Necessaria l’adozione di un Regolamento sull’uso degli strumenti informatici aziendali.

Garante Privacy – Provvedimento n. 456 del 30 luglio 2015

Il caso: degli ex dipendenti hanno presentato ricorso al Garante Privacy lamentando che, dopo la cessazione del rapporto di lavoro con la società, gli account di posta elettronica loro assegnati venivano automaticamente reindirizzati a dei dipendenti dell’azienda utente dell'azienda. Inoltre, i ricorrenti hanno lamentato di aver appreso solo in occasione della produzione in un giudizio civile di un significativo numero di e-mail da parte della società, che quest'ultima aveva avuto accesso ai messaggi di posta elettronica dei lavoratori.

La decisione: il Garante ha affermato il principio per cui dopo la cessazione del rapporto di lavoro, gli account di posta elettronica riconducibili a persone identificate o identificabili devono essere rimossi tramite disattivazione e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all'attività professionale del titolare del trattamento (e non eventuali account privati riferiti agli ex dipendenti). Non è conforme alla normativa privacy il reindirizzamento automatico dei messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato (o in ipotesi di non meglio precisata "sospensione" del rapporto stesso) su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.

In merito all’accesso alle caselle di posta elettronica dei dipendenti da parte del datore di lavoro, il Garante ha, inoltre, ribadito che il datore di lavoro, pur avendo la facoltà di verificare l'esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l'eventuale effettuazione di controlli anche su base individuale. L'assenza di un Regolamento / Policy scritta al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione. L'informativa ai dipendenti deve riguardare anche le modalità (compresi i tempi) di conservazione dei contenuti e dei file di log relativi alla posta elettronica in transito sugli account aziendali nonché le operazioni di trattamento che possono essere effettuate dall'amministratore di sistema per finalità connesse alla fornitura del servizio.

Fonte: http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4298277