DLP Insights

Commette un illecito il datore di lavoro che mantiene attivo l’account di posta dell’ex dipendente

Categorie: DLP Insights, Prassi | Tag: Garante, disattivazione, account di posta aziendale, cessazione rapporto di lavoro

L’Autorità Garante per la Protezione dei Dati Personali, con il “Provvedimento n. 216 del 4 dicembre 2019”, ha confermato una già consolidata posizione secondo cui, il datore di lavoro che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella casella di posta, commette un illecito.

Il caso

Una società ricorreva al giudice del lavoro avverso un ex dipendente poiché questi proponeva prodotti in diretta concorrenza con i suoi. Le informazioni a suffragio del ricorso erano state raccolte dalla società ricorrente accendendo all’indirizzo di posta elettronica dell’ex dipendente anche successivamente all’interruzione del rapporto di lavoro.

Il lavoratore presentava così reclamo al Garante per la protezione dei dati personali, eccependo che la società sua ex datrice di lavoro non aveva disattivato il suo account di posta ed aveva acceduto ai messaggi ricevuti.

La società, nel resistere al reclamo presentato dal lavoratore, ha affermato che la mancata disattivazione dell’account e il contestuale inoltro delle mail sull’indirizzo del responsabile della funzione di Information Technology, erano state disposte poiché (i) l’ex dipendente non aveva provveduto ad inviare ai clienti una comunicazione con i nuovi riferimenti aziendali. Aggiungendo, inoltre, che (ii) era stata aperta solo la corrispondenza contente messaggi di lavoro e non anche quelli personali e che (iii) l’ex dipendente fosse a conoscenza della “prassi aziendale” secondo cui il datore di lavoro, dopo la cessazione del rapporto, avrebbe controllato la corrispondenza a lui diretta.

Preso atto che i fatti oggetto del reclamo sono antecedenti all’entrata in vigore del Regolamento UE 2016/679 e che le informazioni venivano rese ai dipendenti in forma orale, il Garante ha comunque dichiarato illecito il reiterato utilizzo dell’account individuale aziendale di un soggetto non facente più parte di quella organizzazione aziendale.

Il Garante, infatti, ha affermato che il datore di lavoro deve agire in conformità ai principi di liceità, necessità e proporzionalità, i quali rappresentano le fondamenta della materia della protezione dei dati personali, disponendo la rimozione degli account di posta elettronica aziendali riconducibili a persone identificate o identificabili. Contestualmente alla chiusura dell’account, secondo l’Autorità, il datore di lavoro è tenuto, se necessario, a dotarsi di sistemi automatici volti ad informare i terzi e a fornire a questi ultimi indirizzi alternativi a cui rivolgersi. Inoltre, il datore di lavoro deve adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante tutto il periodo in cui il sistema automatico è attivo.

Secondo quanto disposto nel Provvedimento, è l’implementazione di adeguate misure tecniche ed organizzative che consente di contemperare, da un lato, l’interesse del titolare (alias il datore di lavoro) ad accedere alle informazioni a lui necessarie per proseguire la gestione dell’attività lavorativa e, dall’altro, assicurare il rispetto della legittima aspettativa del lavoratore alla riservatezza sulla corrispondenza. E, a parere del Garante, proprio l’adozione di un regolamento interno in base al quale vengono condivise con dipendenti le informazioni sulla gestione tecnica ed organizzativa adottate, rientra tra le corrette misure da implementare.

Altri insights