Con il provvedimento del 4 dicembre 2019 il Garante per la Protezione dei Dati Personali ha sancito che “commette un illecito la società che mantiene attivo l’account email aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle email contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo”.
Il 31 ottobre 2018 il dipendente di una società si era rivolto al nostro Garante lamentando che la società per la quale aveva lavorato:
- aveva mantenuto attivo per moltissimo tempo il suo account email aziendale (nome.cognome@nomeazienda.it), dopo l’interruzione del rapporto di lavoro (avvenuto il 10 settembre 2016);
- non lo aveva avvisato né informato della possibilità per il datore di lavoro di accedere ai messaggi pervenuti al suo indirizzo email aziendale successivamente alla cessazione del rapporto di lavoro;
- aveva provveduto alla chiusura dell’account solo dopo il ricevimento di una diffida (il 24 aprile 2018) per la disattivazione della casella.
La società si è difesa sostenendo che:
- la mancata disattivazione dell’account e il contestuale inoltro delle email in arrivo sull’account del responsabile IT dell’azienda era stato deciso perché l’ex dipendente non aveva provveduto ad inviare ai clienti della società alcuna comunicazione con i nuovi riferimenti aziendali e “il ricevimento delle email indirizzate [all’ex dipendente] era indispensabile alla corretta gestione dei rapporti commerciali della società”;
- la società aveva “aperto e letto solo le email provenienti dalla propria clientela, non anche email personali”;
- la disattivazione dell’account email sarebbe stata disposta solo nel momento in cui l’ex dipendente avesse comunicato “a tutti i clienti […] con cui era in contatto” che le comunicazioni alla società dovevano essere inviate ad un diverso account riferito all’azienda;
- l’ex dipendente era comunque consapevole che – in base alla “prassi aziendale” – il suo indirizzo di posta elettronica “sarebbe stato girato – alla cessazione del rapporto di lavoro − […] al responsabile dell’Information Technology”.
Dagli accertamenti svolti dal Garante è emerso, nei fatti, che l’account email dell’ex dipendente era rimasto attivo per oltre un anno e mezzo dopo la conclusione del rapporto di lavoro: durante questo periodo di tempo la società aveva avuto accesso alle comunicazioni dell’ex dipendente, anche estranee all’attività lavorativa del medesimo.
Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, precisando che, subito dopo la cessazione del rapporto di lavoro, un’azienda deve rimuovere gli account email riconducibili ad un dipendente.
Nell’affermare tale principio, il Garante ha fatto riferimento, in particolare, a:
- principio di correttezza, in base al quale il Titolare del trattamento è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro;
- costante orientamento della Corte europea dei diritti dell’uomo, con riferimento alle seguenti pronunce: v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42);
- provvedimento n. 551 del 27 novembre 2014 , in base al quale lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account email di tipo individualizzato, con soggetti interni o esterni alla compagine aziendale, configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, anche relativamente ai cosiddetti dati esterni delle comunicazioni (data, ora, oggetto, nominativi di mittenti e destinatari);
- provvedimento contenente le “Linee guida del Garante per posta elettronica e Internet” del 1 marzo 2007, in base al quale “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali“. Trasposto in ambito lavorativo, ciò comporta la possibilità che il lavoratore o soggetti terzi coinvolti possano vantare una legittima aspettativa di riservatezza su alcune forme di comunicazione, con l’effetto che tali esigenze siano tenute in considerazione anche nell’ipotesi in cui venga a cessare il rapporto di lavoro tra le parti.
Il Garante ha, pertanto, specificato che il datore di lavoro, dopo la cessazione del rapporto di lavoro:
– deve rimuovere gli account email aziendali riconducibili a persone identificate o identificabili in un tempo ragionevole;
– adottare sistemi automatici volti ad informare i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del Titolare del trattamento;
– adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
L’adozione delle predette misure tecnologiche ed organizzative consente, secondo il nostro Garante, di contemperare l’interesse del Titolare ad accedere alle informazioni necessarie per la gestione della propria attività e a garantirne la continuità, tutelando nel contempo la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti e/o collaboratori e/o terzi che inviano su tale casella messaggi di qualsivoglia genere.
La recente decisione del Garante ribadisce, quindi, l’importanza di adottare adeguate policy aziendali – su cui mi sono già soffermato in miei precedenti post – attraverso cui fornire al proprio personale indicazioni tecnico-organizzative per l’uso degli strumenti ICT prevenendo, così, i rischi connessi a comportamenti pericolosi e tutelando, nel contempo, i diritti dei propri dipendenti contro abusi e comportamenti arbitrari da parte del datore di lavoro.