Home » Privacy » Sanzionabile il datore di lavoro che mantiene attivo l’account di posta elettronica dell’ex collaboratore

Sanzionabile il datore di lavoro che mantiene attivo l’account di posta elettronica dell’ex collaboratore

Il Garante privacy  con ordinanza dell’11 gennaio 2023 ha sanzionato una società per non aver disattivato l’account di posta elettronica con estensione a sé  riferibile, di una collaboratrice di una società sua partner, successivamente alla cessazione del rapporto e per aver preso visione del suo contenuto.

Le due società avevano siglato un accordo per promuovere un fornitore comune in occasione di un evento fieristico. Per consentire alla collaboratrice della società partner di relazionarsi con i potenziali clienti conosciuti all’evento, la resistente, nel 2018, attivava un account di posta elettronica. Cessata la collaborazione, nel gennaio 2019, la reclamante chiedeva la disattivazione dell’account che era effettuata solo alla fine del mese successivo.

La società resistente motivava la propria condotta affermando che la conservazione dell’account di posta e l’accesso ai messaggi fossero necessari per avviare  un contenzioso. Dalla casella di posta, infatti, sarebbe emersa la prova dell’illegittimità della condotta della ex collaboratrice che, dopo la cessazione del rapporto, avrebbe contattato a nome della società partner, potenziali clienti incontrati all’evento fieristico. Inoltre, la società resistente ha rilevato che solo accedendo ai messaggi avrebbe potuto mantenere i rapporti con i clienti.

Tuttavia, il Garante ha affermato che, né l’esigenza di mantenere i rapporti con i clienti, né l’interesse a difendere un proprio diritto in giudizio, legittimano l’accesso alla casella di posta elettronica dell’ex collaboratore e la visione del contenuto.

Infatti, il datore di lavoro, in caso di cessazione del rapporto con un proprio collaboratore o dipendente, deve limitarsi ad attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’ account (nello stesso senso v. Provv. n. 440 del 16 dicembre 2021, doc. web n. 9739653).

Inoltre, per il principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del GDPR) il titolare del trattamento deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Pertanto, la società resistente non avrebbe dovuto prendere visione delle comunicazioni in entrata sull’account il cui contenuto, peraltro, è assistito da garanzie di segretezza tutelate dalla Costituzione (artt. 2 e 15 Cost.) e dalle norme penali (art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale).

Nel caso di specie, poi, la società resistente non aveva fornito alla reclamante l’informativa sul trattamento dati, né le aveva fatto sottoscrivere il Regolamento d’uso della posta elettronica e di internet. Tale Regolamento, peraltro, era privo di data certa, era semplicemente affisso ad una bacheca nella sede dell’azienda e non rendeva note le specifiche attività di trattamento che la società esercitava nei confronti dei soggetti a cui assegnava un account di posta elettronica. Il citato Regolamento, del quale ho avuto modo di scrivere in un precedente contributo “Riflessioni a margine della sentenza della Corte di Cassazione n.18443 del 1 agosto 2013: il Disciplinare per l’utilizzo di internet e della posta elettronica sui luoghi di lavoro”, assume una particolare importanza, costituendo lo strumento attraverso il quale, come indicato nelle Linee Guida per posta elettronica e internet del 1 marzo del 2007 , il datore di lavoro adempie all’onere su di sé incombente di indicare, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti informatici messi  a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali. Come rilevato dal Garante nell’ordinanza in esame l’obbligo di informare gli interessati in merito al trattamento dei dati e all’utilizzo degli strumenti informatici è espressione del principio generale di correttezza (art. 5, par. 1, lett. a) del GDPR) e vale anche nella fase precontrattuale.

Infine, la società resistente non ha fornito valido riscontro alle istanze di disattivazione dell’account. Infatti, la società ha dato un riscontro generico, senza motivare il rigetto. A nulla rileva, poi, l’informalità dell’istanza medesima, atteso che il GDPR non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l’interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento dei dati.

All’esito del procedimento, dunque, è risultato che la società resistente ha violato gli artt. 5, par. 1, lett. a) e c), 6, 12 anche con riferimento all’art. 17, 13 del Regolamento ed è stata condannata   al pagamento della somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria.