Il Garante Privacy torna a pronunciarsi sul tema della conservazione del contenuto di messaggi e dell’ingiustificato accesso alla posta elettronica del lavoratore per difesa in giudizio (nota del 15 marzo n. 501).
Il Garante Privacy ricorda che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni, di cui anzi è fatto espressamente divieto a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto. A tal proposito l’Autorità si è espressa nei confronti di una società di servizi di messaggistica, a seguito di accertamenti ispettivi su segnalazione e reclamo, che aveva conservato il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) senza aver acquisito autorizzazione espressa dagli stessi. Tra le altre violazioni riscontrate dal Garante: la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. Il Garante, pur considerando le misure correttive adottate dalla società a seguito dei vari accertamenti ispettivi, ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa di 80mila euro, calcolata tenendo conto anche delle giustificazioni addotte dalla stessa.
Riguardo, invece, all’ingiustificato accesso alla posta elettronica del lavoratore in sede di difesa in giudizio, il Garante ricorda come il legittimo interesse a trattare dati personali per difendere un proprio diritto non annulli di conseguenza il diritto dei lavoratori alla protezione dei dati personali, tanto più riguardo a messaggi di posta elettronica, la cui segretezza è tutelata anche costituzionalmente. Tanto è emerso in seguito alla sanzione emessa dal Garante privacy nei confronti di un’azienda che, dopo l’interruzione della collaborazione con un’esponente di una cooperativa, ne ha mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto (riferimenti di potenziali clienti incontrati a una fiera) e impostando un sistema di inoltro verso un dipendente della società. L’Autorità, avendo accertato che l’azienda non ha fornito all’interessata nè idoneo riscontro alla richiesta di cancellazione della casella e-mail né l’informativa sul trattamento dati, ha sanzionato l’azienda, osservando che né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, legittimano un tale trattamento di dati personali.