [del perito di parte] conteneva tutte le email transitate sugli account in questione. […] dalle email in questione è emerso […] un uso disinvolto (quando proprio non difforme alle policy aziendali) dell’account di lavoro [dei reclamanti] per l’iscrizione a mailing list assolutamente non pertinenti all’attività lavorativa (e.g. riconducibili a siti quali Volagratis, Marriot hotel ecc.)” (nota cit., p. 7);

j. “l’accesso alle caselle di posta e l’utilizzo delle email ivi trovate e prodotte in giudizio dinanzi al Tribunale di Milano, è stato necessitato, circoscritto e limitato all’acquisizione in tale sede […]” (nota cit., p. 7).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 28 giugno 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), b), c), e), f) e 13 del Regolamento.

Con memorie difensive inviate in data 29 luglio 2022, la Società ha dichiarato che:

a. “le condotte e i trattamenti dei dati dei tre Reclamanti […] devono necessariamente essere considerati nel contesto fattuale e nella successione temporale in cui si sono svolti tutti i fatti rilevanti nell’ambito dello specifico rapporto tra [la Società] e i [reclamanti]” (nota 29/7/2022, p. 1);

b. i reclamanti “per oltre dieci anni, hanno ricoperto all’interno [della Società] cariche apicali e dirigenziali, con l’affidamento agli stessi, come interfaccia con clienti e fornitori, di rilevanti responsabilità riguardo a settori strategici dell'azienda” (nota cit., p. 1);

c. “Il ruolo apicale e dirigenziale e la durata ultradecennale del rapporto di lavoro dei Reclamanti presso [la Società] hanno reso le loro dimissioni [rese in data 28/3/2019] – volontarie e concomitanti – fin da subito sospette” (nota cit., p. 2);

d.  il giorno successivo alle dimissioni di due reclamanti (29/3/2019) la Società ha inviato ad entrambi una comunicazione con la quale annunciava l’immediata interruzione del rapporto di lavoro (dalla data della comunicazione stessa), rammentando il contenuto dell’art. 2598 c.c. in materia di concorrenza sleale; nella medesima data inoltre sarebbero emersi “Primi indizi della sottrazione di segreti e know-how, contraffazione di brevetto e concorrenza sleale dei Reclamanti in danno [della Società]” (nota cit., p. 2 e All. 18);

e. in data 18/4/2019, è emersa la “prova della sottrazione di segreti e know-how, contraffazione di brevetto e concorrenza sleale posta in essere dai Reclamanti in danno [della Società]”, consistente in una e-mail trasmessa da uno dei reclamanti ad un esponente di società concorrente, con in copia gli altri due reclamanti (di cui uno in quel momento ancora dipendente della Società) (nota cit., p. 2);

f. tra il 30/7 e l’11/9 2019, è stata effettuata “Attività di indagine tecnico-forense presso [la Società da parte del perito di parte]”, che ha presentato una prima relazione in data 18/10/2019 (nota cit., p. 3 e All. 27);

g. “i lamentati trattamenti posti in essere [dalla Società] sono stati fin da subito motivati esclusivamente da finalità difensive e di precostituzione della prova nell’ambito di procedimenti giudiziali – civili e penali – che [la Società] ha effettivamente […] avviato” (nota cit., p. 6);

h. la Società “aveva interesse – essendo a rischio la propria stessa competitività sul mercato e continuità aziendale – a conoscere eventuali altri soggetti coinvolti e quali e quante informazioni e dati erano stati sottratti” (nota cit., p. 6);

i. “Con riferimento alla durata del lamentato trattamento […] per tutto il periodo di durata del procedimento cautelare (circa 18 mesi, tra primo e secondo grado cautelare) e per quello immediatamente successivo [la Società] doveva necessariamente restare nella disponibilità di tutte le evidenze delle violazioni avversarie” (nota cit., p. 7);

j. “risulta erronea la cronologia riproposta a pag. 5 del provvedimento del Garante del 28.06.2022 con riferimento alla data di conferimento dell’incarico [al perito di parte]” (nota cit., p. 7);

k. “è da tempo in vigore un regolamento interno denominato “Istruzione Operativa – Regole di utilizzo Strumenti e Servizi Informatici Aziendali IS 6188” […], entrato in vigore il 20.04.2015 e ben noto ai Reclamanti in quanto consegnato in copia cartacea a ciascun dipendente e messo a disposizione in formato elettronico sulla rete intranet aziendale” della Società (nota cit., p. 8);

l. “ammesso e non concesso che [la Società] abbia trattato dati personali – illecitamente transitati, stanti le vigenti policy […], sulle caselle di posta e device aziendali degli odierni Reclamanti (peraltro, poco più che nome e cognome dei Reclamanti e talune iscrizioni – non autorizzate – a newsletter di viaggi…), tale trattamento è stato fatto esclusivamente per avere prova degli illeciti” (nota cit., p. 10);

m.  “quando GEICO ha preso contezza del pericolo in corso, che rischiava di compromettere in modo grave e irreparabile l’ulteriore stessa prosecuzione della propria […] attività imprenditoriale e commerciale e concorrenzialità sul mercato, si è vista obbligata ad adottare misure rapide, straordinarie ed eccezionali rispetto alle proprie procedure ordinarie di trattamento dei dati personali, in una situazione di pericolo per l’azienda imminente, concreto e del tutto inusitato” (nota cit., p. 15);

n. sono allo stato pendenti nei confronti del reclamante alcuni procedimenti davanti all’autorità giudiziaria ordinaria, attivati dalla Società a sua tutela;

o. la Società ha, da ultimo, fornito tutti gli elementi di cui all’art. 83, par. 2 del Regolamento.

Nel corso dell’audizione, tenutasi in data 22 novembre 2022, la Società ha infine dichiarato che:

a. “a seguito del ricevimento del reclamo dinanzi al Garante sporto dai Reclamanti, la Società, in data 20 giugno 2020, ha adottato una nuova policy riferita, in particolare, all’utilizzo degli strumenti aziendali, compresa la posta elettronica, che ha tenuto conto di tutti i rilievi contenuti nella nota del Garante”;

b. “la Società ha completato l’attività di adeguamento alla disciplina in materia di protezione dei dati personali attraverso l’introduzione della figura dei referenti privacy per ciascuna funzione nonché l’istituzione di un Comitato Privacy e di un Comitato Strategico Privacy […] nonché l’adozione e/o l’aggiornamento di policy relative alla privacy sia dei dipendenti che dei clienti”;

c. “Quanto alle modalità di comunicazione aziendale, e in particolare alla “istruzione operativa” vigente all’epoca dei fatti oggetto di reclamo, si fa presente che nel 2015 non era ancora attivo un sistema di intranet aziendale e la comunicazione avveniva mediante l’invito rivolto ai dipendenti di iscriversi a una community aziendale”;

d. “il reclamo nasce da un tentativo degli ex-dipendenti di invalidare le prove raccolte dalla Società e utilizzate nell’ambito di procedimenti pendenti sia in sede civile che penale. La Società ha agito esclusivamente per tutelare i propri diritti in giudizio. Si chiede, pertanto, al Garante di tener conto del principio di carattere generale di legittima difesa, nell’ambito dell’attività di bilanciamento dei diritti e degli interessi sottesi alla vicenda che ha dato origine al reclamo”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1 Esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ai reclamanti, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società ha mantenuto attivi gli account, assegnati ai reclamanti nel corso del rapporto di lavoro, per un periodo significativo di tempo (quantomeno fino al 17 marzo 2021), previa disattivazione e contestuale reindirizzamento degli stessi su diverso indirizzo aziendale, a decorrere dal giorno successivo alla cessazione del rapporto di lavoro (ossia, rispettivamente, in data 29 marzo 2019 per due reclamanti e 20 maggio 2019 per il terzo).

I predetti account sono stati poi chiusi, seppure in data non precisata, come comunicato dalla Società all’Autorità in data 15 febbraio 2022.

Ciò ha comportato l’effettuazione di attività di trattamento di dati personali, riferiti ai reclamanti e contenuti nella corrispondenza elettronica presente nell’account aziendale, alla luce delle definizioni di “dato personale” e “trattamento”, contenute nell’art. 4, n. 1 e 2, del Regolamento, che ricomprendono anche i dati relativi all’attività lavorativa.

Peraltro la stessa Società ha dichiarato di aver rinvenuto e visionato comunicazioni di tipo extra-lavorativo, relative a mailing list cui i reclamanti sarebbero stati iscritti.

In proposito si rammenta che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che, proprio in occasione dello svolgimento di attività lavorative e/o professionali, si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost).

Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42).

Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

Con riferimento alla gestione degli account aziendali dopo la cessazione del rapporto di lavoro, che costituisce l’oggetto del reclamo e dell’attività di accertamento dell’Autorità nel caso specifico, risulta altresì che la Società ha effettuato trattamenti di dati con riguardo a tutti gli ex dipendenti o ex collaboratori a suo tempo assegnatari di account aziendali nei termini descritti nella propria policy in vigore all’epoca dei fatti (si veda, più avanti, la previsione del reindirizzamento “ad altro utente aziendale su segnalazione del caposervizio”, contenuta in “OutBoarding Google APPS”, IS6417).

3.2 Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Sulla base delle acquisizioni istruttorie, non risulta, in primo luogo, che la Società abbia informato i reclamanti circa la possibilità, per la stessa, di effettuare i descritti trattamenti.

È emerso, infatti, che né il modello di Informativa ai dipendenti (datata 25.5.2018; v. All. 5, nota della società 22/3/2021) né le “Regole di utilizzo Strumenti e Servizi Informatici aziendali”, IS6188 (datate 20/4/2015; v. All 7, nota cit.) contengono elementi informativi relativi alla possibilità per la Società di effettuare, dopo la cessazione del rapporto di lavoro, i trattamenti del tipo di quelli in concreto effettuati nel caso oggetto di reclamo.

In particolare, per quanto riguarda le “Regole di utilizzo Strumenti e Servizi Informatici aziendali”, il punto 8.6 si limita ad effettuare un rinvio a quanto stabilito in altra policy (peraltro non specificamente indicata), mentre il modello di informativa nulla dice a proposito della corretta gestione degli account di posta elettronica.

Diversamente da quanto sostenuto nelle memorie difensive, tale documento contiene la previsione di alcuni divieti, senza tuttavia indicare nessuna tipologia di controlli approntati per il loro rispetto. L’indicazione, presente nel documento, che “il personale del Servizio IT può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC sia sulle unità di rete” è riferita infatti a fattispecie diversa (per finalità e modalità) da quella posta in essere dalla Società.

Per quanto riguarda, invece, il documento “OutBoarding Google APPS”, IS6417 (datato 15/7/2015; v. All. 4, nota della Società cit.) questo prevede che “la mail è un servizio aziendale e tutti i messaggi, una volta cessata la collaborazione, saranno inoltrati ad altro utente aziendale su segnalazione del caposervizio” e definisce le “modalità operative” per il “reindirizzamento della posta, del suo salvataggio e dei messaggi di inoltro automatico”.

Premesso che dall’esame del documento in discorso non si rileva quali siano i messaggi che, cessata la collaborazione, saranno inoltrati ad altro utente (se solo quelli pervenuti a seguito della cessazione del rapporto o se anche quelli pervenuti in precedenza), né in relazione a quali specifiche finalità l’account continua ad operare mediante reindirizzamento (come si evidenzierà più avanti), è emerso altresì che queste istruzioni sono state inserite in un elenco di documenti, relativi all’area IT, qualificati come “ufficializzati”, mediante comunicazione della responsabile Corporate Initiatives & Improvement inviata in data 27 luglio 2015.

