Non è lecito mantenere attivo l’account di posta dell’ex dipendente.

Garante per la Protezione dei Dati Personali, Provvedimento del 4 dicembre 2019.

Un lavoratore ha presentato reclamo al Garante con cui state esposte violazioni con riferimento alla persistente attivazione dell’account di posta elettronica aziendale dopo l’interruzione del rapporto di lavoro con la società. Il reclamante ha lamentato di aver appreso che l’account di posta elettronica di tipo individualizzato era stato mantenuto attivo solo in occasione di in un giudizio incardinato davanti al Tribunale. Il lavoratore ha dedotto di non aver ricevuto alcuna informativa relativa alla possibilità per il datore di lavoro di accedere ai messaggi pervenuti sull’indirizzo di posta elettronica aziendale successivamente alla cessazione del rapporto. L’interessato ha rappresentato di aver inviato alla società diffida affinché l’account venisse disattivato.

Il titolare è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.

Conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo.

Lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account di tipo individualizzato con soggetti interni o esterni alla compagine aziendale configura un’operazione che consente di conoscere alcune informazioni personali.

L’elenco delle comunicazioni ricevute sull’account aziendale riferito al lavoratore dopo la cessazione del rapporto contiene anche messaggi che, in base a quanto si evince dall’indicazione del mittente e dell’oggetto, non sono riferibili all’attività professionale dell’ex dipendente.

Il Garante ha ritenuto che il contenuto dei messaggi di posta elettronica riguarda forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, essendo necessario proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità.

Il datore di lavoro dopo la cessazione del rapporto di lavoro deve rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili, previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione. L’adozione di tali misure tecnologiche ed organizzative consente di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti e dei terzi.

Non risulta corretta la prassi adottata dalla società, consistente nel reindirizzare automaticamente, per un periodo di tempo anche assai ampio, i messaggi pervenuti sull’account dell’ex dipendente su un diverso account aziendale, tenuto conto peraltro che il ricorso della società nei confronti del collaboratore davanti all’autorità giudiziaria (in relazione a ritenute condotte illecite effettuate in violazione del patto di non concorrenza) è stato presentato in data successiva al reindirizzo dell’account. Tale trattamento è avvenuto in violazione dei principi di liceità, necessità e proporzionalità.

Il Garante ha, quindi, dichiarato illecita la persistente attività dell’account aziendale individualizzato per un ampio periodo di tempo dopo l’interruzione del rapporto di lavoro, con contestuale accesso ai messaggi ivi pervenuti.

26 febbraio 2020