Mantenere attiva l’email aziendale dopo la cessazione del rapporto di lavoro per ‘garantire la continuità operativa’ viola la privacy dell’ ex dipendente
Trattare illecitamente i dati di due ex dipendenti è costato molto caro ad una società piacentina. In data 25 marzo 2022 due ex dipendenti di un centro riparazioni presentavano un reclamo lamentando violazioni del Regolamento (GDPR) ed in particolare la “perdurante attività degli account aziendali individuali per diversi mesi oltre la cessazione dei rapporti lavorativi, con contestuale accesso ai messaggi ivi pervenuti”. Inoltre, lamentavano l’impossibilità di esercitare il diritto di accesso al contenuto dei predetti account a causa della cancellazione del contenuto dei medesimi. A detta dei reclamanti la società, inoltre, non avrebbe fornito loro idonea informativa in merito al trattamento dei dati relativi alla posta elettronica.
Trattamento illecito degli account di posta elettronica degli ex dipendenti: ventimila euro di sanzione!
L’istruttoria accertava, invero, che dopo la cessazione del rapporto di lavoro il Titolare del trattamento manteneva attivi, per qualche mese, gli account di posta elettronica individualizzati assegnati ai reclamanti; ai medesimi account accedeva, in tale lasso di tempo, il presidente del consiglio di amministrazione, rappresentante legale della Società, “al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”.
Nell’emettere il provvedimento d.d. 7 marzo 2024, l’Autorità ribadiva che lo scambio di corrispondenza elettronica su un account aziendale di tipo individualizzato − estranea o meno all’attività lavorativa − configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato. Affermare, invece, che il rappresentante legale si sarebbe limitato a ricercare comunicazioni particolarmente importanti per la continuità aziendale – non visualizzando le altre – non è sufficiente per rendere lecito il trattamento dei dati.
La ricerca delle comunicazioni che la Società riteneva pertinenti avveniva pur sempre, infatti, successivamente all’accesso alla totalità dei messaggi contenuti nelle caselle di posta. In proposito, il Garante precisa che anche i dati esteriori delle comunicazioni stesse e i files allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).
Lecito sarebbe stato, invece, limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi dell’imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, e ciò solo per un tempo proporzionato alle esigenze di continuità dell’attività svolta dalla Società.
Si sarebbero altresì dovute adottare misure idonee ad impedire l’accesso ai messaggi in arrivo e la visualizzazione degli stessi durante il periodo in cui tale sistema automatico fosse stato in funzione (Indicazioni più volte ribadite dal Garante: Si vedano, tra gli altri, doc. web n. 9978536; doc. web 9215890; doc. web n. 8159221, punto 3.4).
L’Autorità ha quindi inflitto una sanzione amministrativa al Titolare del trattamento avendo quest’ultimo mantenuto attivi, successivamente alla cessazione del rapporto di lavoro, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi. L’operazione illecita di trattamento, tra l’altro, ha portato alla condanna a ventimila euro di sanzione, con la facoltà di definire la controversia mediante il pagamento, entro i termini, di un importo pari alla metà della stessa.
[Provvedimento del 7 marzo 2024 [10009004], Registro dei provvedimenti n. 140 del 7 marzo 2024].
Fonte articolo: FederPrivacy