La Società, in data 11 marzo 2015, ha inviato a tutti i dipendenti, compresi i reclamanti (mediante trasmissione al dominio XX), un messaggio di posta elettronica con il quale è stato reso noto che, a partire dal precedente 2 marzo, “tutte le info relative a Ufficializzazioni di documentazione di qualità e tutte le comunicazioni di interesse comune” saranno inserite nella “Community per la qualità”, alla quale si invitano i dipendenti ad iscriversi (v. All. 3 dell’All. 11, nota della società 15/2/2022).

Tali comunicazioni (dell’11 marzo e 27 luglio 2015) non hanno alcun contenuto informativo specifico e non sono idonee a rappresentare ai dipendenti, anche solo in forma sintetica, quantomeno l’oggetto e il contenuto delle policy contenute nella Community per la qualità.

Ciò sebbene alcuni elementi salienti avrebbero dovuto essere adeguatamente evidenziati da parte della Società, per lo meno relativamente al documento in parola (“OutBoarding Google APPS”, IS6417), viste le conseguenze per gli interessati che tale procedura comporta.

Peraltro non risulta che l’informazione relativa alla presenza di documentazione e comunicazioni all’interno della predetta sezione sia stata nuovamente inviata ai dipendenti, dopo il luglio 2015, anche al fine di sottolineare l’importanza di esaminare (o riesaminare) il contenuto dei documenti riportati nella Community.

Né l’effettiva conoscenza delle procedure relative alla gestione della posta elettronica, dopo la cessazione del rapporto di lavoro, può essere stata realizzata con l’inserimento, nel documento relativo alla “Assegnazione e Autorizzazione di trasporto di personal computer”, tra le note, della proposizione: “I beni Le sono stati assegnati per ragioni di servizio […], per l’utilizzo attenersi alla Istruzione Operativa IS 6188” (v. All. 13, nota della Società 15/2/2022, relativo ai moduli sottoscritti dai reclamanti nel giugno 2015), considerato pure che l’Istruzione da ultimo citata, come già rilevato sopra, non contiene informazioni specifiche sulla policy aziendale relativa alla gestione della posta elettronica dopo la cessazione del rapporto di lavoro.

Tantomeno è possibile attribuire specifica valenza informativa al riguardo alle sole sessioni di “Training di ingresso nuovi assunti” (v. All. 15, nota cit.), visto anche che la voce “Istruzioni” (senza ulteriori specificazioni e considerato che le specifiche Istruzioni sopra citate - IS6417 e IS6188- non risultano richiamate tra i documenti di riferimento delle diverse sessioni) compare in un’unica sessione di Training della durata di 1 ora, unitamente a numerose altre voci.

Il Garante ha più volte ribadito che datore di lavoro ha l’onere di indicare ai propri dipendenti e collaboratori, in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli che devono comunque essere conformi ai principi di liceità (anche con riguardo alla disciplina di settore in materia di controlli a distanza), proporzionalità e gradualità (v. Linee guida del Garante per posta elettronica e internet, Provv. 1/3/2007, n. 13, in G. U. n. 58 del 10/3/2007, doc. web n. 1387522).

Quanto rappresentato sul punto dalla Società nel corso del procedimento non risulta idoneo a comprovare l’adempimento richiesto dalle norme.

Si prende atto, in ogni caso, che la Società, nel corso del procedimento, ha adottato una nuova policy (rivista in data 21/6/2022) relativa all’utilizzo degli strumenti e dei servizi informatici aziendali.

In relazione al contenuto di tali documenti si invita la Società, ai sensi dell’art. 57, par. 1, lett. d) del Regolamento, a tener conto di quanto stabilito dall’Autorità in materia di trattamenti di dati relativi alla posta elettronica e alla navigazione web dei dipendenti, anche con riguardo all’applicazione della disciplina in materia di controlli a distanza e di divieto di indagini sulle opinioni richiamata dagli artt. 114 e 113 del Codice (in relazione all’art. 88 del Regolamento), da ultimo con i provv.ti 1° dicembre 2022, n. 409 (doc. web n. 9833530), 13 maggio 2021, n. 190 (doc. web n. 9669974) e 15 aprile 2021, n. 137 (doc. web n. 9670738).

