Home

Posta elettronica aziendale dell’ex dipendente: lecito l’accesso del datore di lavoro?

Fonte: Provv. Privacy 7 marzo 2024 n. 10009004
12 Giugno 2024

Il provvedimento in esame affronta l’ormai classica questione del perdurare dell’account aziendale individuale del dipendente dopo la cessazione del rapporto di lavoro, il relativo accesso al medesimo da parte del datore di lavoro e l’informativa sul trattamento dei dati che deve essere fornita al dipendente.

Massima

Dopo la cessazione del rapporto lavorativo, il datore di lavoro deve provvedere alla rimozione dell’account aziendale del dipendente, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti a informare i terzi dell’imminente disattivazione dell’account e della possibilità di contattare altri e diversi indirizzi e-mail per esigenze di continuità dell’attività aziendale e per un tempo proporzionato con le esigenze della stessa, provvedendo ad adottare misure idonee ad impedire la visualizzazione dei messaggi durante il periodo di funzionamento di tale sistema automatico.

Il caso

Due ex dipendenti hanno presentato reclamo all’Autorità lamentando presunte violazioni del Reg. (UE) 2016/679 da parte dell’allora datore di lavoro per:

  • il perdurare dell’attività degli account aziendali individuali per diversi mesi oltre la cessazione dei rapporti lavorativi;
  • il contestuale accesso del datore di lavoro ai messaggi di posta pervenuti sugli account;
  • l’impossibilità di esercitare il diritto di accesso al contenuto dei messaggi a causa della cancellazione dei medesimi; e
  • non aver ricevuto idonea informativa in merito al trattamento dei dati relativi alla posta elettronica.

La reclamata riscontrava il reclamo osservando che:

  • gli account erano ormai non più attivi;
  • gli indirizzi individuali erano ad esclusivo uso aziendale;
  • la finalità della permanenza degli account era la ricezione di reclami e/o richieste da parte dei clienti e più in generale per ragioni di continuità operativa;
  • l’accesso agli account era stato effettuato dal solo presidente del CDA e legale rappresentante;
  • l’accesso alle caselle di posta non era avvenuto in modo indiscriminato ma con riferimento alle sole e-mail relative ai rapporti aziendali, attraverso l’uso di idonee chiavi di ricerca;
  • i reclamanti sarebbero stati edotti circa le modalità di trattamento dei dati avvenuto in conformità alla prassi aziendale nota agli interessati.

Deve sottolinearsi che traspare dal provvedimento una linea di difesa che ignora le basi stesse del GDPR e che pertanto semmai rafforza la pregnanza delle doglianze dei reclamanti. Appare ad esempio confusa la nozione di titolarità del trattamento, individuata nel rappresentante legale; l’informativa è equivocata per il modulo del consenso; e quest’ultimo (peraltro invalido nel rapporto di lavoro) è assunto come base giuridica invece di quelle delle lett. b) e c) dell’art. 6 GDPR; la necessità di adottare misure di sicurezza organizzative e tecniche ai sensi degli artt. 24 e 32 GDPR appare ignorata.

La questione

La questione giuridica in esame è la seguente: è lecito il comportamento del datore di lavoro che, al fine di garantire la continuità del business aziendale e di soddisfare altre legittime esigenze produttive, mantenga attivo, per un considerevole arco temporale e senza l’automatica impostazione di risponditori che indichino alternativi indirizzi di contatto, l’account individuale dell’ex dipendente a seguito della cessazione del rapporto di lavoro, facendovi accesso per verificare, con chiavi mirate di ricerca, la ricezione di richieste dei clienti aziendali? L’altra questione, spesso connessa, riguarda il quadro informativo omesso al lavoratore.

Le soluzioni giuridiche

L’Autorità, ancora una volta, torna a pronunciarsi sulla tematica della disattivazione dell’account individuale aziendale dell’ex dipendente, confermando la propria posizione ormai consolidata.

Il Garante ha accertato che la società destinataria del reclamo «ha effettuato alcune operazioni di trattamento […] non conformi alla disciplina in materia di protezione dei dati personali per quanto riguarda il trattamento degli account di posta elettronica aziendale». Infatti, il datore di lavoro, alla cessazione del rapporto contrattuale, invece di limitarsi al mantenimento, per una durata compatibile con l’art. 5, par. 1, lett. e) GDPR e in ogni caso senza accesso ai contenuti, degli account personali degli ex dipendenti, contestualmente attivando un messaggio di risposta automatico volto a informare i terzi dell’imminente disattivazione delle caselle di posta e della possibilità di contattare altri indirizzi e-mail, ha mantenuto in essere gli indirizzi in questione, direttamente accedendo al contenuto degli stessi, così violando «i principi di liceità, minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento».

