In data 02 luglio 2020 il Garante per la protezione dei dati personali ha erogato una sanzione amministrativa pecuniaria di 15.000 euro nei confronti di una società per alcune violazioni relative al trattamento dei dati.
Un ex dipendente della Società M…. formulava istanza di accesso al contenuto delle comunicazioni pervenute sull’account di posta elettronica individualizzato, che utilizzava prima della cessazione del rapporto di lavoro e che era stato mantenuto attivo e funzionante anche dopo il licenziamento.
Lo stesso chiedeva inoltre con apposito atto di diffida che l’Azienda procedesse a cancellare il relativo account.
La Società non dava alcun riscontro, ignorando le istanze ricevute.
Il dipendente presentava allora reclamo al Garante con il quale chiedeva che venisse dichiarata l’illiceità dei trattamenti effettuati in violazione del Regolamento e che venisse ingiunto alla Società la cessazione degli stessi trattamenti e di soddisfare tutte le istanze di esercizio dei suoi diritti di interessato rimaste insoddisfatte.
Il reclamante lamentava altresì che la Società avrebbe attivato “una casella di posta elettronica […], denominata «…….copy», tenuta occulta ai dipendenti […] ma a disposizione della Direzione generale e relativa segreteria […] che raccoglie […] l’intera […] corrispondenza in entrata e in uscita.”
Il Garante, a seguito di ampia istruttoria, riscontrava la commissione di diverse violazioni della normativa in tema di trattamento dei dati personali. E tra queste il fatto che la società avesse fornito riscontro alle istanze relative all’esercizio dei diritti di accesso e di cancellazione avanzate dal reclamante solo successivamente al ricevimento dell’invito a fornire riscontro da parte dell’Autorità.
Pertanto, valutate le singole violazioni, l’Autorità ingiungeva alla Società M…. di pagare la somma di euro 15.000,00 a titolo di sanzione amministrativa pecuniaria e ordinava di conformare i propri trattamenti a quanto disposto dal Regolamento, con particolare riferimento all’obbligo di adottare misure appropriate per fornire riscontro all’interessato, agevolando l’esercizio dei suoi diritti.
Disponeva infine la pubblicazione del provvedimento decisorio sul sito web del Garante.
Una corretta politica aziendale in tema privacy, una adeguata formazione del personale e una compiuta informazione privacy ai dipendenti possono evitare di commettere violazioni che spesso portano con sé importanti conseguenze economiche e reputazionali per l’azienda.