La Sig.ra XX ha lamentato presunte violazioni del Regolamento da parte di YY s.r.l. (di seguito, la Società), con riferimento alla persistente attività dell’account di posta elettronica aziendale rimasto attivo dopo l’interruzione del rapporto di collaborazione e alla effettuazione di accessi al medesimo account.
La Società, in particolare, successivamente alla cessazione della collaborazione con la reclamante – che comunque non era ancora stata formalizzata e che si inserisce nell’ambito di intese precontrattuali -, ha mantenuto attivo l’account di posta elettronica con estensione riferita all’azienda assegnato alla medesima, prendendo visione del contenuto dello stesso (tanto da produrre in giudizio e-mail inviate dallo stesso account dalla reclamante nel corso della collaborazione).
La Società ha, inoltre, impostato su quest’ultimo un sistema di inoltro delle comunicazioni in entrata al diverso account del proprio direttore commerciale.
Si osserva, come la produzione di copie del regolamento predetto consegnato e sottoscritto da altri soggetti non possa ritenersi elemento idoneo a provare l’esatto adempimento di quanto previsto dall’art. 13 del Regolamento (Informativa sul trattamento dei dati personali), conformemente al principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento), nei confronti della reclamante.
Con riferimento al contenuto del predetto regolamento si osserva, inoltre ed in ogni caso, come nello stesso non vengano rese note le specifiche attività di trattamento che YY s.r.l. esercita nei confronti dei soggetti a cui assegna un account di posta elettronica con estensione riferibile all’azienda.
Nel caso di specie è stato, altresì, accertato che la Società ha inviato “una e-mail ai contatti raccolti presso lo stand della fiera (circa 50, 60) precisando che la reclamante non agiva più per conto di YY”, ma, non limitandosi a tale condotta, ha visionato, in assenza di base giuridica, la corrispondenza relativa all’account della reclamante, pervenuta ed inviata durante la collaborazione con la medesima, tanto da avere prodotto in giudizio alcune di queste comunicazioni, e ha impostato un sistema automatico di inoltro a diverso soggetto (direttore commerciale) delle e-mail pervenute sullo stesso successivamente alla cessazione della collaborazione.
La descritta condotta della Società è stata posta in essere in assenza di un idoneo criterio di legittimazione per l’effettuazione del trattamento, sia relativamente all’accesso alle e-mail scambiate durante la collaborazione sia per quanto riguarda la stessa predisposizione di un sistema di inoltro delle comunicazioni ad altro account.
Né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, infatti, sono elementi tali da configurare, nel caso di specie, un idoneo criterio di legittimazione del trattamento così come posto in essere dalla Società.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’accesso all’account di posta elettronica con inoltro ad altro account delle comunicazioni in entrata sull’account individualizzato assegnato alla reclamante durante la collaborazione con la Società e l’inidoneo riscontro all’istanza di cancellazione presentata dalla reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 6, 12 anche con riferimento all’art. 17, 13 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).