Le principali notizie dal mondo della privacy – maggio 2024
Accesso all’account di posta elettronica aziendale del dipendente
Alla domanda può il datore di lavoro accedere all’account di posta elettronica aziendale la risposta è sì a determinate condizioni.
Cominciamo col dire che l’account di posta aziendale non è uno strumento privato in uso esclusivo del lavoratore, esso resta sempre uno strumento di lavoro di proprietà del datore di lavoro.
Cosa diversa è l’account privato del lavoratore che non può in alcun modo essere sottoposto a controlli da parte del datore di lavoro.
Il datore di lavoro può effettuare controlli sull’account aziendale se:
- il dipendente è stato informato della possibilità dei controlli sulle mail, è quindi necessario che l’azienda normi l’utilizzo della casella di posta elettronica del dipendente ed evidenzi in tale regolamento la possibilità di effettuare i controlli;
- in caso di “sospetto fondato” di un eventuale illecito da parte del dipendente, il controllo c.d. difensivo potrà avvenire dopo l’insorgere di un “fondato sospetto” della condotta illecita, non è ammesso il controllo “preventivo”.
Quanto sopra vale anche per i controlli sull’utilizzo di Internet da parte del dipendente.
Sulla possibilità di effettuare i c.d. controlli difensivi la Corte di Cassazione ha ribadito con una sentenza depositata il 26 giugno 2023 che gli stessi sono consentiti solo “in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.
Il controllo deve, quindi, essere “mirato” sul singolo lavoratore ed “attuato ex post”, “solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili… non essendo possibile l’esame e l’analisi di informazioni precedentemente assunte in violazione delle prescrizioni di cui all’art.4 St. lav.”.
Per ulteriori approfondimenti
Fonte “Federprivacy”
Sanzione per mancata comunicazione di un Data Breach
Il Garante Privacy polacco ha comminato una sanzione di 300.000 euro a Santander Bank Polska SA per la mancata notifica di un data breach.
In breve, un pacco contenete documenti diretti alla banca viene sottratto al corriere la stessa pur sapendo che il plico conteneva dati personali di diversi clienti, tra i quali le coordinate bancarie, utente e password bancari, dati sui redditi percepiti ecc. ecc. non ha provveduto alla notifica del data breach.
L’autorità garante appresa la notizia del furto dai mass media ha quindi avviato un’istruttoria, la Banca si è difesa affermando che il plico era stato ritrovato poco dopo essere stato sottratto al corriere e che la stessa aveva accertato che non mancavano documenti, inoltre, la persona che li aveva ritrovato aveva dichiarato di non averne fatto copia.
Nonostante ciò, al termine dell’istruttoria l’authority ha comminato la sanzione affermando che essendo i documenti finiti nelle mani di terzi non autorizzati a consultarli dopo che erano stati rinvenuti in un pacco abbandonato in un complesso residenziale comportava a carico della Banca l’obbligo procedere con la notifica, per tali ragioni ha imposto la sanzione.
Fonte “Federprivacy”
Condividi