Accesso alle e-mail dell’ex dipendente e privacy

Lo scorso 27 febbraio, il Garante Privacy ha rilasciato il Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” tramite il quale si forniscono ai datori di lavori specifiche indicazioni per la garanzia del rispetto della vigente normativa in materia di protezione dei dati personali, ulteriori e più stringenti rispetto al consolidato orientamento originariamente sviluppatosi già nel 2007 con le “Linee guida del Garante per posta elettronica e internet”.

Tale documento integra anche il provvedimento del 4 dicembre 2019, n. 216, con il quale il Garante si era pronunciato in merito all’obbligo del datore di lavoro di cancellare l’account di posta elettronica aziendale assegnato al lavoratore a seguito della cessazione del rapporto di lavoro con lo stesso. Si ricorda che nel 2019, quel provvedimento aveva fatto seguito al reclamo di un ex dipendente, il quale aveva contestato alla società la mancata disattivazione dell’account aziendale e l’accesso ai messaggi ricevuti dopo l’avvenuta cessazione del rapporto di lavoro. Infatti, nel corso di un giudizio promosso nei suoi confronti dall’ex datore di lavoro, l’ex dipendente aveva appreso che il suo account di posta elettronica di tipo individualizzato era ancora attivo, essendo stata depositata agli atti del giudizio una e-mail giunta sulla casella di posta in questione un anno dopo la cessazione dal servizio.

Già nel 2019, pertanto, l’Autorità aveva preliminarmente sottolineato come:

  • sia ormai pacifica l’estensione all’ambito lavorativo della protezione della vita privata;
  • la corrispondenza del lavoratore (estranea o meno all’attività lavorativa) scambiata attraverso un account aziendale individualizzato – vale a dire riconducibile a una persona identificata o identificabile – consenta di conoscere dati personali ai sensi dell’art. 4 del Regolamento UE n. 679/2016, cd. GDPR. (es. il contenuto della corrispondenza; i nominativi dei mittenti e/o dei destinatari delle comunicazioni; la data, l’ora e l’oggetto delle e-mail; gli allegati);
  • i messaggi di posta elettronica riguardino forme di corrispondenza assistite da garanzie di segretezza tutelate costituzionalmente e garantite anche in ambito lavorativo, in virtù delle quali, quindi, il lavoratore e i soggetti terzi coinvolti possono vantare una legittima aspettativa di riservatezza su alcune forme di comunicazione anche quando viene a cessare il rapporto di lavoro (cfr. Linee guida del Garante per posta elettronica e Internet, 1° marzo 2007).

Alla luce dei principi ribaditi dal Garante nel provvedimento del 2019, sarebbe stato già opportuno prendere in considerazione di adottare delle procedure interne affinché subito dopo la cessazione del rapporto di lavoro vengano rimossi gli account di posta elettronica riconducibili all’ex dipendente, adottando però al contempo sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione e limitando l’accesso alle informazioni necessarie a garantire la continuità della gestione della propria attività.

Adesso, in base al nuovo Documento del Garante, i datori di lavoro che fanno impiego di programmi e servizi informatici per la gestione della posta elettronica in cloud, dovranno avviare un processo di verifica degli eventuali metadati raccolti dai sistemi informatici impiegati a livello aziendale e delle relative modalità e tempi di conservazione; ed anche valutare se limitare il periodo di conservazione o estenderlo, nel caso in cui ciò fosse possibile.

Laddove, invece, i datori di lavoro volessero estendere il termine di conservazione dei metadati, dovranno:

  • individuare un ragionevole termine di conservazione;
  • assicurarsi che trascorso il suddetto termine, i dati vengano effettivamente cancellati dai sistemi;
  • valutare se adottare appositi accordi sindacali oppure se ricorrere alle autorizzazioni dell’Ispettorato del Lavoro (se non già presenti);
  • informare in maniera adeguata i propri dipendenti e collaboratori dei trattamenti effettuati in relazione alla posta elettronica aziendale, inclusi i relativi “metadati”;
  • aggiornare in maniera conforme i registri delle attività di trattamento e il regolamento per l’utilizzo degli strumenti informatici aziendali.

Auspichiamo che quest’ultimo provvedimento del Garante potrà essere ancora rivisto o quantomeno perfezionato, onde evitare spiacevoli situazioni. Si pensi al caso dell’ex dipendente che durante le fasi finali del rapporto di lavoro, ponga in essere una condotta di concorrenza sleale (ad esempio decida di trafugare segreti commerciali tramite download massivo di dati confidenziali su chiave USB ed invio di documenti riservati alla propria e-mail personale o, peggio, a quella di un competitor). La previsione, dunque, di un periodo di conservazione molto breve per i metadati potrebbe ostacolare il datore di lavoro ad accertare la condotta illecita del suo ex dipendente.

 

Per ulteriori informazioni
UFFICIO PAGHE
tel. 0173/226611
e-mail libripaga@acaweb.it

La tua opinione conta

Ti è piaciuto l’articolo?

Rimani sempre aggiornato con le notizie di settore

Unisciti ad ACA

Scopri come associarsi e i tuoi vantaggi

È semplice, inizia da qui