In un recente provvedimento, il Garante della Privacy ha dichiarato illecito il trattamento dei dati contenuti nella casella di posta elettronica aziendale di un ex dipendente, rimasta attiva anche dopo lo scioglimento del rapporto di lavoro.
Il caso
La vicenda riguardava un lavoratore che, nel corso di un procedimento incardinato dall’ex datore di lavoro nei suoi confronti dinanzi al Giudice del Lavoro, apprendeva della persistente attivazione del suo account di posta elettronica aziendale anche dopo la cessazione della prestazione lavorativa.
In particolare, l’azienda produceva in giudizio il contenuto di una e-mail giunta all’ex dipendente dopo ben un anno dalla fine del servizio dello stesso.
Il lavoratore, ignaro che il suo profilo aziendale fosse ancora consultabile, aveva prontamente diffidato l’azienda affinché l’account venisse disattivato e, nel contempo, chiedeva copia di tutte le comunicazioni pervenute sulla menzionata casella di posta elettronica dalla fine del rapporto di lavoro sino al momento della disattivazione.
Presentava poi reclamo al Garante della Privacy lamentando una violazione della disciplina in materia di protezione dei dati personali e contestando altresì la mancata ricezione di una informativa sulla possibilità che il datore di lavoro potesse accedere alla corrispondenza pervenuta anche dopo la conclusione del rapporto di lavoro.
Nel corso degli accertamenti svolti dall’Authority emergeva che l’account aziendale intestato al lavoratore era rimasto attivo per oltre un anno e mezzo da che quest’ultimo aveva cessato di essere alle dipendenze della società.
Non solo! In tale periodo il datore di lavoro aveva avuto accesso a tutte le comunicazioni giunte alla casella di posta dell’ex dipendente, incluse quelle di carattere personale.
Dal canto suo, la società sosteneva che la mancata disattivazione dell’account nascesse da esigenze prettamente aziendali, negando di aver visionato le mail non professionali ma solo quelle provenienti da clienti della azienda. Il datore specificava inoltre che il lavoratore era cosciente che per politica aziendale il suo indirizzo di posta elettronica sarebbe stato sottoposto al vaglio del responsabile dell’Information Technology.
In ultimo, la società faceva presente che i fatti contestati avvenivano prima dell’entrata in vigore del GDPR e pertanto l’informativa poteva essere resa anche oralmente ai propri dipendenti.
Il provvedimento del Garante della Privacy
Con il provvedimento del 4 dicembre 2019 n. 216, il Garante della Privacy ha ritenuto illecita la condotta del datore di lavoro in quanto contraria alla normativa ed ai principi sulla protezione dei dati.
Nel caso di specie, in applicazione del principio di correttezza, la società avrebbe dovuto informare, preventivamente e per iscritto, il proprio dipendente circa la prassi aziendale sul trattamento connesso al suo indirizzo di posta elettronica.
Secondo l’Autorità, infatti, la comunicazione verbale non costituisce elemento idoneo a provare l’avvenuto adempimento da parte della società dell’obbligo informativo che l’ordinamento pone in capo al titolare del trattamento.
La normativa in materia di trattamento dei dati personali impone al datore di lavoro di tutelare la riservatezza dei propri dipendenti ma anche di quelli che hanno smesso di esserlo.
In particolare, secondo il Garante occorre: “…contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi”.
Con questo provvedimento si è inteso ribadire come la protezione della vita privata si estenda anche all’ambito lavorativo. E’ bene sottolineare infatti come dallo scambio di messaggi con i colleghi o con persone esterne all’azienda si possano conoscere informazioni personali del lavoratore, anche semplicemente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).
Pertanto, l’azienda è tenuta a rimuovere l’account aziendale riconducibile all’ex dipendente in un tempo ragionevole, generalmente connesso alla predisposizione di specifiche misure tecniche.
Per tali ragioni, il Garante della privacy oltre ad aver dichiarato l’illecito trattamento da parte della società, ha provveduto ad ammonirla a conformarsi alla normativa sulla protezione dei dati per quanto concerne i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro, disponendo altresì l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. L’iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.
Istruzioni per l’uso
Per non incorrere in violazioni della riservatezza, come suggerito anche dal Garante, è opportuno adottare delle misure tecnologiche che consentano di reindirizzare il mittente ad altra casella di posta nonché predisporre dei sistemi che impediscano la lettura dei messaggi in arrivo.
Ne consegue che la disattivazione dell’account aziendale dipenderà, in termini di tempistiche, dalla predisposizione di queste procedure interne.
In genere, in questo periodo transitorio, vengono impostati dei messaggi automatici che avvertono della chiusura imminente di un determinato indirizzo e-mail e che indicano il nuovo account a cui trasmettere le future comunicazioni.
A questo proposito, pare utile fare un appunto: l’attivazione dell’indirizzo e-mail, potrà essere “estesa” per un periodo naturalmente circoscritto nei limiti dei principi di proporzionalità e limitazione del trattamento, mentre per quanto riguarda l’accesso, questo sarà consentito solo in presenza di una policy aziendale, che preveda tale ipotesi, o previo consenso del lavoratore stesso, quando possibile.
Ciò detto, oltre alla redazione della informativa sulla privacy, sarà auspicabile/necessario che il datore di lavoro predisponga un disciplinare interno per l’utilizzo degli strumenti aziendali, che tenga conto della realtà lavorativa, delle effettive esigenze aziendali e della normativa applicabile.
L’introduzione di un regolamento aziendale circa le modalità di fruizione dell’account di posta e di tutti i dispositivi (pc, telefonia, auto con GPS, etc.) messi a disposizione dall’azienda rappresenta dunque non soltanto la misura idonea per evitare sanzioni derivanti dal trattamento di dati non pertinenti al rapporto di lavoro, ma allo stesso tempo è la miglior tutela per la riservatezza del lavoratore che terrà la propria corrispondenza personale fuori dall’eventuale controllo datoriale.
All’uopo si raccomanda la lettura delle “Linee Guida per posta elettronica e internet” del 1° marzo 2007, dettate dal Garante della Privacy ).
VP
