E-mail aziendale: illegittimo l’accesso dopo la cessazione del rapporto di lavoro.

Con Provvedimento n. 140, datato 7 marzo 2024 il Garante per la protezione dei dati personali ha sanzionato un'azienda privata per aver esaminato le caselle e-mail individualizzate (con nome e cognome) di ex dipendenti senza aver previamente informato gli stessi su come sarebbero stati gestiti i loro account e-mail dopo il termine del rapporto lavorativo.

Quali informazioni deve fornire il Titolare?

L’Art. 13 del GDPR impone al Titolare del Trattamento dei dati, prima di procedere al trattamento stesso, l’obbligo di fornire agli interessati (tra cui dipendenti e collaboratori) informazioni dettagliate riguardo le modalità con cui verrà effettuato il trattamento dei dati, inclusi gli strumenti utilizzati nel contesto del rapporto di lavoro.

E ciò nel rispetto dei fondamentali principi di liceità, concretezza e trasparenza previsti proprio dal GDPR, a cui vanno aggiunti i principi di adeguatezza, pertinenza e limitazione del trattamento ai soli dati necessari al rispetto delle finalità e degli scopi per cui sono trattati (cd. principio di minimizzazione, Art. 5 del GDPR) e per il solo periodo previsto (cd. principio di limitazione della conservazione).

Le contestazioni del Garante

Proprio sulla base di tali principi il Garante ha sanzionato una società che, senza aver fornito idone informativa e dopo la cessazione del rapporto di lavoro, ha:

• mantenuto attivi per diversi mesi alcuni account di posta elettronica individualizzati assegnati ai dipendenti non più in essere,

• permesso l’accesso a tali account individualizzati al Presidente del CDA e rappresentante legale.

Irrilevante, secondo il Garante, che gli account siano stati mantenuti attivi per avere accesso a eventuali reclami o richieste tecniche inviate dai clienti, o che l’accesso fosse assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute a tali indirizzi, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti.

Il Garante ha altresì ribadito come il consenso non possa essere utilizzato come base giuridica in caso di rapporto di lavoro, difettando del requisito della libertà (ai sensi dell’art. 7 del GDPR), in ragione della natura del rapporto tra datore di lavoro e dipendente.

Secondo l’Autorità Garante, dunque, la Società avrebbe dovuto limitarsi:

• al mantenimento degli account;

• alla contestuale attivazione di un messaggio di risposta automatico volto ad informare i terzi (1) della imminente disattivazione degli account e (2) della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta;

• ad un trattamento per un tempo proporzionato con le esigenze della stessa Società;

• senza accedere al contenuto dei medesimi, neanche per la semplice attività di ricerca di e-mail.

Tale provvedimento si pone nel solco già delineato dal Garante, secondo cui lo scambio di corrispondenza elettronica – anche estranea all’attività lavorativa − utilizzando un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, ragione per cui occorre che il Titolare del Trattamento adotti misure idonee ad informare gli interessi ed evitare un accesso indiscriminato alla casella di posta elettronica e per la totalità dei messaggi.

Condotta, quella censurata, che il Garante ha dunque ritenuto in violazione dei principi di liceità, minimizzazione e limitazione della conservazione, e da cui è derivata una condanna al pagamento di una somma a titolo di sanzione amministrativa pari ad euro 20.000, oltre alla prescrizione di comunicare al Garante le iniziative intraprese al fine di predisporre un sistema di disattivazione automatica, dopo la cessazione del rapporto di lavoro, degli account di posta elettronica aziendale individualizzati e conformarsi alle previsioni di cui all’Art. 13 GDPR.