Con Ordinanza di ingiunzione dello scorso 11 gennaio 2023, il Garante per la Protezione dei dati Personali (il “Garante” o l’”Autorità”) ha comminato ad una società il pagamento di una sanzione amministrativa pari a euro 5.000 per aver mantenuto attivo l’account di posta elettronica di una collaboratrice e aver preso visione del contenuto dello stesso.  

I fatti 

Una società, nel corso di alcune trattative volte a definire l’acquisizione di una società cooperativa, concordava che una esponente di quest’ultima collaborasse, spendendo il nome della società acquirente, alla promozione di un fornitore comune in occasione di un evento fieristico. 

Alla collaboratrice veniva quindi attivato un account di posta elettronica aziendale al fine di consentirle di relazionarsi con i potenziali clienti conosciuti in occasione dell’evento.  

A distanza di qualche mese, le trattative tra le due società venivano interrotte e la reclamante richiedeva la disattivazione dell’account di posta elettronica assegnatole. La società, al fine di non perdere i contatti di potenziali nuovi clienti raccolti durante l’evento, manteneva attivo l’account e impostava un sistema di inoltro delle comunicazioni in entrata alla mail del direttore commerciale, disattivando l’indirizzo di posta della reclamante solamente trascorsi (circa) sei mesi dall’attivazione. 

L’esito dell’istruttoria del Garante 

Il Garante ha innanzitutto rilevato che la società non ha adempiuto all’obbligo di informare la reclamante circa il trattamento dei dati effettuato sul suo account di posta così come invece prescritto dall’articolo 13 del Regolamento (UE) 2016/679 (il “Regolamento“). Tale obbligo, ricorda l’Autorità, vige anche nell’ambito di eventuali trattative precontrattuali quale espressione dei principi di correttezza e trasparenza (cfr. art. 5, Regolamento). 

Nel caso di specie, la società: 

  1. ha effettuato un trattamento di dati personali in assenza di un criterio di legittimazione nella parte in cui ha (i) visionato, senza una idonea base giuridica, la corrispondenza ricevuta ed inviata sull’account durante la collaborazione con la reclamante e (ii) impostato, al termine della collaborazione, un sistema automatico di inoltro delle mail ad un diverso account aziendale; 
  1. non ha realizzato un adeguato bilanciamento “degli interessi in gioco”: da un lato, infatti, si riconosce la necessità per la società di proseguire le proprie attività economiche e dall’altro il diritto alla riservatezza dell’interessato (alias la reclamante). Al riguardo, si legge nel provvedimento, “la finalità (legittima) di non perdere contatti utili per la propria attività commerciale, […], si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie”; 
  1. non ha ottemperato all’obbligo di agevolare l’esercizio dei diritti dell’interessato nella parte in cui non ha fornito un idoneo riscontro all’istanza di cancellazione – c.d. «diritto all’oblio» – presentata più volte dalla reclamante. 

◊◊◊◊ 

Ciò detto, il Garante ricorda che: “[…] il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non [può] comportare un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati […]”. 

Con il provvedimento in oggetto viene, altresì, richiamato un consolidato orientamento dell’Autorità secondo cui un adeguato bilanciamento degli interessi come menzionati alla precedente lett. b) si realizza attivando un sistema di risposta automatico con il quale vengono forniti al mittente degli indirizzi alternativi attraverso cui contattare la società, titolare del trattamento, senza accedere alle comunicazioni in entrata, come invece fatto nel caso di specie in violazione, tra le altre, del principio di minimizzazione (cfr. art. 5 del Regolamento). 

Con sentenza n. 28398 del 29 settembre 2022, la Corte di Cassazione, sezione Lavoro, si è espressa circa l’utilizzabilità, a fini difensivi, di registrazioni di colloqui tra il dipendente ed i colleghi sul luogo di lavoro.

Nel caso sottoposto all’attenzione della Suprema Corte, una dipendente era stata licenziata per giusta causa per avere violato alcune procedure aziendali di conservazione dei dati. Il licenziamento era stato ritenuto illegittimo dai giudici di merito sul presupposto che gli addebiti contestati alla lavoratrice fossero privi del carattere di gravità e non giustificassero l’irrogazione della sanzione espulsiva, essendo al più sanzionabili con una misura conservativa, secondo le previsioni del contratto collettivo applicato.

La Corte d’Appello di Salerno aveva tuttavia escluso il carattere ritorsivo del licenziamento (invocato dalla lavoratrice), ritenendo che, il carattere ritorsivo non potesse ritenersi provato in base alle deposizioni testimoniali raccolte né attraverso le “abusive, illegittimamente captate e registrate conversazioni” tra la lavoratrice e alcuni propri colleghi.

Nell’ambito del ricorso per la cassazione della sentenza proposto dalla società datrice di lavoro, la lavoratrice proponeva ricorso incidentale, censurando la sentenza impugnata per avere escluso la ritorsività del licenziamento sulla base di un presupposto errato e cioè la non utilizzabilità delle registrazioni dei colloqui tra presenti, in contrasto con l’orientamento di legittimità e sebbene controparte non avesse in alcun modo contestato lo svolgimento dei colloqui registrati e il relativo contenuto.

Nell’accogliere il ricorso incidentale proposto dalla lavoratrice, la Suprema Corte coglie l’occasione per fare il punto sui limiti e le condizioni di utilizzabilità delle registrazioni come mezzi di prova in sede giudiziale.

In primo luogo, si legge nella sentenza in commento, la registrazione su nastro magnetico di una conversazione può costituire fonte di prova, ex articolo 2712 c.c., se colui contro il quale la registrazione è prodotta non contesti che la conversazione sia realmente avvenuta, né che abbia avuto il tenore risultante dal nastro, e sempre che almeno uno dei soggetti, tra cui la conversazione si svolge, sia parte in causa.

L’art. 24 del Codice della Privacy prevede inoltre la legittimità delle registrazioni effettuate all’insaputa dell’interlocutore e la possibilità di un loro utilizzo in sede giudiziale, quando il loro utilizzo sia necessario per far valere o difendere un diritto e a condizione che, i dati raccolti siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.

Pertanto, prosegue la Corte, l’utilizzo a fini difensivi di registrazioni di colloqui tra il dipendente e i colleghi sul luogo di lavoro non necessita del consenso dei presenti, in ragione dell’imprescindibile necessità di bilanciare le contrapposte istanze della riservatezza da una parte e della tutela giurisdizionale del diritto dall’altra e pertanto di contemperare la norma sul consenso al trattamento dei dati con le formalità previste dal codice di procedura civile per la tutela dei diritti in giudizio.

È dunque legittima la condotta del lavoratore che abbia effettuato tali registrazioni per tutelare la propria posizione all’interno dell’azienda e per precostituirsi un mezzo di prova, rispondendo la stessa, se pertinente alla tesi difensiva e non eccedente le sue finalità, alle necessità conseguenti al legittimo esercizio di un diritto.

Sulla base di tali premesse, la Corte di Cassazione, accoglie il ricorso incidentale proposto dalla lavoratrice, rinviando la causa alla Corte d’appello di Salerno con invito a provvedere ad un nuovo esame della fattispecie alla luce dei principi di diritto richiamati.

Anche l’errore umano è riconducibile alla sfera di responsabilità del titolare del trattamento dei dati
L’Autorità Garante per la protezione dei dati personali (il “Garante”), con ordinanza di ingiunzione
del 28 aprile 2022 , ha comminato all’Istituto Nazionale per l’Assicurazione contro gli Infortuni sul
Lavoro (l'”INAIL” o l'”Istituto”), una sanzione di 50.000 euro, per aver subito 3 incidenti informatici
che hanno consentito ad alcuni utenti di accedere ai dati relativi ad altri utenti.
In particolare, l’INAIL, in qualità di Titolare di trattamento, aveva notificato al Garante, ai sensi
dell’art. 33 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”), tre
diverse violazioni di dati personali avvenute tra il 2019 e il 2020.
Violazioni queste che avevano riguardato il servizio online “Sportello Virtuale Lavoratori”, che
consente ai dipendenti incorsi in infortunio o vittime di malattie professionali di visualizzare lo stato
di avanzamento delle proprie pratiche ed i provvedimenti emanati dall’Istituto.
Dall’istruttoria avviata dal Garante è emerso, infatti, che lo “Sportello Virtuale Lavoratori” aveva
permesso ad alcuni lavoratori di consultare accidentalmente le pratiche di altri lavoratori e
visualizzare così sia informazioni personali (quali ad es. nome, cognome) che dati relativi allo stato di
salute (c.d. “dati particolari”). È stato, peraltro, verificato che una delle tre violazioni segnalate era
stata determinata da un “errore umano” il quale, come si legge nel provvedimento, “è comunque
riconducibile alla sfera di responsabilità del titolare”.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.

Per una corretta gestione di un sistema di whistleblowing è indispensabile prestare la dovuta attenzione alla protezione dei dati personali trattati.

Nel realizzare il necessario bilanciamento tra l’esigenza di riservatezza del segnalante e della segnalazione, la necessità di accertamento dell’illecito e il diritto del segnalato alla difesa e al contraddittorio, l’adozione di misure adeguate a garantire la tutela e la sicurezza delle informazioni personali rappresentano un fattore determinante per il raggiungimento di tale equilibrio.

Vittorio De Luca, Managing Partner dello Studio De Luca & Partners commenta: “Il recente provvedimento adottato dall’Autorità Garante per la privacy è solo l’ultimo dei provvedimenti adottati sul tema che, come ricorda la stessa Autorità, si inserisce in un più ampio piano ispettivo dedicato a verificare il massimo rispetto della tutela della protezione dei dati personali nell’ambito della gestione delle segnalazioni di condotte illecite. Fermo ciò, è opportuno evidenziare come una corretta gestione del «sistema whistleblowing» si inserisce anche all’interno di una efficace strategia di compliance aziendale. Implementare modelli di organizzazione, gestione e controllo costruiti a partire dai risultati di quanto emerge da una preliminare analisi dei rischi permette di ridurre sia il pericolo di commissione di reato sia il rischio di incorrere nelle pesanti sanzioni previste dalla normativa oggi applicabile. In tale contesto, occorre, quindi, adottare specifiche procedure aziendali e adeguate misure tecniche ed organizzative a tutela della protezione e della sicurezza delle informazioni di tutti i soggetti coinvolti; senza trascurare l’importanza della sensibilizzazione e della formazione tanto degli utilizzatori di tali sistemi tanto di coloro che sono incaricati di gestire e verificare le segnalazioni effettuate. Raggiungere un alto livello di consapevolezza e cultura tra la popolazione aziendale deve rappresentare uno dei primi obiettivi da raggiungere”.

Negli ultimi giorni servizi on line e siti italiani, tra cui i siti web del  Senato e del Ministero della Difesa, hanno subito un attacco informatico da parte di un gruppo  di cyber criminali russi. Vittorio De Luca, dello Studio De Luca & Partners commenta:

“Quanto accaduto dimostra come gli attacchi informatici siano all’ordine del giorno e che  nessuno può considerarsi esente da rischi. Gli attacchi alle istituzioni, infatti, fanno scalpore, ma  ormai da anni, ogni giorno sono centinaia le aziende oggetto di attenzione da parte dei  cybercrimers. Gli attacchi hanno notevoli ripercussioni sulla produttività, comportano furti di dati  e interruzione di servizi, oltre a causare danni all’immagine. Una solida sicurezza informatica è  essenziale per tutelare il patrimonio di conoscenze dell’azienda e la sua continuità operativa. Non  solo, il GDPR in materia di privacy impone alle aziende – sia di piccole che di grandi dimensioni – di effettuare un censimento dei principali rischi informatici a cui sono esposte e gli impatti che  questi rischi potrebbero avere sul proprio business. All’esito, occorre predisporre un piano di  risposta agli “incidenti”, adottando specifiche politiche e misure di sicurezza, atte a proteggere il  sistema informatico, ed eseguendo periodicamente degli audit. È fondamentale, altresì,  sensibilizzare, mediante apposite sessioni formative, i propri dipendenti sul tema della  cybersicurezza affinché possano riconoscere e fronteggiare le varie minacce. La protezione dagli  attacchi informatici agisce, in sostanza, in due fasi: una fase di prevenzione ed una fase di  protezione. È appena il caso di ricordare che, in caso di attacco riuscito, le imprese devono  informare il garante della privacy, attivando la procedura del cosiddetto data breach entro 72  ore da quando ne sono venute a conoscenza”.