Il Garante per la protezione dei dati personali ha inflitto una sanzione di 50.000 euro ad una compagnia assicurativa per violazione del diritto di accesso, accogliendo il reclamo di un ex dipendente che aveva richiesto la copia dei messaggi della propria casella di posta elettronica aziendale e dei documenti salvati nel pc di lavoro.
La compagnia assicurativa, a seguito della richiesta dell’ex dipendente, ha infatti deciso di effettuare un accesso alla sua posta elettronica e, dopo averne esaminato il contenuto, ha fornito esclusivamente i messaggi ritenuti “strettamente personali”, escludendo quelli legati all’attività lavorativa. Secondo il Garante, il diritto di accesso riguarda tutti i dati personali e non è quindi legittimo selezionare preventivamente i contenuti da fornire né limitarli o oscurarli sulla base della distinzione tra ambito personale e professionale.
Sono poi state rilevate criticità nella gestione dei dati, in particolare con riferimento alla mancanza di trasparenza nelle informative e per i tempi di conservazione delle email (5 anni) e dei dati di navigazione (12 mesi), ritenuti non proporzionati rispetto alle finalità dichiarate.
Oltre alla sanzione, il Garante ha ordinato di consentire l’accesso integrale ai dati richiesti e di adeguare informative e policy interne alla normativa privacy.