PRIVACY E RAPPORTO DI LAVORO: come gestire l'account di posta elettronica dell'ex dipendente

A cura di Damiana Lesce, Paola Lonigro e Valeria De Lucia

La raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio e la loro memorizzazione per un lungo periodo è un'attività in contrasto con la disciplina di settore in materia di controlli a distanza di cui all'art. 4 Legge 20 maggio 1970 n. 300 (Statuto dei Lavoratori). Lo ha affermato anche di recente il Garante per la protezione dei dati personali con provvedimento del 22 dicembre 2016.

Come tale, il predetto trattamento costituisce attività penalmente rilevante ai sensi dell'art. art. 38 dello Statuto dei Lavoratori.

Fatta tale premessa, il tema qui oggetto di esame è come gestire gli account di posta elettronica degli ex dipendenti.

Con il provvedimento del 22 dicembre 2016 , il Garante ha affermato che risulta non conforme ai principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) ed e) del Codice) la conservazione per dieci anni su server aziendali sia dei dati esterni (c.d. envelope) che dei contenuti delle comunicazioni elettroniche.

Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi.

► Dall'applicazione dei predetti principi discende che gli account riconducibili a persone (ex dipendenti) identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti a informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all'attività professionale del titolare del trattamento cui inviare le comunicazioni attinenti la sfera lavorativa e/o professionale del datore di lavoro.

► A titolo di esempio, non possono invece ritenersi rispettose dei suesposti principi le seguenti procedure (esaminate dal Garante):

- quella consistente nel mantenere attive le caselle di posta elettronica per un periodo che può arrivare fino a sei mesi dalla data della cessazione del rapporto; ciò indipendentemente dall'attivazione di un messaggio di risposta automatico;

- il "reindirizzare" automaticamente i messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato su indirizzi di posta elettrica aziendale attribuiti ad altri dipendenti.

Le regole di cui sopra sono espressione del principio generale in forza del quale l'interesse del titolare (il datore di lavoro) ad accedere alle informazioni necessarie all'efficiente gestione della propria attività deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi mittenti e/o destinatari delle medesime comunicazioni.

Lo scambio di corrispondenza elettronica, estranea o meno all'attività professionale, tra il dipendente/collaboratore e soggetti sia esterni sia interni alla struttura organizzativa in cui egli è inserito configura un'operazione idonea a rendere conoscibili talune informazioni personali relative all'interessato; si pensi, anche a prescindere dal contenuto della corrispondenza che certamente può contenere dati personali che lo riguardano, al trattamento dei nominativi dei mittenti e/o dei destinatari delle e-mail, già di per sé stessi in grado di fornire indicazioni rilevanti in ordine ai contatti e alle relazioni dell'interessato e, quindi, essere considerati dati personali ad esso relativi.

Nei casi esaminati dal Garante, nei quali pur essendo stati disattivati gli account aziendali l'azienda disponeva ancora dei dati relativi alla posta elettronica già acquisiti, tale trattamento è stato ritenuto illecito per violazione degli artt. 11, comma 1, lett. a) e b), e 13 del Codice.

Il Garante ha, quindi, disposto il divieto di ulteriore trattamento dei predetti dati, fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti posti dall'art. 160, comma 6, del Codice, in base al quale "la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali, ancorché non conforme a disposizioni di legge o di regolamento, restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale".