Interruzione rapporto di lavoro: mancata disattivazione dell’account aziendale


Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. Questa è la conclusione a cui è giunta l’Autorità Garante della privacy (Registro dei provvedimenti n. 216 del 4 dicembre 2019)

Indice

  1. Origine della controversia
  2. Norme applicate
  3. Altri provvedimenti in materia
  4. Conclusioni

Origine della controversia

L’ istruttoria del Garante è partita a seguito di un reclamo proposto da un ex-dipendente che lamentava la violazione delle norme sulla protezione dei dati da parte della società presso la quale aveva lavorato.

A seguito dell’interruzione del rapporto di lavoro l’azienda manteneva infatti attivo l’indirizzo individualizzato del reclamante al dichiarato fine di non perdere contatti utili con i clienti che avessero voluto mantenere rapporti commerciali con la società. L’Account aziendale rimaneva attivo per un periodo di tempo significativo (pari a circa un anno e sette mesi, durante il quale la società ha acceduto alle comunicazioni ivi pervenute), fino alla cancellazione effettuata dalla società a seguito della diffida presentata dal reclamante.

La società dichiarava a propria difesa di aver previamente comunicato “verbalmente” al reclamante il trattamento connesso al suo indirizzo di posta elettronica, circostanza tuttavia negata dall’ ex dipendente.

Norme applicate

L’azienda in sede d’audizione affermava che i fatti di cui al reclamo avvenivano prima dell’entrata in vigore del Reg. Ue 2016/679. Tuttavia l’Autorità Garante, considerato il provvedimento contenente le “Linee guida del Garante per posta elettronica e Internet” (adottato dall’Autorità il 1° marzo 2007 e pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007), ha confermato l’orientamento per cui “il contenuto dei messaggi di posta elettronica come pure i dati esteriori delle comunicazioni e i file allegati- riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali” (punto 5.2 lett. b) e che ciò, trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati), possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione; rilevato che tali esigenze di tutela devono essere tenute in considerazione anche nell’ipotesi in cui venga a cessare il rapporto di lavoro tra le parti.

Altri provvedimenti in materia

L’Autorità Garante, richiamando il provvedimento 1° febbraio 2018, n. 53, in www.garanteprivacy.it, doc. web n. 8159221, Il il provv. 5 marzo 2015, n. 136, doc. web n. 3985524 e il citato provv. 27 novembre 2014, n. 551; e la raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. par. 14.5; in conformità ai principi in materia di protezione dei dati personali, ha sottolineato la necessità per i datori di lavoro di:

  1. Provvedere dopo la cessazione del rapporto di lavoro a rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure), previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;
  2. provvedere all’adozione di misure tecnologiche ed organizzative che consentano di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi

Conclusioni

Considerato la fondatezza del reclamo, e che nel mentre del procedimento l’azienda ha provveduto ad adottare un regolamento interno per il quale alla cessazione del rapporto di lavoro l’account aziendale è disattivato con contestuale adozione di un messaggio automatico volto ad informarne i terzi e a indicare un account alternativo per contattare la società; l’Autorità Garante ha dichiarato illecito il trattamento in questione, ammonendo la società sulla necessità di conformare i trattamenti effettuati.

Se ti è piaciuto l'articolo condividi: