Il 4 dicembre 2019 il Garante per la Protezione dei Dati Personali (di seguito, anche “Garante” o “Autorità”) ha emanato il Provvedimento, n. 216/2019 con il quale si è pronunciato in merito all’obbligo del datore di lavoro di cancellare l’account di posta elettronica aziendale assegnato al lavoratore a seguito della cessazione del rapporto di lavoro con lo stesso. Il Provvedimento fa seguito al reclamo di un ex dipendente, il quale ha contestato alla società la mancata disattivazione dell’account aziendale e l’accesso ai messaggi ricevuti dopo l’avvenuta cessazione del rapporto di lavoro. Infatti, nel corso di un giudizio promosso nei suoi confronti dall’ex datore di lavoro, l’ex dipendente aveva appreso che il suo account di posta elettronica di tipo individualizzato era ancora attivo, essendo stata depositata agli atti del giudizio una e-mail giunta sulla casella di posta in questione un anno dopo la cessazione dal servizio.
Nel pronunciarsi sul reclamo, l’Autorità ha preliminarmente sottolineato come:
• sia ormai pacifica l’estensione all’ambito lavorativo della protezione della vita privata;
• la corrispondenza del lavoratore (estranea o meno all’attività lavorativa) scambiata attraverso un account aziendale individualizzato – vale a dire riconducibile a una persona identificata o identificabile – consenta di conoscere dati personali ai sensi dell’art. 4 del Regolamento UE n. 679/2016, cd. GDPR. (es. il contenuto della corrispondenza; i nominativi dei mittenti e/o dei destinatari delle comunicazioni; la data, l’ora e l’oggetto delle e-mail; gli allegati);
• i messaggi di posta elettronica riguardino forme di corrispondenza assistite da garanzie di segretezza tutelate costituzionalmente e garantite anche in ambito lavorativo, in virtù delle quali, quindi, il lavoratore e i soggetti terzi coinvolti possono vantare una legittima aspettativa di riservatezza su alcune forme di comunicazione anche quando viene a cessare il rapporto di lavoro (cfr. Linee guida del Garante per posta elettronica e Internet, 1° marzo 2007).
Sulla base di tali considerazioni, l’Autorità ha dichiarato illecita la prassi adottata dalla società, consistente nel reindirizzare automaticamente e per un periodo di tempo irragionevolmente lungo i messaggi pervenuti sull’account dell’ex dipendente su un diverso account di posta aziendale.
Alla luce dei principi ribaditi dal Garante nel provvedimento, è opportuno prendere in considerazione di adottare delle procedure interne affinché subito dopo la cessazione del rapporto di lavoro vengano rimossi gli account di posta elettronica riconducibili all’ex dipendente, adottando però al contempo sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione e limitando l’accesso alle informazioni necessarie a garantire la continuità della gestione della propria attività.
