Il Garante della privacy, con l’Ordinanza dell’11 gennaio 2023 (pubblicata sulla newsletter 501 del 15 marzo) ha ribadito il principio secondo il quale l’indirizzo di posta elettronica del lavoratore deve essere cancellato una volta cessato il rapporto di lavoro.
L’Autorità si è pronunciata in seguito al reclamo presentato dalla collaboratrice di una società alla quale era stato attivato un indirizzo di posta elettronica per partecipare a una fiera. Con l’interruzione del rapporto di collaborazione, nonostante le plurime richieste di cancellazione, la società non aveva provveduto (anzi aveva consultato il contenuto delle e-mail, inoltrandole al direttore commerciale).
Tale principio era già stato reso noto nel 2019, a seguito emanazione del Provvedimento n. 216/2019 tramite il quale il Garante si espresse in seguito al reclamo di un ex dipendente che aveva contestato alla società la mancata disattivazione dell’account aziendale e l’accesso ai messaggi ricevuti, dopo l’avvenuta cessazione del rapporto di lavoro.
I pilastri su cui riflette la (netta) posizione del Garante, in tema di mail aziendali e privacy, si basano sui seguenti concetti:
- è ormai pacifica l’estensione all’ambito lavorativo della protezione della vita privata;
- la corrispondenza del lavoratore (estranea o meno all’attività lavorativa) scambiata attraverso un account aziendale individualizzato – vale a dire riconducibile a una persona identificata o identificabile – consente di conoscere dati personali ai sensi dell’art. 4 del Regolamento UE n. 679/2016, cd. GDPR. (es. il contenuto della corrispondenza; i nominativi dei mittenti e/o dei destinatari delle comunicazioni; la data, l’ora e l’oggetto delle e-mail; gli allegati);
- i messaggi di posta elettronica riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate costituzionalmente e garantite anche in ambito lavorativo, in virtù delle quali, quindi, il lavoratore e i soggetti terzi coinvolti possono vantare una legittima aspettativa di riservatezza su alcune forme di comunicazione anche quando viene a cessare il rapporto di lavoro (cfr. Linee guida del Garante per posta elettronica e Internet, 1° marzo 2007).
Alla luce dei suddetti principi, è opportuno prendere in considerazione di adottare delle procedure interne affinché subito dopo la cessazione del rapporto di lavoro vengano rimossi gli account di posta elettronica riconducibili all’ex dipendente.
SUGGERIMENTI: il datore di lavoro può adottare un disciplinare interno da pubblicizzare adeguatamente, con il quale:
- rendere disponibili indirizzi email condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali;
- valutare la possibilità di attribuire al lavoratore un diverso indirizzo destinato a uso privato;
- predisporre una risposta automatica, in caso di assenze, con le “coordinate” di un altro soggetto o altre utili modalità di contatto della struttura.
- regolare i casi di assenza improvvisa o prolungata del lavoratore e per improrogabili necessità legate all’attività lavorativa: quando si debba conoscere il contenuto dei messaggi di posta elettronica di un assente, quest’ultimo stesso dovrebbe essere messo in grado di delegare un collega (fiduciario) a verificare il contenuto di determinati messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa.
Per ulteriori informazioni
UFFICIO PAGHE
tel. 0173/226611
e-mail libripaga@acaweb.it