È illecito mantenere attivo l’account di posta dell’ex dipendente

Commette un illecito il datore di lavoro che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.

Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo (doc. web  n. 9215890) di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato.

L’ex dipendente ha presentato reclamo al Garante ai sensi dell’articolo 77 del Regolamento (UE) 2016/679 in data 31 ottobre 2018, nei confronti della società ex datrice di lavoro, con il quale sono state lamentate presunte violazioni del Regolamento con riferimento alla persistente attivazione dell’account di posta elettronica aziendale dopo l’interruzione del rapporto di lavoro con la società avvenuta in data 10 settembre 2016.

Dunque, il reclamante ha lamentato di aver appreso che l’account di posta elettronica di tipo individualizzato (XX@XX.it) era stato mantenuto attivo anche dopo la cessazione del rapporto di lavoro.

Tra l’altro il reclamante ha altresì lamentato di non aver ricevuto alcuna informativa relativa alla possibilità per il datore di lavoro di accedere ai messaggi pervenuti sull’indirizzo di posta elettronica aziendale successivamente alla cessazione del rapporto di lavoro.

Il reclamante ha rappresentato di aver inviato alla società, in data 24 aprile 2018, formale diffida affinché l’account venisse disattivato e, nel contempo, si provvedesse a trasmettere copia di tutte le comunicazioni pervenute sulla menzionata casella di posta elettronica “a far data dal 10.9.2016 e sino al momento della disattivazione”.

La società ha inviato una nota (del 15.5.2018) con la quale ha rappresentato che:

• la mancata disattivazione dell’account e contestuale inoltro delle email in arrivo sull’account del responsabile della funzione di Information Technology è stata disposta sia perché il reclamante non aveva provveduto ad inviare ai clienti della società una comunicazione con i nuovi riferimenti aziendali sia perché “il ricevimento delle email indirizzate [al reclamante] era indispensabile alla corretta gestione dei rapporti commerciali della società”;
• la società aveva “aperto e letto solo le mail provenienti dalla propria clientela, non anche mail personali”;
• la disattivazione dell’account sarebbe stata disposta solo nel momento in cui il reclamante avesse comunicato “a tutti i clienti […] con cui era in contatto” che le comunicazioni alla società dovevano essere inviate a diverso account riferito all’azienda;

Con ulteriore nota del 13 maggio 2019 la società ha dichiarato che:

• il reclamante era consapevole che in base alla “prassi aziendale” il suo indirizzo di posta elettronica “sarebbe stato girato – alla cessazione del rapporto di lavoro − […] al responsabile dell’Information Technology”;
• il reclamante era pertanto “a conoscenza del fatto che il datore di lavoro (dopo la cessazione del rapporto di lavoro) avrebbe controllato la corrispondenza commerciale a lui diretta”;
• come già reso noto al reclamante con la nota inviatagli il 15 maggio 2018, la società non “ha aperto e letto mail personali inviate al [reclamante]” sull’account aziendale;
• la società ha aperto “una e-mail proveniente da un cliente [della società medesima] e con stupore si è accertato che [il reclamante] proponeva prodotti […] in diretta concorrenza con [la società]”;
• il menzionato account aziendale allo stato non è più attivo “in quanto, in data 3/5/2018, lo stesso è stato comunque chiuso come da comunicazione del gestore della posta elettronica aziendale”.

Pertanto, per la società “non vi è stata violazione del principio di correttezza in quanto:

• [la società] ha avuto accesso alle sole email aziendali, non anche a quelle di contenuto privato”;
• “la giurisprudenza (Cass. Civile n. 26682/2017) ed anche la Corte Europea dei diritti dell’Uomo (CEDU causa 61496/18) ritiene legittimo il diritto del datore di lavoro di controllare la mail del lavoratore (addirittura in costanza del rapporto di lavoro) sulla sola mail aziendale […] con l’unico limite che la corrispondenza sia resa nell’ambito del rapporto di lavoro”.

Con riferimento alla sussistenza delle condizioni per infliggere sanzioni amministrative pecuniarie (ai sensi dell’art. 83, par. 2, del Regolamento) la società ha rilevato che:

• “non vi è stato certamente comportamento doloso o colposo, in quanto l’azienda ha agito nella consapevolezza di porre in essere attività legittima”,
• la società ha “cessato – non appena ricevuta la comunicazione del lavoratore – la casella di posta elettronica” né in passato ha commesso o le sono state contestate violazioni della stessa natura;
• la società “ha cooperato in tutto e per tutto con l’autorità di controllo ed ha posto rimedio […] alla violazione”;
• “i dati trattati erano […] inerenti all’attività commerciale e non dati privati del ricorrente”;
• “i fatti oggetto del reclamo […] sono antecedenti all’entrata in vigore del Regolamento UE 679/2016” e, di conseguenza, l’informativa circa la prassi adottata dalla società in materia di posta elettronica aziendale “veniva resa oralmente ai propri dipendenti”.

Tuttavia, dagli accertamenti svolti dall’Autorità Garante è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.

Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

 

Vietato il controllo massivo delle e-mail

Già nel 2018 il Garante si era espresso sulla conservazione delle e-mail dei dipendenti chiarendo altresì che è vietato il controllo massivo.

Il Garante ha accertato che la società trattava in modo illecito i dati personali contenuti nelle email in entrata e in uscita, anche di natura privata e goliardica, scambiate dal lavoratore con alcuni colleghi e collaboratori. I dati raccolti nel corso di un biennio erano poi stati utilizzati per contestare un provvedimento disciplinare cui era seguito il licenziamento del dipendente poi annullato dal giudice del lavoro [doc. web n. 8159221].

La società non aveva fornito ai dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all’uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale. Un comportamento in contrasto con l’obbligo della società di informare i lavoratori riguardo alle caratteristiche essenziali dei trattamenti effettuati, comprese le operazioni che possono svolgere gli amministratori di sistema (ad es., accesso ai contenuti delle email).

La società, inoltre, conservava in modo sistematico i dati esterni e il contenuto di tutte le email scambiate dai dipendenti per l’intera durata del rapporto di lavoro e anche dopo la sua interruzione, violando così i principi di liceità, necessità e proporzionalità stabiliti dal Codice privacy.

Aveva posto in atto la conservazione estesa e sistematica delle mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consentendo il controllo dell’attività dei dipendenti. Controllo vietato dalla disciplina di settore che non autorizza, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate. Il datore di lavoro infatti pur potendo controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro deve sempre salvaguardare la libertà e la dignità dei dipendenti.

Ingiustificata, in particolare, la raccolta a priori di tutte le email in vista di futuri ed eventuali contenziosi. Il Garante ha ritenuto, infine, non conforme alla legittima aspettativa di riservatezza della corrispondenza l’accesso della società alle email in ingresso sull’account aziendale dopo il licenziamento del lavoratore. Al cessare del rapporto di lavoro la casella di posta elettronica deve essere disattivata e rimossa e al suo posto di devono attivare eventuali account alternativi.