NEWS

L'account di posta elettronica aziendale deve essere chiuso al termine del rapporto di lavoro

Con un recente provvedimento (4 dicembre 2019) il Garante per la protezione dei dati personali ha dichiarato illegittimo il mantenimento di un account di posta elettronica individualizzato di un ex dipendente dopo la cessazione del rapporto di lavoro e l'accesso ad esso, anche se lo stesso è limitato alle sole email aziendali.


La fattispecie sottoposta al vaglio del Garante riguardava il caso di un ex dipendente che, dopo 1 anno e 7 mesi dalla cessazione del rapporto di lavoro, veniva a conoscenza del fatto che, dopo l'interruzione del rapporto di lavoro, la società non aveva disattivato il suo account di posta elettronica aziendale. La società si era difesa sostenendo da un lato di aver aperto e letto le solo email aziendali e dall'altro di aver dovuto procedere in tal senso per evitare di perdere importanti contatti commerciali.

Il Garante ha in primo luogo stigmatizzato il significativo lasso di tempo durante il quale tale account è rimasto attivo. Il titolare del trattamento dei dati personali deve sempre agire nel rispetto dei principi di liceità, necessità e proprzionalità.

Nella fattispecie in esame, poi, vi era anche un importante difetto di adeguata informativa scritta circa le caratteristiche essenziali dei trattamenti che la società, titolare del trattamento, intendeva porre in essere.

Per costante orientamento della Corte europea dei diritti dell'uomo, la protezione della vita privata si estende anche all'ambito lavorativo e , d'altro canto, è ormai pacifico che i contenuti dei messaggi di posta elettronica riguardino forme di corrispondenza assistite da garanzie di riservatezza tutelate anche a livello costituzionale. L'art. 15 della Costituzione sancisce, infatti, che: «La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili [ c. p. 616 - 623 bis ] La loro limitazione può avvenire soltanto per atto motivato dall'autorità giudiziaria con le garanzie stabilite dalla legge [ c. p. p. 226 - 271 ] «L'espressione « ogni altra forma di comunicazione « ha permesso di applicare la norma in materia di tutela della libertà e segretezza della corrispondenza anche ai nuovi mezzi di comunicazione, fra i quali, naturalmente, i messaggi di posta elettronica.

Il Garante ha così ribadito l'obbligo per il datore di lavoro, nel momento in cui il rapporto di lavoro cessa, di rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure. Ciò può avvenire attraverso la disattivazione degli stessi e la contestuale adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi riferiti all'attività professionale del titolare del trattamento. Solo in questo modo si riesce a contemperare l'interesse del titolare ad accedere alle informazioni necessarie all'efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

Infatti lo scambio di corrispondenza elettronica, sia essa inerente o estranea all'attività lavorativa, attraverso un account di tipo individualizzato, contiene informazioni personali relative all'interessato, idonee a violare la sfera di riservatezza. A tal fine sono sufficienti anche le informazioni esterne alla comunicazione, come a mero titolo esemplificativo: il mittente, l'oggetto, l'orario, la frequenza. Anche il semplice elenco delle comunicazioni ricevute su un account aziendale può contenere informazioni strettamente personali (ad es. inviti ricevuti su social network, inviti a iniziative culturali, pubblicità di un istituto bancario alla clientela ecc.), che palesano interessi, tendenze, credo religioso ed è potenzialmente idoneo a ledere significativamente la sfera di riservatezza di ciascuno.

Quali sono, allora, lo possibili tutele? Il soggetto leso, oltre ad ottenere l'immediata disattivazione e rimozione dell'account, può altresì ottenere il risarcimento del danno subito.

La Suprema corte di cassazione con sentenza n. 1608/2014 ha affrontato il delicato argomento del risarcimento del danno conseguente alla lesione del diritto alla riservatezza, danno che non è da intendere meramente patrimoniale, ma morale ed esistenziale.

Come è noto, difatti, l'art. 15 del Codice per la protezione dei dati personali disciplina il tema della responsabilità civile per i danni procurati dal trattamento di dati personali e nello specifico già la direttiva 95/46/Ce dedicava all'argomento della responsabilità l'art. 23 il quale sancisce che «Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento». Inoltre specifica al 2° comma che «il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l'evento dannoso non gli è imputabile».

In ambito giuslavoristico la Corte di cassazione con una recente ordinanza, la n. 14242 del 2018, ha confermato il diritto al risarcimento del danno non patrimoniale subito dal lavoratore per un trattamento dei dati personali in violazione delle norme a tutela della privacy posto in essere dal datore di lavoro. Si tratta, infatti, di una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall'art. 8 della Cedu, ma la Corte ha anche evidenziato che tale voce di danno non si sottrae alla verifica della gravità della lesione e della serietà del danno. Il lavoratore sarà, dunque, onerato di provare di aver subito una «sensibile lesione» della sfera di riservatezza, solo in questo caso avrà diritto al risarcimento del danno non patrimoniale, liquidato in via equitativa.

Fonte: Italia Oggi del 3 marzo 2020

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev L’emergenza da Coronavirus non legittima le imprese a fare controlli che potrebbero ledere la privacy degli individui
Next Il Coronavirus fa paura alle aziende ma la privacy di dipendenti e visitatori va comunque rispettata

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy