Con provvedimento n. 216 del 4.12.2019 il Garante Privacy ha chiarito che mantenere attivo l’account di posta elettronica aziendale del dipendente cessato e accedere ai messaggi ivi pervenuti costituisce un illecito trattamento di dati personali ai sensi della vigente normativa privacy (D.lgs. 196/2003 e successive modifiche e Reg. Ue 2016/679 o GDPR).
La vicenda: le doglianze dell’ex dipendente e le giustificazioni addotte dal datore di lavoro.
La vicenda trae origine dal reclamo ex art. 77 GDPR presentato al Garante Privacy da un lavoratore al fine di far accertare la presunta violazione della normativa sul trattamento dei dati personali commessa dall’ex datore di lavoro, reo di aver mantenuto attivo il suo account di posta elettronica aziendale per lungo tempo successivamente alla cessazione del rapporto di lavoro e di aver avuto accesso alla corrispondenza ivi pervenuta nel periodo.
La circostanza era emersa in seno al contenzioso, instaurato dall’Azienda, diretto ad accertare l’avvenuta violazione da parte dell’ex dipendente del patto di non concorrenza in cui erano state prodotte, a sostegno della pretesa, alcune e-mail tratte dall’account aziendale del lavoratore dalle quali emergeva che quest’ultimo, dopo la cessazione del rapporto di lavoro, aveva contattato la clientela dell’ex datore di lavoro proponendo prodotti analoghi.
Il Reclamante, nell’esporre al Garante le proprie doglianze, lamentava altresì di non aver mai ricevuto dall’Azienda alcuna informativa in merito alla possibilità di accedere ai messaggi pervenuti sul suo indirizzo di posta elettronica successivamente alla cessazione del rapporto di lavoro.
La Società resistente si difendeva dalle accuse asserendo che il reclamante era ben consapevole che in base alla “prassi aziendale” i messaggi diretti al suo indirizzo di posta elettronica, una volta cessato il rapporto di lavoro, sarebbero stati automaticamente reindirizzati al responsabile dell’Information Technology e che, nel caso specifico, la mancata disattivazione dell’account e il contestuale inoltro delle e-mail in arrivo al responsabile IT era stata disposta sia perché egli non aveva provveduto ad inviare ai clienti della Società alcuna comunicazione, sia perché il ricevimento delle e-mail a lui indirizzate era indispensabile alla corretta gestione in continuità dei rapporti commerciali tra la Società e i suoi clienti.
In secondo luogo, la Società sosteneva di non aver commesso alcuna violazione del principio di correttezza ai danni del dipendente, dal momento che aveva visualizzato solamente le e-mail provenienti dalla propria clientela e non anche le comunicazioni di carattere personale a lui indirizzate, attenendosi al principio affermato sia dalla Cassazione (Cass. Civile n. 26682/2017) sia dalla Corte Europea dei diritti dell’Uomo (CEDU causa 61496/18), secondo cui il datore di lavoro potrebbe legittimamente controllare la casella e-mail del lavoratore (addirittura in costanza del rapporto di lavoro) con l’unico limite che il controllo abbia ad oggetto la corrispondenza scambiata per fini lavorativi.
Quanto all’accusa di mancata informativa al lavoratore sulle sorti del suo account e-mail al momento della cessazione del rapporto di lavoro, la Società asseriva che essa era stata resa ai dipendenti oralmente secondo una prassi legittima nella vigenza della normativa pre-GDPR pro tempore vigente.
La decisione del Garante privacy.
Con provvedimento n. 216 del 4.12.2019 il Garante ha dichiarato illegittimo il trattamento di dati effettuato dall’Azienda nella vicenda sopra ripercorsa, censurando sia l’accesso alla casella di posta dell’ex lavoratore (con conseguente lettura dei messaggi ivi presenti), sia – prima ancora – la mancata disattivazione dell’account entro un tempo ragionevolmente breve decorrente dalla cessazione del rapporto di lavoro.
L’Azienda è responsabile della condotta illecita consistita nel non aver debitamente informato il lavoratore in merito all’utilizzo dell’account di posta elettronica aziendale e alle sue sorti in caso di cessazione del rapporto di lavoro, non potendo l’avviso reso verbalmente al lavoratore (ancorchè dimostrato) considerarsi idoneo a ritenere assolto l’onere informativo che l’Ordinamento pone in capo al titolare del trattamento.
Il Garante ha chiarito che “il titolare è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro, ciò anche in applicazione del principio di correttezza (v. artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, criteri peraltro confluiti negli artt. 5, par. 1, lett. a) e 13 del Regolamento)” (cfr Provv. 216 del 4.12.2019).
Ciò si pone in linea di continuità con quanto stabilito dall’Autorità Garante, ben prima dell’entrata in vigore del GDPR, nel provvedimento contenente le “Linee guida del garante per posta elettronica e internet” del 1° marzo 2007, pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007, in cui veniva affermato che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali” (punto 5.2 lett. b). Tale assunto, trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati) possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione (quali i messaggi di posta sul proprio account e-mail) e che tali esigenze di tutela debbano essere tenute in considerazione anche ove venga a cessare il rapporto di lavoro tra le parti.
È in ipotesi come queste che risalta l’importanza che riveste per un’azienda l’adozione di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici: trattasi, in sostanza, di una policy interna in cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati (es: tipo di operazioni concesse/vietate; misure di sicurezza da adottare; possibilità/divieto di utilizzo dei medesimo per scopi extralavorativi ecc.). Oltre a ciò, per quanto concerne, nello specifico, l’account e-mail aziendale del lavoratore, all’interno del disciplinare tecnico è opportuno stabilire le modalità di gestione degli account aziendali in caso di assenza, anche non programmata, del lavoratore, nonché la procedura per la disattivazione e cancellazione dei medesimi in ipotesi di interruzione del rapporto di lavoro.
Cosa può e cosa deve fare il datore di lavoro con l’account e-mail del lavoratore cessato?
Come chiarito dal Garante, dopo la cessazione del rapporto il datore di lavoro deve rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (es: nome.cognome@nomeazienda.it) in un tempo ragionevole, commisurato ai tempi tecnici di predisposizione delle misure, previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
L’adozione di simili misure tecnologiche ed organizzative consente di contemperare l’interesse del Titolare del trattamento (datore di lavoro) ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità, con la legittima aspettativa di riservatezza sulla corrispondenza dei dipendenti/collaboratori nonché dei terzi che ad essi si rivolgono (v., da ultimo, provv.to 1° febbraio 2018, n. 53; provv. 5 marzo 2015, n. 136 e provv. 27 novembre 2014).
