Account aziendali e dati personali del lavoratore: la parola al Garante della Privacy

ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro
Per iscriverti al Bollettino ADAPT clicca qui
Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it

Bollettino ADAPT 13 gennaio 2020, n. 2

 

L’account di posta elettronica aziendale del dipendente deve essere disattivato una volta terminato il rapporto di lavoro. Questo è quanto affermato dal collegio del Garante Privacy con il provvedimento n. 216 del 4 dicembre 2019, nell’ambito del quale l’autorità garante ha modo di ritornare sull’applicazione delle discipline in materia di trattamento dei dati nei contesti lavorativi, sancendo l’illiceità di quelle prassi datoriali volte a gestire e controllare gli account di posta elettronica aziendale degli ex dipendenti nel periodo successivo alla cessazione del rapporto di lavoro.

 

Nel caso in esame il reclamante, ex dipendente di una società, chiamato a difendersi da una azione intentatagli dalla stessa, veniva in tale occasione a conoscenza del fatto che l’account aziendale personale non era stato disattivato; i legali della parte attrice avevano infatti depositato in giudizio una mail estratta dal suddetto indirizzo di posta elettronica, inviata all’ex dipendente da un cliente della società più di un anno dopo la conclusione del rapporto di lavoro. Sebbene il contenuto della mail potesse confermare le presunte condotte contrarie al patto di non concorrenza lamentate dall’azienda in sede giudiziaria, al tempo stesso venivano a configurarsi gli estremi di una prassi datoriale contraria alla normativa nazionale e comunitaria in materia di trattamento dei dati.

 

 La questione così descritta veniva sottoposta dall’ex dipendente al vaglio del Garante, chiamato quindi ad esprimersi in relazione alla liceità o meno della procedura adottata dalla società nel periodo successivo all’interruzione del rapporto di lavoro: non era infatti prevista una celere disattivazione degli account aziendali; inoltre venivano automaticamente reindirizzate al Responsabile ICT le mail ricevute su tali account. In questo modo l’azienda si assicurava di controllarne il contenuto in funzione di una «corretta gestione dei rapporti commerciali» e «al dichiarato fine di non perdere contatti utili con i clienti», prevedendo di disattivare lo stesso non appena l’ex dipendente avesse effettivamente avvisato i clienti aziendali con i quali era in contatto dell’avvenuta cessazione del rapporto di lavoro.

 

Ripercorrendo le motivazioni fornite nel provvedimento nonché i principi ivi indicati relativi alla normativa nazionale (c.d. Codice Privacy, d.lgs. n. 196/2003, come da ultimo modificato dal d.lgs. n. 101/2018) ed europea (Regolamento (UE) 679/2019) in materia di privacy, il Garante affronta dapprima i profili inerenti alle modalità di corretta realizzazione dell’informativa sul trattamento dei dati che il datore deve adempiere verso il dipendente nel corso del rapporto lavorativo. In seconda battuta, analizza la condotta tenuta dalla società nel periodo successivo alla cessazione del rapporto valutando se, mantenendo attivo l’account di posta elettronica aziendale per un periodo di tempo, possa o meno configurarsi un’illecita violazione dei diritti dell’ex dipendente.

 

Sotto il primo profilo, il trattamento dei dati personali deve essere posto in essere nei confronti dell’interessato in ossequio ai generali principi di liceità, correttezza e trasparenza, caratteristiche queste che, trasposte all’ambito lavorativo, si concretizzano in un obbligo informativo gravante sul datore di lavoro nei confronti dei dipendenti.

 

Nel caso affrontato, l’assenza di una documentazione cartacea non permetteva di stabilire il contenuto stesso dell’avviso operato dall’azienda verso il dipendente, in quanto realizzato dal datore (per prassi) in forma meramente orale. In altre parole, non risultava possibile verificare se il reclamante fosse stato effettivamente portato a conoscenza, durante il rapporto di lavoro, del “persistente” periodo di attivazione dell’account, nonché dei termini e delle condizioni di utilizzo dei dati ivi contenuti. Si palesava quindi una prima violazione del generale obbligo informativo summenzionato, non potendosi infatti considerare lecito, corretto e trasparente un avviso realizzato in assenza di documentazione scritta.

 

Superata la questione legata alla parte formale delle modalità di informativa sul trattamento, il collegio passa ad analizzare la liceità o meno della prassi tenuta dall’azienda verso i suoi ex dipendenti. Secondo il Garante le operazioni di controllo poste in essere dalla società terza, sia con riferimento ai c.d. “dati esterni” (es. date, ora, oggetto, mittenti di mail private…), che – soprattutto – con riferimento ai contenuti delle comunicazioni,  nonostante nell’intento fossero circoscritte alle sole mail aziendali, in concreto non potevano realizzarsi senza ottenere informazioni estranee rispetto a quelli inerenti all’attività professionale, realizzandosi quindi una violazione della sfera privata del soggetto sottoposto a tale controllo, nonché del suo diritto alla riservatezza.

 

In altre parole, il provvedimento del Garante sostanzia nel panorama lavorativo le tutele costituzionali sulla protezione della dignità umana nonché sul pieno sviluppo della personalità dell’individuo nelle formazioni sociali; una linea questa che trova conferma sia in alcuni precedenti dell’autorità medesima (provvedimento del 1° marzo 2007 n.58) sia a livello internazionale nella giurisprudenza della corte EDU, la quale ha più volte affermato che « la protezione della vita privata si estende anche all’ambito lavorativo». Nel caso di specie però il ragionamento va al di là dei limiti così tracciati, estendendo quell’ aspettativa di riservatezza anche al periodo successivo alla cessazione del rapporto di lavoro, nell’intento di offrire all’individuo una tutela concreta ed esaustiva della vita privata.

 

A questo fine afferma che «il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro debba rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure), previa disattivazione degli stessi».

 

Aggiunge, inoltre, alcune importanti indicazioni operative per l’autotutela da parte delle aziende, le quali, per garantirsi da possibili condotte anti-concorrenziali, dovranno quindi agire preventivamente: da un lato sono intimate a dotarsi di sistemi automatizzati che permettono di avvisare i propri clienti dell’avvenuta cessazione del rapporto di lavoro con il determinato dipendente. Al tempo stesso dovranno poi essere forniti ai medesimi clienti canali telematici alternativi (es. indirizzi aziendali…) in modo tale da non perdere eventuali contatti utili con gli stessi.

 

Tali operazioni dovranno infine essere realizzate entro limiti temporali “ragionevoli”, valutati in funzione della complessità logistica necessaria per la realizzazione dell’operazione medesima. A conclusione di tale periodo dovrà quindi essere disattivato l’account di posta elettronica aziendale, scongiurandosi quindi eventuali forme di controllo invasive del datore o di società terze, ormai da considerarsi illecite e per questo perseguibili anche in sede giudiziaria.

 

Alessandro Galasso

ADAPT Junior Fellow

 

 

Account aziendali e dati personali del lavoratore: la parola al Garante della Privacy
Tagged on: