La disattivazione dell'account aziendale dopo il licenziamento

Dopo la cessazione del rapporto di lavoro, il datore è obbligato a disattivare l’account di posta elettronica aziendale riconducibile all’ex dipendente

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: Provvedimento n. 216 del 4 dicembre 2019

Fatto

Una persona aveva promosso un reclamo al Garante per la protezione dei dati personali, lamentando che la società con cui aveva in precedenza intrattenuto un rapporto di lavoro aveva violato la normativa in materia di protezione dei dati personali nei suoi confronti.

In particolare, dopo l’interruzione del rapporto di lavoro (che era avvenuta nel settembre 2016), il datore di lavoro aveva mantenuto attivo l’account di posta elettronica aziendale del reclamante. Tra l’altro, solo in considerazione dell’introduzione di un giudizio davanti al Tribunale di Ivrea sezione lavoro, il reclamante aveva potuto apprendere della permanenza della propria casella di posta elettronica nonché del fatto che il proprio ex datore di lavoro continuava a accedere ai messaggi che ivi arrivavano.

L’ex dipendente si lamentava, quindi, del fatto che non avesse avuto alcuna informativa in ordine al fatto che il datore di lavoro avrebbe potuto accedere alla suddetta casella di posta elettronica e visualizzare i messaggi contenuti, anche dopo la cessazione del rapporto di lavoro.

In ragione di ciò, il reclamante aveva inviato nell’aprile del 2018 una comunicazione alla società ex datrice di lavoro, diffidandola formalmente alla disattivazione dell’account di posta elettronica nonché alla trasmissione a suo favore di copia di tutte le comunicazioni che erano arrivate al suddetto indirizzo dal momento in cui era cessato il rapporto di lavoro e fino alla disattivazione della stessa.

La decisione del Garante

Nel proprio reclamo, l’ex dipendente ha dato conto ed esposto i fatti oggetto del contendere, chiedendo che il garante dichiari illecito il comportamento posto in essere dalla società nonché disponga che quest’ultima conformi il relativo trattamento dati, connesso alla casella di posta elettronica aziendale, alla normativa in materia di protezione dei dati personali.

La società si è difesa sostenendo che l’account non era stato disattivato e le e-mail in arrivo erano state controllate in considerazione del fatto che, prima di interrompere il rapporto di lavoro, l’ex dipendente non aveva informato i clienti della società che le comunicazioni avrebbero dovuto essere inviate presso un nuovo riferimento e-mail aziendale e del fatto che il controllo dell’e-mail in arrivo era necessario per poter gestire i rapporti commerciali della Società stessa. In secondo luogo, quest’ultima aveva precisato che il controllo delle e-mail era stato limitato soltanto a quelle di carattere commerciale (in quanto si trattava di comunicazioni provenienti dai clienti della società), mentre non era mai stato esteso al controllo dell’e-mail di carattere personale.

Durante l’istruttoria del procedimento, il garante ha richiesto ulteriori chiarimenti alla società reclamata, la quale ha sostenuto che l’ex dipendente fosse stato fin da subito consapevole che esisteva una prassi aziendale per cui l’indirizzo e-mail a lui intestato sarebbe stato oggetto di controllo dopo la cessazione del rapporto di lavoro e che prima dell’introduzione del procedimento in esame la società aveva comunicato all’ex dipendente di non aver aperto né letto e-mail personali inviate sul account aziendale, ma soltanto e-mail provenienti dai clienti della società (dal controllo di una delle quali era emerso che il reclamante stesse svolgendo concorrenza rispetto alla propria ex datrice di lavoro, facendo ciò scaturire l’introduzione della causa innanzi al tribunale di Ivrea). Infine, la reclamata ha precisato che l’account aziendale non è più attivo dal maggio del 2018, in quanto da tale data è stato chiuso.

In considerazione delle posizioni espresse dalle due parti, il Garante per la protezione dei dati personali ha, quindi, ritenuto accertato i seguenti fatti:

  • che l’account di posta elettronica, che era stato assegnato al dipendente in maniera individuale, non era stato disattivato dalla società per evitare di perdere i contatti con i propri clienti;
  • che detto account era rimasto attivo e controllato dalla società per 1 anno e 7 mesi dal momento della cessazione del rapporto di lavoro;
  • che alcune informazioni che erano state raccolte da detto account non disattivato erano state successivamente utilizzate in un procedimento giudiziario nei confronti del reclamante per la difesa dei diritti della società.

Ciò detto, il garante ha ritenuto che il periodo di tempo (1 anno e 7 mesi) in cui l’account aziendale è rimasto attivo e sotto il controllo della società è da definirsi come significativo.

In secondo luogo, ha ritenuto che l’informativa rivolta all’interessato, in ordine al fatto che l’indirizzo di posta elettronica sarebbe stato controllato dalla società anche dopo la cessazione del rapporto di lavoro, avvenuta attraverso modalità verbali, non è idonea a ritenere assolto l’obbligo gravante sul datore di lavoro, quale titolare del trattamento, di informare l’interessato. Secondo l’autorità di controllo, infatti, il controllo dei messaggi di posta elettronica compiuta su un account assegnato in maniera individuale ad un dipendente, indipendentemente dal fatto che abbia avuto ad oggetto l’esame dei messaggi di carattere lavorativo o abbia riguardato anche quelli estranei all’attività lavorativa, permette di acquisire anche informazioni personali dell’interessato. Infatti, i dati personali possono emergere anche dal controllo esterno dei messaggi di posta elettronica (cioè senza aprire il messaggio), in quanto i dati visibili (come, per esempio, la data, l’oggetto, il nominativo del mittente) possono essere idonei a far emergere informazioni non riferibili all’attività professionale del dipendente ed aventi carattere personale (ed infatti, nel caso di specie, dall’elenco delle comunicazioni che il reclamante aveva ricevuto sull’account aziendale, emergevano inviti ad iniziative culturali, pubblicità di un istituto bancario rivolta ai propri clienti).

Il Garante ha, quindi, rilevato che nelle linee guida sulla posta elettronica dallo stesso emanate nel 2007, è stato stabilito che il messaggio di posta elettronica è una forma di corrispondenza cui è riconosciuta la garanzia della segretezza anche a livello costituzionale per proteggere la dignità umana e lo sviluppo della personalità; principio che, trasportato in ambito lavorativo, garantisce anche al lavoratore la riservatezza sui messaggi di posta elettronica e che tale forma di tutela permanga anche nel caso in cui il rapporto di lavoro sia cessato.

In considerazione di ciò, l’autorità di controllo ha ritenuto che, dopo la cessazione del rapporto di lavoro, il datore sia obbligato a rimuovere l’account di posta elettronica aziendale riconducibile all’ex dipendente entro un tempo ragionevole per permettere allo stesso datore di predisporre delle misure idonee ad informare i terzi circa i nuovi indirizzi di posta cui rivolgere le comunicazioni relative all’azienda ed introdurre misure idonee a impedire che in tale lasso di tempo possano essere visualizzati i messaggi in arrivo nella casella di posta. Pertanto, secondo il garante, deve essere il datore di lavoro a adottare dei sistemi di informazione dei terzi e non invece l’ex lavoratore.

Solo in tal modo possono essere adeguatamente bilanciati e garantiti sia i diritti del titolare del trattamento (cioè l’ex datore) ad acquisire le informazioni necessarie per poter gestire la propria attività economica e per comunicare ai terzi le nuove modalità comunicative con l’azienda, sia il diritto alla riservatezza della corrispondenza dell’ex dipendente nonché dei terzi che erano in contatto con esso tramite la e-mail aziendale.

Il Garante ha quindi ritenuto non conforme ai suesposti principi il comportamento che era stato posto in essere dalla società reclamata ed ha conseguentemente dichiarato illegittimo il trattamento dati oggetto di esame.

Ciò nonostante, anche se ci sarebbero gli estremi per imporre alla società il divieto del trattamento illegittimo consistente appunto nel mantenere attivo e sotto controllo l’account aziendale, in considerazione del fatto che la società ha dichiarato di aver disattivato l’account dal maggio 2018 e che pertanto l’attività illecita non è più in essere, il Garante ha ritenuto che non sussistono i presupposti per l’adozione di misure correttive nei confronti della società. Anche se l’autorità di controllo ha, comunque, raccomandato alla società di conformare il proprio futuro comportamento, circa la gestione degli account di posta elettronica dei dipendenti in casi di interruzione del rapporto di lavoro, ai principi sopra esposti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!