La Società ha pertanto omesso di informare i reclamanti circa la specifica modalità di trattamento, in concreto effettuata, mediante la persistente attivazione degli account aziendali di posta elettronica, per un significativo periodo di tempo dopo la cessazione del rapporto di lavoro, e il reindirizzamento degli stessi su diverso account aziendale, con conseguente accesso ai dati esterni e al contenuto dei messaggi ricevuti, in violazione di quanto previsto dall’art. 13 del Regolamento.

Al riguardo si rileva che, nell’ambito di un rapporto di lavoro, l’obbligo di informare il lavoratore è espressione del principio generale di correttezza dei trattamenti (art. 5, par. 1, lett. a) del Regolamento).

3.3 Violazione dell’art. 5, par. 1, lett. b), c), e) e f) del Regolamento.

È dunque emerso che gli account aziendali di tipo individualizzato, assegnati ai reclamanti, nel corso del rapporto di lavoro, sono stati mantenuti attivi mediante reindirizzamento degli stessi su diverso account aziendale per un periodo significativo di tempo – a partire, rispettivamente, dal 29 marzo e dal 20 maggio 2019 quantomeno fino al 17 marzo 2021 - con conseguente attività di trattamento dei dati personali ivi contenuti da parte della Società, proprio per effetto del reindirizzamento, già prima dell’affidamento dell’incarico al perito di parte (che risulta essere stato conferito dalla società in data 22/7/2019: v. “Relazione tecnico forense”, memorie difensive 28/6/2022, All. 27).

Quanto alle finalità del trattamento e le sue modalità, nel corso del procedimento la Società non ha prodotto alcuna evidenza riferita agli specifici elementi che, subito dopo le dimissioni dei reclamanti, avrebbero provocato l’insorgere di “numerosi sospetti” nei confronti della correttezza dell’operato dei reclamanti stessi, con conseguente decisione di adottare “misure straordinarie […] rispetto alle […] procedure ordinarie di trattamento dei dati personali”, circostanza che avrebbe comportato “fin dall’inizio” l’effettuazione di trattamenti volti allo “specifico fine difensivo a fini giudiziali” (v. nota della Società 15/2/2022, p. 5).

Nelle proprie memorie difensive, la Società ha in proposito dichiarato che la sola circostanza che i reclamanti (in realtà due di essi, dato che il terzo ha cessato il proprio rapporto di lavoro circa due mesi dopo questi) si fossero dimessi nonostante il rapporto di lavoro di lunga data e il ruolo apicale rivestito, avrebbe reso le dimissioni “fin da subito sospette” (v. memorie 29/7/2022, p. 2).

In realtà le dimissioni dei due reclamanti non potevano costituire, in sé, evidenza di condotta “sospetta”, trattandosi di un accadimento che può ordinariamente verificarsi in una compagine aziendale, tanto più che nel caso di specie i reclamanti stessi avevano reso nota all’azienda l’intenzione di avviare una nuova attività imprenditoriale.

Il conferimento dell’incarico ad uno studio specializzato in indagini forensi, l’esame dei risultati dell’indagine e l’avvio di procedimenti in sede giurisdizionale, citati in proposito dalla Società, sono successivi all’adozione, da parte della Società, di misure volte a verificare, anche procedendo a ritroso nell’esame della corrispondenza elettronica conservata, se già in costanza di rapporto di lavoro i reclamanti avessero proceduto ad effettuare attività in vista di ipotetiche condotte illecite, se altri dipendenti fossero coinvolti in tali attività e se pervenissero sugli indirizzi e-mail ulteriori elementi utili per corroborare i sospetti della Società (v. “Relazione tecnico forense”, cit., p. 9: la Società “ha affidato agli scriventi un’integrazione d’indagine, di tipo digital forensic, al fine di verificare se tali soggetti, prima delle loro dimissioni, avessero sottratto documentazione o segreti aziendali o banche dati” e memorie difensive 29/7/2022, p. 6).