La società ben avrebbe potuto, osserva il Garante, garantire la prosecuzione dell’attività aziendale ponendo in essere modalità di trattamento conformi alla disciplina di protezione dei dati meno invasive della sfera di riservatezza degli ex dipendenti. Insufficiente a far venir meno l’illiceità del trattamento è stata ritenuta l’indicazione del datore di lavoro di essersi limitato a ricercare le sole comunicazioni relative a rapporti aziendali, poiché la ricerca sarebbe pur sempre avvenuta successivamente all’accesso alla totalità dei messaggi contenuti negli account. Il Garante ha quindi precisato, e ribadito, che anche i dati esteriori delle comunicazioni e i file allegati, e non solo i contenuti dei messaggi, costituiscono forme di corrispondenza assistite da garanzie di segretezza tutelate anche dalla Costituzione (artt. 2 e 15).

Nel provvedimento l’Autorità ha altresì osservato che la condotta della società è stata posta in essere in assenza di idonea informativa, ribadendo che il titolare del trattamento, ex art. 13 GDPR, prima di effettuare il trattamento, nel rispetto del principio di trasparenza e correttezza di cui all’art. 5, par. 1, lett. a) GDPR, deve informare l’interessato in merito alle caratteristiche essenziali dei trattamenti che intende effettuare, anche in riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.

Il procedimento si è concluso con la sanzione amministrativa determinata in € 20.000,00 e con la sanzione accessoria della pubblicazione sul sito istituzionale.

Osservazioni

La questione in esame attiene a un aspetto la cui composizione giuridica appare sempre assai delicata, ossia quello della intersezione tra l’interesse dell’imprenditore alla tutela della continuità dell’attività aziendale e i diritti dell’interessato.

Si tratta, senza dubbio, di un’area del diritto fonte di spunti contenziosi e di frequenti incertezze o fraintendimenti applicativi dal lato aziendale, almeno per quanto si riscontra nella prassi. Il principale errore è quello di ritenere che la natura di strumento aziendale dell’account assegnato al dipendente sia sufficiente a escludere l’applicazione della normativa sulla tutela dei dati personali. Il datore di lavoro confonde qui il piano della titolarità civilistica con quello della protezione dei dati personali. Sebbene l’account aziendale individuale costituisca uno strumento di lavoro ciò non esclude che il suo utilizzo abbia rilevanza anche sotto altro profilo giuridico, integrando un trattamento di dati personali del dipendente che ne fa uso. Occorre tenere bene a mente che, come dallo stesso Garante più volte osservato, conformemente al costante orientamento della CEDU, la protezione della vita privata si estende anche all’ambito lavorativo poiché proprio in occasione dello svolgimento dell’attività lavorativa si sviluppano relazioni nelle quali si esplica comunque la personalità del lavoratore, che non cessa di essere persona e dunque soggetto tutelato (cfr. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), § 29; Copland v. UK, 3.4.2007 (ric. n. 62617/00), § 41; Antović e Mirković c. Montenegro, 28.11.2017 (ric. n. 70838/13), cfr. §§ 41-42). Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela peraltro anche dei terzi che, ove non correttamente informati, potrebbero essere legittimamente indotti a considerare l’account in questione come promiscuamente abilitato anche a comunicazioni personali.

Viene dunque in rilievo, da un lato, la posizione dell’interessato, cui si contrappone, dall’altro, la giusta pretesa dell’azienda di salvaguardare la continuità degli affari. Il datore di lavoro, infatti, ha interesse a evitare brusche interruzioni dei flussi di corrispondenza aziendale per non creare pregiudizio all’operatività dell’impresa. Tuttavia, a ben guardare, ed è questa in estrema sintesi la posizione del Garante, i due interessi non si escludono a vicenda, ma possono trovare una chiave di composizione che li preservi entrambi.

Fondamentale quindi è trovare il giusto bilanciamento tra i diritti dell’ex dipendente e quelli dell’ex datore di lavoro.

Una buona prassi, a parere della scrivente, sarebbe quella di adottare in azienda opportune policy, volte a delimitare nella maniera più precisa possibile i confini tra la sfera lavorativa e quella personale nell’uso della posta elettronica e disciplinare, informando compiutamente il lavoratore, la modalità di gestione dell’account tanto in pendenza del rapporto di lavoro quanto in occasione della cessazione dello stesso, chiarendo il funzionamento dei risponditori automatici, e la tempistica di cancellazione definitiva dell’account.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.