0
gestione mail dipendenti e privacy aziendale

Privacy aziendale: gestione email e controlli post-lavoro GDPR

ComplianceGennaio 26, 2025

I riflessi giuslavoristici della normativa sui controlli a distanza hanno trovato una eco significativo all’interno di un nuovo provvedimento del Garante per la protezione dei dati personali (Provvedimento n. 140/2024) emanato a seguito della fine di un rapporto di lavoro risolto in violazione dei principi di liceità, minimizzazione e limitazione della conservazione dei dati.

Informare in maniera esauriente il lavoratore sul trattamento dei suoi dati, rappresenta, infatti, applicazione pratica di numerosi principi fra cui in particolare quelli di correttezza e trasparenza (di cui l’ostensione dell’informativa è diretta espressione), disciplinati dall’art. 5 del Regolamento europeo per la protezione dei dati personali (GDPR).

Nella sua dimensione oggettiva, lo scambio di corrispondenza elettronica su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato e che il Garante ha già ritenuto conformi ai principi in materia di protezione dei dati personali (cfr. ex multis Provv.ti 1° dicembre 2023, n. 602, doc. web n. 9978536; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.), che dopo la cessazione del rapporto il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici, volti ad informare i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico risulta in funzione.

Com’è agevole comprendere, il punto centrale dell’analisi critica risiede nella tensione tra il diritto del datore di lavoro a proteggere i propri interessi aziendali e la tutela della dignità e riservatezza del lavoratore.

Ricostruzione fattuale e della posizione difensiva da parte della società

La situazione di fatto muove dalla condotta illecita reiterata dalla società Centro Riparazioni Piacentino S.p.A., dopo la cessazione del rapporto di lavoro con i dipendenti pregressi (i quali rivestivano il ruolo di Presidente del CDA e responsabile del reparto ricambi, nonché rappresentante di sostegno del socio al 50 %) e che ha mantenendo attivi per diversi mesi gli account di posta elettronica individualizzati assegnati a quest’ultimi; essa ha giustificato il proprio contegno dichiarando di avere mantenuto attivi i predetti account per avere accesso a reclami o richieste tecniche inviate dai clienti e che “l’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto anche conto del ruolo apicale rivestito dagli ex dipendenti”.

Cotanta condotta illecita si è perpetuata sino al momento in cui dopo il sollecito da parte dei reclamanti, la Società cit., ha provveduto a cancellare gli account in questione. Più in particolare, sul punto la Società ha dichiarato essersi trattato di un “disguido” che sarebbe “stato determinato esclusivamente da una dimenticanza dovuta alla grave situazione di carenza di personale”.

Linee ontologiche della posizione del Garante

Sennonché, questa strenua difesa è andata presto incontro alle censure da parte dell’Autorità Garante, a tenore della quale, la Società, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi, ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro. Ne consegue pertanto che la ricerca delle comunicazioni che la Società ha ritenuto pertinenti è pur sempre avvenuta, a seguito dell’accesso alla totalità dei messaggi contenuti nelle caselle di posta.

In questo modo, pertanto, la Società avrebbe violato anzitutto quanto previsto dall’art. 13 del GDPR in base al quale il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13). Nell’ambito del rapporto di lavoro, come detto, l’obbligo di informare il dipendente è espressione precipua dei principi di trasparenza e correttezza.

A detta del Garante, in definitiva, la condotta tenuta dalla Società, in qualità di titolare del trattamento, che è consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, si pone pertanto in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) GDPR.

Più precisamente, in particolare, in qualità di titolare ai predetti account, la Società ha acceduto in assenza di alcuna condizione di liceità del trattamento, quando ben avrebbe potuto realizzare la prospettata prosecuzione dell’attività con modalità di trattamento conformi alla disciplina di protezioni dati.

In ultima analisi, il tema centrale del provvedimento riguarda il controllo a distanza dei lavoratori, vietato dall’art. 4 dello Statuto dei Lavoratori, se non effettuato secondo precise condizioni giuridiche, ovvero tramite accordo con le rappresentanze sindacali o autorizzazione dell’Ispettorato del Lavoro. Selectra, non rispettando tali requisiti procedurali, ha utilizzato il software Mail Store non solo per gestire le e mail, ma anche per monitorare sistematicamente le attività di un ex collaboratore, configurando una violazione del diritto alla riservatezza e della dignità del lavoratore.

Comminando una sanzione di 80.000 Euro, una delle novità più interessanti di questo provvedimento risiede nella rinnovata importanza del diritto all’informazione. L’informativa fornita ai lavoratori non deve cioè essere ritenuta mero adempimento formale, sebbene un elemento essenziale per il rispetto dei diritti dei dipendenti, soprattutto quando si utilizzano strumenti tecnologici che potenzialmente potrebbero invadere la loro vita privata.

Infine, con riferimento all’uso dei dati in Tribunale, l’Autorità Garante ha ricordato che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario, si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte ed indeterminate come nelle fattispecie che qui è stata indagata.

Tutela i diritti dei tuoi dipendenti e proteggi la tua azienda nel delicato ambito della privacy aziendale e dei controlli a distanza dei lavoratori.

Il nostro team di avvocati specializzati in diritto del lavoro e privacy ti offre consulenza mirata su:

  • Conformità GDPR nelle comunicazioni aziendali
  • Gestione delle caselle email dopo la cessazione del rapporto di lavoro
  • Policy aziendali per il controllo a distanza
  • Assistenza in caso di ispezioni del Garante Privacy

Previeni sanzioni e contenziosi: contattaci per una consulenza specialistica sulla gestione dei dati aziendali.

1 Star2 Stars3 Stars4 Stars5 Stars (5 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.