L’Autorità garante per la protezione dei dati personali in Italia ha sanzionato una compagnia assicurativa con un’ammenda di 50.000 euro per violazione della normativa sulla privacy. La compagnia è stata inoltre ordinata di consentire l’accesso completo ai dati richiesti da un ex dipendente e di migliorare le sue informative sulla privacy e le policies interne.
Il caso riguardava un ex dipendente che aveva richiesto una copia di tutti i messaggi della propria casella di posta elettronica aziendale e dei documenti salvati sul suo computer aziendale dopo la fine del suo rapporto di lavoro. La compagnia aveva esaminato i contenuti dell’account e-mail dell’ex dipendente e aveva fornito solo i messaggi considerati “strettamente personali”, escludendo quelli legati alla sua attività lavorativa.
L’Autorità ha dichiarato che il diritto di accesso si estende a tutti i dati personali, compresi quelli comunicati tramite un account e-mail aziendale individualizzato. Ha dichiarato che non è legale selezionare in anticipo i contenuti da fornire o limitarli sulla base di una distinzione tra ambito personale e lavorativo.
L’Autorità ha inoltre rilevato una mancanza di trasparenza nelle informative della compagnia e ha criticato i tempi di conservazione delle e-mail (5 anni) e dei dati di navigazione (12 mesi), ritenuti sproporzionati rispetto alle finalità dichiarate. La compagnia è stata quindi sanzionata e ordinata di apportare modifiche necessarie per adeguarsi pienamente alle leggi sulla privacy.
