E’ oramai consuetudine assegnare al lavoratore un account di posta elettronica “individualizzato”, cioè utilizzato in via esclusiva e non condivisa, spesso nella forma cognomelavoratore@nomeazienda o similare.

Può anche accadere che, concluso il rapporto, il datore di lavoro abbia interesse a mantenere attivo tale account per non perdere i contatti utili verso i terzi con i quali il lavoratore (ormai ex) ha intrattenuto rapporti tramite il proprio account aziendale, almeno fino a quando non sia possibile offrire un nuovo indirizzo mail di riferimento.

In un momento come quello attuale, in cui numerosi rapporti di lavoro sono terminati o stanno per concludersi per il pensionamento del lavoratore, appare certamente utile chiedersi se un simile comportamento sia effettivamente legittimo.

Sotto questo profilo, le nostre riflessioni riguardano qualunque tipo di rapporto (dipendente, somministrazione, collaborazione, ecc.) e indipendentemente dalla circostanza che il datore di lavoro sia un soggetto privato ovvero una Pubblica Amministrazione.

Dobbiamo innanzitutto chiarire che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, sicché lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account di tipo individualizzato, con soggetti interni o esterni alla compagine aziendale, configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, anche relativamente ai dati c.d. dati esterni delle comunicazioni (data, ora, oggetto, nominativi di mittenti e destinatari), che sono soggetti a tutela perché in grado di fornire, come i dati di traffico telefonico, indicazioni rilevanti in ordine ai contatti e alle relazioni del lavoratore (vedi: Provvedimento del Garante n. 551 del 27/11/2014).

Già nelle "Linee guida del Garante per posta elettronica e Internet" del 1° marzo 2007, infatti, l’Autorità Garante per la protezione dei dati personali ha ritenuto che il contenuto dei messaggi di posta elettronica, inclusi i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, che mirano a proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali. E ciò, trasposto in ambito lavorativo, comporta la possibilità – spiega il Garante – che il lavoratore o soggetti terzi coinvolti possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione, anche nell´ipotesi in cui venga a cessare il rapporto di lavoro tra le parti.

Da queste considerazioni, ne deriva che – in conformità ai principi in materia di protezione dei dati personali contenuti nel Regolamento UE n. 2016/679 (GDPR) e nel novellato Codice Privacy (D.Lgs. n. 196/2003) – dopo la cessazione del rapporto di lavoro, il datore deve rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili, adottando misure idonee che osservino le seguenti indicazioni:

1. la disattivazione dell’account deve avvenire in un tempo ragionevole, commisurato ai tempi tecnici di predisposizione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività del datore di lavoro;
2. contestualmente, deve essere impedita la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione e, dunque, deve escludersi la possibilità di reindirizzare automaticamente i messaggi pervenuti sull’account del lavoratore cessato su un diverso account aziendale;
3. il datore di lavoro, in qualità di titolare del trattamento, è tenuto ad informare preventivamente i lavoratori circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro, ciò anche in applicazione del principio di correttezza (artt. 5, par. 1, lett. a e 13 del GDPR), ponendosi nella condizione di poter documentare l’avvenuto adempimento dell’obbligo informativo.

Solo in tal modo è possibile contemperare, da un lato, l’interesse del titolare del trattamento ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e, al contempo, garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte del lavoratore e dei terzi.

A questo punto, chiarite le misure per dismettere l’account di posta elettronica, il lettore sarà mosso da una domanda assolutamente spontanea: il datore di lavoro può, prima di disattivarla, controllare il contenuto della mail dell’ex lavoratore?

Ebbene, chiariamo che l’accesso all’account di posta elettronica personale (non aziendale) del lavoratore è sempre vietato, mentre quello all’account aziendale, contenente le mail ricevute e/o inviate dal lavoratore, è consentito esclusivamente a certe condizioni, la cui osservanza deve essere dimostrata dal datore di lavoro.

In primo luogo, il lavoratore deve preventivamente ricevere dal datore apposita informativa dettagliata, che sia in linea con gli orientamenti del Garante per la protezione dei dati personali (vedi: Provvedimenti del Garante n. 216 del 04/12/2019 e n. 53 dell’01/02/2018) e con i contenuti del Regolamento Europeo (GDPR).

Inoltre, i controlli devono sempre essere:

• collegati a finalità determinate e ben specificate agli interessati
• rispettosi e non eccedenti rispetto alle finalità perseguite
• proporzionali al corrispondente diritto di riservatezza del lavoratore (sono sempre vietati i controlli massivi)
• tracciabili, con garanzia di poter verificare quali e quante e-mail possono essere monitorate, la frequenza del controllo e quante persone hanno accesso ai risultati di tale attività

Ne deriva l’importanza per il datore di lavoro di porre in essere le misure necessarie a rendere legittimi i controlli sulla posta elettronica del lavoratore, onde evitare di incorrere nelle gravi sanzioni previste per il trattamento illecito di dati personali, oltre che per scongiurare l’inutilizzabilità in giudizio di quanto ottenuto dai controlli medesimi perché acquisito in modo illegittimo.

Helpdesk
email: gdpr33@gdpr33.it
tel: 0692915690