Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Accesso all’e-mail di un ex dipendente: indicazioni operative ai titolari del trattamento per evitare illeciti

Il Garante della privacy ha stabilito che mantenere attivo l’account e-mail di un ex dipendente e accedere alla sua corrispondenza è un trattamento illecito. Ecco tutti i dettagli di questo importante provvedimento e le indicazioni operative per i titolari del trattamento

10 Gen 2020
R
Tommaso Ricci

Privacy & LegalTech specialist


È illecito il trattamento della società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail. Lo ha spiegato il Garante della privacy con il provvedimento n. 216 del 4 dicembre 2019 . Un intervento che ribadisce come la protezione della vita privata si estenda anche all’ambito lavorativo.

Accesso all’e-mail di un ex dipendente: il caso

Nel corso di un giudizio davanti al giudice del lavoro promosso nei confronti di un ex dipendente, il precedente datore ha depositato agli atti una email giunta sulla casella di posta aziendale del lavoratore. L’email era giunta però un anno dopo la cessazione dal servizio dell’ex dipendente. Venuto pertanto a sapere dell’accesso postumo alla propria email, il dipendente ha presentato reclamo ai sensi del GDPR al Garante Privacy, contestando al precedente datore di lavoro di aver violato la normativa privacy per via della persistente attivazione dell’account di posta elettronica aziendale dopo l’interruzione del rapporto di lavoro.

Il reclamante ha inoltre contestato di non aver ricevuto alcuna informativa relativa alla possibilità per il datore di lavoro di accedere ai messaggi pervenuti sull’indirizzo di posta elettronica aziendale successivamente alla cessazione del rapporto di lavoro ed ha pertanto inviato formale diffida alla società affinché l’account venisse disattivato e, nel contempo, si provvedesse a trasmettere copia di tutte le comunicazioni pervenute sulla casella di posta elettronica dalla cessazione del rapporto di lavoro sino al momento della disattivazione dell’account.

Gli accertamenti svolti dall’Autorità

Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusione del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore.

In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, di cui alcune, in base a quanto si evince dall’indicazione del mittente e dell’oggetto, non erano riferibili all’attività professionale dell’ex dipendente (ad es. inviti ricevuti sul social LinkedIn, inviti ad iniziative culturali, pubblicità di un istituto bancario alla clientela).

La difesa della società

In risposta all’interpello presentato dal reclamante, la società ha inviato una nota difensiva rappresentando che:

  • la mancata disattivazione dell’account e contestuale inoltro delle email in arrivo sull’account del responsabile della funzione di Information Technology era stata disposta sia perché il reclamante non aveva provveduto ad inviare ai clienti della società una comunicazione con i nuovi riferimenti aziendali sia perché “il ricevimento delle email indirizzate all’ex dipendente era indispensabile alla corretta gestione dei rapporti commerciali della società”;
  • la società aveva “aperto e letto solo le mail provenienti dalla propria clientela, non anche mail personali”;
  • la disattivazione dell’account sarebbe stata disposta solo nel momento in cui il reclamante avesse comunicato “a tutti i clienti […] con cui era in contatto” che le comunicazioni alla società dovevano essere inviate a diverso account riferito all’azienda.

A seguito di una ulteriore richiesta di chiarimenti ricevuta da parte del Garante, la società ha inoltre chiarito che:

  • il reclamante era consapevole che in base alla “prassi aziendale” il suo indirizzo di posta elettronica “sarebbe stato girato – alla cessazione del rapporto di lavoro − […] al responsabile dell’Information Technology” e che pertanto “il datore di lavoro (dopo la cessazione del rapporto di lavoro) avrebbe controllato la corrispondenza commerciale a lui diretta”;
  • la società ha aperto “una e-mail proveniente da un cliente [della società medesima] e con stupore si è accertato che [il reclamante] proponeva prodotti […] in diretta concorrenza con [la società]”;

Infine la società ha richiesto audizione presso l’Autorità precisando di aver chiuso l’account email, allegando la comunicazione del gestore della posta elettronica aziendale, e sottolineando che i fatti oggetto del reclamo si sono svolti in periodo antecedente all’entrata in vigore del GDPR e, di conseguenza, l’informativa circa la prassi adottata dalla società in materia di posta elettronica aziendale “veniva resa oralmente ai propri dipendenti”.

La decisione del Garante

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

A seguito dell’istruttoria svolta il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore.

L’Autorità ha difatti precisato che, in applicazione del principio di correttezza, il titolare è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.

Secondo l’Autorità l’aver comunicato verbalmente al reclamante il trattamento connesso al suo indirizzo di posta elettronica, non costituisce elemento idoneo a documentare l’avvenuto adempimento da parte della società dell’obbligo informativo che l’ordinamento pone in capo al titolare del trattamento.

In aggiunta il Garante ha rilevato che il lavoratore vanta una legittima aspettativa di riservatezza su talune forme di comunicazione e che il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali e alle “Linee guida del Garante per posta elettronica e Internet”, deve rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

Indicazioni operative per i titolari

Alla luce dei principi ribaditi dal Garante nel provvedimento, è opportuno prendere in considerazione di adottare delle procedure interne affinché subito dopo la cessazione del rapporto di lavoro vengano rimossi gli account di posta elettronica riconducibili all’ex dipendente, adottando però al contempo sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione e limitando l’accesso alle informazioni necessarie a garantire la continuità della gestione della propria attività.

Come chiarito dal Garante l’adozione di tali misure tecnologiche consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5