Non è consentito al datore di lavoro accedere alla casella e-mail aziendale del dipendente ormai cessato.
È quanto stabilito dal Garante per la Protezione dei dati personali con provvedimento 140/2024 del 7.3.2024.
Con tale provvedimento è stato infatti sanzionato un datore di lavoro che, dopo la cessazione del rapporto di lavoro con due dipendenti, ha mantenuto attivi per diversi mesi gli account di posta elettronica individualizzati assegnati a questi ultimi.
A tali account ha acceduto, in tale lasso di tempo, il rappresentante legale della società.
Non sono state ritenute legittime e preminenti le giustificazioni addotte dal datore di lavoro che aveva dichiarato:
- di avere mantenuto attivi i predetti account per avere accesso a reclami o richieste tecniche inviate dai clienti;
- che “l’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”;
- che l’accesso alle caselle di posta elettronica dopo la cessazione del rapporto di lavoro è stato effettuato solamente con riferimento alle e-mail provenienti da determinati mittenti e relative ai rapporti aziendali, selezionate quindi mediante l’utilizzo di parole chiave
Il Garante ha osservato che il datore di lavoro, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro.
Tale comportamento è stato considerato illecito, da un lato, sotto il profilo della mancata informativa all’interessato in ordine al fatto che dopo la cessazione del rapporto, la società avrebbe eseguito accessi sulla sua casella di posta aziendale individualizzata.
Il Titolare del trattamento, avrebbe dovuto fornire ai dipendenti una informativa che contenesse anche indicazioni sulle modalità di disattivazione dell’account da rimuovere, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
Sotto altro profilo, il trattamento è stato inoltre considerato illecito poiché il datore di lavoro avrebbe effettuato una ricerca delle e-mail rilevanti dopo avere acceduto alla totalità delle e-mail, quantomeno, quindi, ai dati esteriori delle comunicazioni contenute negli account degli ex dipendenti.
E sul punto il Garante ha sottolineato che anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).
Conseguentemente la condotta tenuta dal datore di lavoro, in qualità di titolare del trattamento, consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, è stata dichiarata in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione.
Scarica qui il provvedimento del Garante e la nostra Newsletter sul punto.