Privacy – Disattivazione dell’account di posta elettronica dell’ex dipendente: provvedimento del Garante del 4 dicembre 2019, n. 216

Con Provvedimento 4 dicembre 2019, n. 216, il Garante privacy si è pronunciato in merito all’obbligo del datore di lavoro di cancellare l’account di posta elettronica aziendale assegnato al lavoratore a seguito della cessazione del rapporto di lavoro con lo stesso.

Il Provvedimento fa seguito al reclamo di un ex dipendente, il quale ha contestato alla società la mancata disattivazione dell’account aziendale e l’accesso ai messaggi ricevuti dopo l’avvenuta cessazione del rapporto di lavoro.

L’Autorità ha preliminarmente sottolineato come:

  1. sia ormai pacifica l’estensione all’ambito lavorativo della protezione della vita privata;
  2. la corrispondenza del lavoratore (estranea o meno all’attività lavorativa) scambiata attraverso un account aziendale individualizzato – vale a dire riconducibile a una persona identificata o identificabile – consenta di conoscere dati personali ai sensi dell’art. 4 del Regolamento UE n. 679/2016, cd. GDPR. (es. il contenuto della corrispondenza; i nominativi dei mittenti e/o dei destinatari delle comunicazioni; la data, l’ora e l’oggetto delle e-mail; gli allegati);
  3. i messaggi di posta elettronica riguardino forme di corrispondenza assistite da garanzie di segretezza tutelate costituzionalmente e garantite anche in ambito lavorativo, in virtù delle quali, quindi, il lavoratore e i soggetti terzi coinvolti possono vantare una legittima aspettativa di riservatezza su alcune forme di comunicazione anche quando viene a cessare il rapporto di lavoro.

Al fine di conformare ai principi e alle disposizioni in materia di protezione dei dati personali i trattamenti effettuati sull’account di posta elettronica aziendale di un ex lavoratore e assicurare al contempo “l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività”, il datore di lavoro, entro un tempo ragionevole, deve:

  • disattivare e rimuovere l’account di posta elettronica individualizzato;
  • adottare sistemi automatici volti a informare i terzi della disattivazione dell’account e a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • adottare misure idonee a impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui il sistema di risposta automatica è in funzione.

Sulla base di tali considerazioni, l’Autorità ha dichiarato illecita la prassi adottata dalla società, consistente nel reindirizzare automaticamente e per un periodo di tempo irragionevolmente lungo i messaggi pervenuti sull’account dell’ex dipendente su un diverso account di posta aziendale.

Il Garante ha anche disposto l’iscrizione del Provvedimento nel registro interno delle violazioni (art. 17 del Regolamento n. 1/2019, adottato in attuazione dell’art. 57 del GDPR), che costituisce un precedente per la valutazione di eventuali future violazioni.