Commette un illecito il datore di lavoro che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.
Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo (doc. web n. 9215890) di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato.
L’ex dipendente ha presentato reclamo al Garante ai sensi dell’articolo 77 del Regolamento (UE) 2016/679 in data 31 ottobre 2018, nei confronti della società ex datrice di lavoro, con il quale sono state lamentate presunte violazioni del Regolamento con riferimento alla persistente attivazione dell’account di posta elettronica aziendale dopo l’interruzione del rapporto di lavoro con la società avvenuta in data 10 settembre 2016.
Dunque, il reclamante ha lamentato di aver appreso che l’account di posta elettronica di tipo individualizzato era stato mantenuto attivo anche dopo la cessazione del rapporto di lavoro.
Tra l’altro il reclamante ha altresì lamentato di non aver ricevuto alcuna informativa relativa alla possibilità per il datore di lavoro di accedere ai messaggi pervenuti sull’indirizzo di posta elettronica aziendale successivamente alla cessazione del rapporto di lavoro.
Il reclamante ha rappresentato di aver inviato alla società, in data 24 aprile 2018, formale diffida affinché l’account venisse disattivato e, nel contempo, si provvedesse a trasmettere copia di tutte le comunicazioni pervenute sulla menzionata casella di posta elettronica “a far data dal 10.9.2016 e sino al momento della disattivazione”.
Dagli accertamenti svolti dall’Autorità Garante è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.
ll Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.
L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).
Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.
Quando cessa il rapporto di lavoro dunque, bisogna prima disattivare l’account di posta del lavoratore informando i terzi con sistemi automatici che l’account è stato disattivato e fornendo i nuovi recapiti di posta elettronica a cui indirizzare le nuove comunicazioni dirette all’azienda. Si deve poi cancellare l’account non essendo consentito mantenerlo giacché come chiarisce il Garante il trattamento risulterebbe illecito per violazione degli artt. 11, comma 1, lett. a) e b), e 13 del Codice della Privacy (D.Lgs n. 196/2003).
Se l’account è solo disattivato e non cancellato l’azienda dispone ancora dei dati relativi alla posta elettronica già acquisiti e si verifica dunque un ulteriore trattamento dei dati che non è consentito “fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti posti dall’art. 160, comma 6, del Codice, in base al quale la validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali, ancorché non conforme a disposizioni di legge o di regolamento, restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale”.