Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.
Garante per la protezione dei dati personali, provvedimento del 4 dicembre 2019, Presidente e Relatore Soro
A margine
Nell’ambito di un giudizio davanti al giudice del lavoro promosso verso un ex dipendente dalla sua azienda, l’interessato viene a sapere che, nonostante la cessazione del rapporto di lavoro avvenuta un anno prima, la ditta ha mantenuto attiva la sua casella di posta elettronica aziendale continuando a consultare la stessa.
A fronte della diffida del dipendente per la disattivazione dell’account e-mail, la società replica che:
- il mantenimento della casella era stato disposto sia perché il reclamante non aveva provveduto ad inviare ai clienti della società una comunicazione con i nuovi riferimenti aziendali sia perché “il ricevimento delle email indirizzate [al reclamante] era indispensabile alla corretta gestione dei rapporti commerciali della società”;
- la società aveva “aperto e letto solo le mail provenienti dalla propria clientela, non anche mail personali”;
- la disattivazione dell’account sarebbe stata disposta solo nel momento in cui il reclamante avesse comunicato “a tutti i clienti […] con cui era in contatto” che le comunicazioni alla società dovevano essere inviate a diverso account riferito all’azienda;
- la società ha aperto “una e-mail proveniente da un cliente della società medesima e con stupore si è accertata che [il reclamante] proponeva prodotti […] in diretta concorrenza con [la società]”.
Pertanto l’ex dipendente propone un reclamo al Garante della privacy.
Il provvedimento
Il Garante rileva che dagli accertamenti svolti è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.
Il Garante ritiene pertanto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.
L’adozione di tali misure tecnologiche – spiega il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).
Oltre a dichiarare l’illecito trattamento ai sensi dell’art. 57, par. 1, lett. f) del Regolamento (UE) 2016/679, il Garante ammonisce la Società, a norma dell’art. 58, par. 2, lett. b) del Regolamento citato, a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dei dipendenti, dopo la cessazione del rapporto di lavoro, alle disposizioni e ai principi sulla protezione dei dati, disponendo l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.
di Simonetta Fabris