Garante Privacy: obbligatorio chiudere l’account di posta elettronica degli ex dipendenti

Con riferimento ai trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, in conformità ai principi in materia di protezione dei dati personali, gli account riconducibili a persone identificate o identificabili devono essere rimossi.

Questo è quanto emerge dal provvedimento n. 547 del 22 dicembre 2016 emesso dal Garante della Privacy in occasione del reclamo di un ex dipendente di una multinazionale che lamentava l’illegittimità del trattamento dei dati personali effettuato dalla società in cui lavorava.

Il Garante giunge a tale conclusione operando un contemperamento tra, da un lato, l’interesse del datore di lavoro ad accedere alle informazioni necessarie per continuare la gestione efficiente dell’attività e, dall’altro, l’obbligo di rispettare la riservatezza dei propri dipendenti nonché dei terzi. Infatti, come affermato in più provvedimenti, il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione di lavoro e del corretto utilizzo degli strumenti di lavoro da parte dei lavoratori, deve pur sempre rispettare la loro libertà e dignità. Pertanto, in mancanza di una policy chiara e precisa riguardo alle modalità di utilizzo degli strumenti aziendali e sugli eventuali controlli che si eseguono, il dipendente può legittimamente considerare confidenziali alcune forme di comunicazione.

Posto che per dato personale è da intendersi qualunque informazione che possa consentire l'individuazione, anche indiretta, del soggetto al quale l'informazione stessa si riferisce, allora la scelta del Garante della Privacy è condivisibile proprio perché, aldilà del contenuto delle comunicazioni elettroniche che sono senza dubbio fonte di dati personali, questi ultimi sono sicuramente forniti anche dai nomi dei mittenti e destinatari.

Con il provvedimento del 22 dicembre 2016 il Garante si è occupato di definire le modalità da seguire nella gestione della posta elettronica dei dipendenti ed ex dipendenti.

Innanzitutto ha affermato che risulta non conforme ai principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) e e) del Codice della privacy) la conservazione per dieci anni sui server aziendali sia dei dati esterni sia dei contenuti delle comunicazioni elettroniche, salvo che il datore di lavoro fornisca degli elementi comprovanti le specifiche ragioni che rendano necessaria tale conservazione. La ragione della non conformità è che tale tempo di conservazione non appare commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi.

Inoltre, la raccolta sistematica delle comunicazioni elettroniche dei dipendenti e la loro memorizzazione per un periodo di dieci anni consentirebbe alle società di eseguire il controllo delle attività dei dipendenti in palese violazione del nuovo art. 4 dello Statuto dei lavoratori (legge n. 300 del 20/5/1970, come modificata con la riforma Jobs Act). Infatti, tale articolo non consente al titolare di compiere attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

Ulteriore procedura ritenuta non conforme ai principi sopra richiamati è quella consistente nel mantenere attive le caselle di posta elettronica per un periodo che può arrivare fino a sei mesi dalla data di cessazione del rapporto. Il Garante ha precisato che il fatto che sia stato attivato un messaggio di risposta automatico che avvisi della chiusura in corso dell’account e che inviti i terzi a inoltrare le comunicazioni a un indirizzo differente, non è da ritenere coerente con la disciplina prevista dal Codice. 

L’autorità fornisce anche delle indicazioni sulla procedura de seguire durante la chiusura degli account di posta elettronica. In particolare, con il già citato provvedimento dello scorso dicembre, si prevede che la rimozione debba avvenire previa disattivazione degli account e contestuale adozione di sistemi automatici volti ad informare i terzi, al contempo fornendo a questi ultimi indirizzi alternativi riferiti all’attività professionale del trattamento.

Per le aziende, però, vi è la possibilità di raccogliere i dati contenuti nelle comunicazioni elettroniche, a condizione che informino preventivamente i dipendenti riguardo alle modalità di raccolta e circa i tempi entro i quali l’account resterà attivo dopo la cessazione del rapporto di lavoro.

Sancita l’illiceità dell’ulteriore trattamento dei dati degli ex dipendenti, effettuato non solo sull’account di posta elettronica ma anche su qualsiasi altro dispositivo fornito in dotazione ai dipendenti, resta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria nei limiti di cui all’articolo 160, comma 6 del Codice della Privacy, ai sensi del quale la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale.

Alla luce di quanto brevemente riportato, emerge come l’intenzione del Garante sia di tutelare pienamente il diritto alla riservatezza dei dipendenti ed ex dipendenti, pur sempre in un’ottica di bilanciamento tra tale diritto e il diritto al controllo del datore di lavoro.