Il Garante per la protezione dei dati personali ha nuovamente espresso il proprio parere sulla gestione della posta elettronica aziendale da parte dei datori di lavoro dopo la fine del rapporto lavorativo, fornendo preziose indicazioni pratiche alle aziende e ai responsabili delle risorse umane.
Il caso ha avuto origine da un reclamo presentato al Garante da un ex dirigente che, a seguito di una lettera di contestazione disciplinare e del successivo licenziamento, si è visto negare l’accesso alla propria casella di posta elettronica aziendale, rimasta attiva. Esercitando i diritti previsti dalla normativa, ha richiesto alla società la disattivazione dell’account, l’inoltro dei messaggi ricevuti nel periodo di inattività al suo indirizzo personale e l’attivazione di una risposta automatica per informare i mittenti del nuovo indirizzo e-mail. Tuttavia, tali richieste, formulate correttamente secondo il GDPR, non sono state soddisfatte.
Il Garante ribadisce un principio fermo: le richieste di esercizio dei diritti previsti dalla normativa in materia di protezione dei dati devono essere sempre evase nei termini di legge, anche quando si inseriscono in un contesto di contenzioso giuslavoristico. La circostanza che la richiesta sia formulata in modo “non tecnico” o che il rapporto sia conflittuale non esonera il datore di lavoro dall’obbligo di riscontro entro 30 giorni.
Tornando sul tema della gestione dell’account di posta elettronica aziendale di un ex dipendente, particolarmente rilevante è il richiamo al consolidato orientamento – nazionale ed europeo – secondo cui la tutela della vita privata e della corrispondenza si estende anche all’ambito lavorativo.
L’account di posta elettronica, infatti, può contenere dati personali e comunicazioni che rientrano nella sfera di protezione dell’art. 8 CEDU, anche se utilizzato per finalità professionali.
Ne consegue che l’accesso, l’inoltro o la conservazione dei messaggi dopo la cessazione del rapporto costituiscono trattamenti di dati personali che devono rispettare i principi di:
- liceità;
- minimizzazione;
- limitazione della conservazione.
Il Garante chiarisce che le esigenze di continuità del business non giustificano automaticamente il mantenimento attivo della casella e-mail di un ex dipendente.
La prassi corretta è invece quella di:
- disattivare tempestivamente l’account;
- attivare risposte automatiche verso i terzi;
- evitare l’accesso al contenuto delle comunicazioni, salvo casi eccezionali e debitamente motivati.
Nel caso esaminato, l’Autorità ha accertato plurime violazioni del GDPR e ha irrogato una sanzione amministrativa di 40.000 euro, disponendo anche misure correttive e la pubblicazione del provvedimento.
La decisione rappresenta un importante monito: la gestione degli strumenti digitali aziendali dopo la cessazione del rapporto di lavoro richiede procedure chiare, aggiornate e pienamente conformi alla normativa privacy.