Con il provv. n. 140 GPDP del 7.3.2024 [10009004], il Garante per la protezione dei dati personali ancora una volta è tornato ad affrontare la questione del perdurare dell’account aziendale personale del dipendente dopo la cessazione del rapporto di lavoro.
Oggetto del reclamo
Gli interessati nel reclamo lamentavano:
- il perdurare della sussistenza degli indirizzi email aziendali dopo l’interruzione del contratto di lavoro;
- l’accesso del datore di lavoro alle comunicazioni pervenute nelle caselle di posta elettronica;
- la mancanza di informativa sul trattamento dei dati relativi all’e-mail.
La società si difendeva osservando che:
- gli indirizzi email non erano più attivi;
- gli account erano destinati all’esclusivo uso aziendale;
- la permanenza delle caselle di posta elettronica era necessaria per la ricezione di richieste dei clienti e per la continuità operativa dell’azienda;
- l’accesso ai messaggi era stato effettuato tramite chiavi di ricerca sulle sole mail relative a rapporti aziendali;
- l’accesso era stato affidato al presidente del CdA e legale rappresentante della società.
Posizione del Garante per la protezione dei dati personali
L’Autorità, confermando il consolidato orientamento sul tema, ha ribadito che il datore di lavoro, in occasione dell’interruzione del rapporto di lavoro, per esigenze di continuità dell’attività aziendale:
- deve rimuovere l’account aziendale dell’ex dipendente;
- deve adottare sistemi automatici volti a informare i terzi dell’imminente disattivazione dell’account e della possibilità di contattare altri e diversi indirizzi e-mail;
- deve adottare misure idonee ad impedire la visualizzazione dei messaggi durante il periodo di funzionamento di tale sistema automatico;
- deve impostare la permanenza degli account per un tempo proporzionato con le esigenze dell’azienda.
Osservazioni del Garante sul caso
La società avrebbe potuto, e dovuto, garantire la prosecuzione dell’attività aziendale adottando comportamenti conformi alla disciplina di protezione dei dati meno invasivi della sfera di riservatezza degli ex dipendenti.
L’Autorità ha ritenuto non sufficiente a far venir meno l’illiceità del trattamento la circostanza che il datore di lavoro si sia limitato ad accedere alle sole comunicazioni relative a rapporti aziendali, poiché la ricerca dei messaggi sarebbe in ogni caso avvenuta successivamente all’accesso alla casella di posta.
Il Garante ha altresì ribadito che anche i dati esteriori delle comunicazioni e i file allegati, e dunque non solo il contenuto dei messaggi, costituiscono dati personali e forme di corrispondenza assistite da garanzie di segretezza tutelate anche dalla Costituzione (artt. 2 e 15).
Infine, il GPDP ha rimarcato che il titolare del trattamento, prima di effettuare il trattamento, nel rispetto del principio di trasparenza e correttezza di cui all’art. 5, par. 1, lett. a) GDPR, deve fornire all’interessato idonea informativa ex art. 13 GDPR sulle caratteristiche essenziali dei trattamenti che intende effettuare, anche in riferimento all’utilizzo di strumenti lavorativi messi a disposizione del dipendente.
Decisione del Garante
Il Garante ha quindi sanzionato sanzionato la società condannandola al pagamento della somma di € 20.000,00 e ha disposto la pubblicazione del provvedimento sul sito web istituzionale dell’Autorità.
Conclusioni
Il tema affrontato dal reclamo attiene alla delicata questione giuridica del bilanciamento tra l’interesse dell’imprenditore a garantire la continuità dell’attività aziendale e i diritti e le libertà dell’interessato.
Lo strumento aziendale dell’account assegnato al dipendente è oggetto dell’applicazione della normativa sulla tutela dei dati personali, il suo utilizzo, infatti, integra un trattamento di dati personali del dipendente che ne fa uso.
Conformemente al costante orientamento della CEDU, la tutela della vita privata si estende anche all’ambito lavorativo poiché in occasione dello svolgimento della prestazione lavorativa si sviluppano relazioni nelle quali si esplica comunque la personalità del lavoratore, che non cessa di essere persona e quindi soggetto tutelato.
Suggerimenti: al fine di scongiurare ricadute di carattere sanzionatorio il datore di lavoro deve sempre fornire all’interessato adeguata informativa sul trattamento dei dati che intende effettuare.
Una buona prassi per le aziende è quella di adottare opportune policy volte a definire le modalità di utilizzo degli strumenti elettronici aziendali nonché i confini tra la sfera lavorativa e quella personale nell’uso della posta elettronica.