L’autorità di controllo norvegese (Datatilsynet) ha recentemente emesso una sanzione nei confronti di un’organizzazione per avere attivato il forward automatico della casella e-mail all’insaputa di un dipendente, per un importo di 40 mila euro. Inoltre, è stato imposto all’organizzazione il riesame delle procedure di accesso alle caselle e-mail.
Sebbene la decisione sia tutt’ora in corso di definizione (dal momento che è stata oggetto di impugnazione), l’istruttoria ha evidenziato i punti fondamentali di non conformità con il GDPR e può essere validamente citata per una riflessione più ampia sulla gestione della casella e-mail di un dipendente assente, tenendo conto prima di tutto che è necessario tenere conto anche della legislazione e dei principi del diritto del lavoro nazionale applicabile.
Il fatto è stato piuttosto semplice: un dipendente assente per malattia ha scoperto che il proprio datore di lavoro ha attivato il forward automatico della casella e-mail per più di un mese. L’autorità di controllo ha così riscontrato una duplice violazione: sia sul fronte della normativa norvegese applicabile in materia di accesso alle informazioni del dipendente, sia sul fronte del GDPR. Quanto è emerso dall’attività istruttoria su questo ultimo punto, è stato il riscontro della violazione dell’obbligo di adottare una base giuridica valida, fornire le informazioni all’interessato e garantire l’esercizio del diritto di opposizione ai sensi dell’art. 21 GDPR.
Dal momento che la base giuridica per tale attività di trattamento dei dati personali è il legittimo interesse, il datore di lavoro in quanto soggetto titolare del trattamento avrebbe dovuto svolgere una corretta valutazione di sussistenza dello stesso. Ad esempio, attraverso lo svolgimento del three-part-test suggerito dall’ICO. In tal modo, avrebbe ben potuto individuare quella finalità lecita, specifica ed attuale che giustifica tale attività di trattamento anche in rapporto con le ragionevoli aspettative nutrite dall’interessato. Inoltre, nel considerare il bilanciamento dei diritti, avrebbe potuto ulteriormente indicare quali misure di salvaguardia predisporre a tutela dell’interessato, fra cui rientra certamente la trasparenza informativa.
Quali spunti di metodo è possibile trarre?
Certo, in caso di assenza prolungata del dipendente l’esigenza di un redirect o un forward della casella e-mail è indubbia e fuor di discussione. Tale esigenza datoriale deve però attuarsi con l’applicazione del principio di privacy by design, nella definizione di procedure e modalità di gestione delle caselle di posta elettronica (nonché delle utenze e degli accessi) in modo tale che siano conformi con la normativa in materia di protezione dei dati personali.
Solo un approccio preventivo alla gestione della compliance (GDPR, e non solo), che contempli anche un riesame periodico o in caso di modifiche di contesto (ad esempio, in relazione ai dipendenti in remote working), consente alle organizzazioni di mantenersi in regola anche con gli “imprevisti” di più varia natura.