La Società non ha altresì indicato le specifiche ragioni in base alle quali il trattamento – consistente nella apprensione del contenuto dei messaggi pervenuti - si è protratto per un periodo significativo di tempo (circa due anni), tra l’altro oltre l’attivazione di procedimenti davanti alla competente autorità giudiziaria, considerato anche che, in base alla documentazione prodotta in atti, non emerge la data in cui gli account sono stati chiusi (v. nota della Società 15/2/2022, p. 3).

Pertanto le operazioni di trattamento effettuate dalla Società sugli account di posta elettronica aziendale dei reclamanti, in assenza della indicazione di alcuna specifica, esplicita e legittima finalità perseguita, sono state effettuate in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento), di limitazione delle finalità (art. 5, par. 1, lett. b) del Regolamento) e di limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento) (in senso conforme si vedano, in relazione a casi specifici, precedenti decisioni dell’Autorità, da ultimo: Provv. 21 luglio 2022, n. 255, doc. web n. 9809466; Provv. 29 settembre 2021, n. 353, doc. web n. 9719914; Provv. 16 dicembre 2021, n. 440, doc. web 9739653).

Più in generale, inoltre, la Società ha impostato, in termini generali e a partire dal 2015, la propria policy in materia di gestione della posta elettronica aziendale dopo la cessazione del rapporto di lavoro, attraverso quanto stabilito nel già richiamato documento “OutBoarding Google APPS”, IS6417, datato 15 luglio 2015 e “ufficializzato” il 27 luglio 2015 (v. All. 10, nota della società 15.2.2022).

Con il predetto documento la Società ha disposto che “tutti i messaggi, una volta cessata la collaborazione, saranno inoltrati ad altro utente aziendale su segnalazione del caposervizio”.

Inoltre “Il responsabile dell’ente comunica all’ufficio IT a chi inoltrare la posta del dipendente cessato e ne definisce il periodo temporale. È responsabilità dell’ufficio IT provvedere al reindirizzamento della posta, del suo salvataggio e dei messaggi di inoltro automatico con le indicazioni necessarie” (punto 3).

Il modello di “Messaggio di inoltro automatico” è così definito: “Vi informiamo che l’Ing. Mario Rossi non fa più parte della nostra organizzazione, e pertanto questo indirizzo di posta non è più attivo. Per qualsiasi comunicazione potete contattare l’Ing. Mario Bianchi all’indirizzo […]” (punto 3). Inoltre “l’amministratore dei servizi Google inoltrerà la posta del dipendente cessato, accedendo al suo profilo Gmail e inserirà nella scheda “Impostazioni/Inoltro Account” l’account di inoltro dei messaggi, aggiungendo “conserva la copia di posta GeicoSpa in Posta in arrivo”. Nella scheda “Generali” applicherà il messaggio sopra riportato abilitando il “risponditore automatico” per il tempo comunicato dal responsabile dell’ente a cui faceva riferimento l’ex dipendente o l’ex collaboratore” (punto 4).

Pertanto, in base alla procedura ufficializzata dalla Società e in uso fino all’adozione della nuova versione del documento (il 21/6/2022), al momento della cessazione del rapporto di lavoro gli account aziendali di ex dipendenti ed ex collaboratori, “su segnalazione del caposervizio”, sono stati “sospesi/disattivati” e reindirizzati su diverso account di utenti aziendali, con conseguente possibilità, per gli utenti medesimi, di accedere al contenuto dell’account “sospeso”.

Tale persistente attività dell’account aziendale è stata prevista con carattere di sistematicità e senza alcun riferimento a specifiche finalità perseguite dall’ex datore di lavoro (in particolare, come dichiarato in relazione ai fatti oggetto di reclamo, per perseguire eventuali finalità di tutela dei propri diritti al verificarsi di situazioni di rischio).

Inoltre non sono specificati i tempi di durata del trattamento effettuato mediante il reindirizzamento, posto che la relativa definizione spetta al “responsabile dell’ente” (non meglio identificato), così come al medesimo “responsabile” è imputata la responsabilità di stabilire il tempo di attivazione del messaggio automatico di risposta.

A tale ultimo proposito si rileva altresì che tale messaggio, destinato ai soggetti terzi che inviino una propria comunicazione e-mail sull’account dell’ex dipendente o collaboratore, nel rappresentare che “questo indirizzo di posta non è più attivo”, induce a ritenere che la comunicazione pervenuta sull’account di un soggetto che non fa più parte dell’organizzazione non sia portata a conoscenza dell’azienda (posto anche che viene indicato un diverso account per inviare “qualsiasi comunicazione” alla stessa), mentre invece la comunicazione, come visto, è reindirizzata (e pertanto visibile) ad altro dipendente, diverso dall’utente, cui l’account di posta (di tipo individualizzato) era stato assegnato.

Tale procedura non è conforme ai principi posti in materia di protezione dei dati personali.

In particolare la sistematica persistente attività dell’account aziendale a suo tempo assegnato, anche dopo la cessazione del rapporto di lavoro, mediante il reindirizzamento su account di altro dipendente dell’azienda, in assenza della indicazione di alcuna specifica, esplicita e legittima finalità perseguita, non è conforme al principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) e di limitazione delle finalità (art. 5, par. 1, lett. b) del Regolamento).

Inoltre la circostanza che la durata del predetto trattamento non sia individuata in base a quanto ritenuto congruo in relazione alle finalità perseguite, bensì demandata alla decisione del “responsabile dell’ente”, non è conforme al principio di limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento).

La previsione che l’utente cui reindirizzare l’account dell’ex dipendente e collaboratore non sia individuato sulla base di specifiche funzioni assegnate e di istruzioni ricevute bensì in base alle indicazioni del “responsabile dell’ente” non consente di garantire l’integrità e la riservatezza dei dati raccolti (come stabilito dall’art. 5, par. 1, lett. f) del Regolamento).

Non risulta, infine, conforme al principio di correttezza (art. 5, par. 1, lett. a) del Regolamento) l’indicazione, ai terzi mittenti di messaggi diretti all’account dell’ex dipendente o collaboratore, nei termini su esposti, che “l’indirizzo di posta non è più attivo”, inducendo a ritenere i suddetti terzi che i messaggi non siano oggetto di trattamento da parte della Società.

Si prende atto anche con riferimento a tale condotta, in ogni caso, che la Società, nel corso del procedimento, ha adottato una nuova policy (rivista in data 21/6/2022) relativa anche alla gestione della posta elettronica aziendale dopo la cessazione del rapporto di lavoro.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente i trattamenti di dati mediante la posta elettronica aziendale e i trattamenti effettuati in base a reciproche designazioni a responsabile del trattamento risulta infatti illecito, nei termini suesposti, in relazione agli artt. 5, par. 1, lett. a), b), c), e), f), e 13 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

Si rammenta, infine, che ai sensi dell’art. 160-bis del Codice “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento risulta che Geico S.p.A. ha violato gli artt. 5, par. 1, lett. a), b), c), e), f) e 13 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura e alla gravità della violazione, è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento (in particolare i principi di correttezza, limitazione delle finalità, minimizzazione, limitazione della conservazione e integrità e riservatezza) e l’obbligo di informativa; è stata altresì considerata la durata della violazione, protrattasi per circa due anni (art. 83, par. 2, lett. a) del Regolamento);

b) con riguardo al grado di cooperazione con l’Autorità di controllo è stato considerato che la Società ha costantemente cooperato con il Garante nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);

c) a favore della Società si è altresì tenuto conto dell’assenza di precedenti violazioni in materia di protezione dei dati personali (art. 83, par. 2, lett. e) del Regolamento).

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio d’esercizio per l’anno 2021.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Geico S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 40.000 (quarantamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento (in particolare i principi di correttezza, limitazione delle finalità, minimizzazione, limitazione della conservazione e integrità e riservatezza) e l’obbligo di informativa, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Geico S.p.A., in persona del legale rappresentante, con sede legale in Via Pelizza da Volpedo109/111, Cinisello Balsamo (MI), P.I. 00688580968, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), b), c), e), f) e 13 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Geico S.p.A., di pagare la somma di euro 40.000 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di 40.000 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 27 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei