Gian Paolo Valcavi

Che fare dell’account di posta elettronica del dipendente una volta cessato il rapporto di lavoro?

Premessa

Il Garante con il provvedimento del 4 dicembre 2019 è nuovamente intervenuto sul tema relativo alla gestione dell’account di posta elettronica (e quindi del relativo archivio di messaggi) di un dipendente, una volta cessato il rapporto di lavoro.

Il caso

Un dipendente aveva lamentato il fatto che, pur a distanza di oltre due anni dalla data di cessazione del rapporto d lavoro, il proprio account di posta elettronica – caratterizzato dal proprio cognome – fosse ancora attivo e per questo motivo si era rivolto al Garante per la Protezione dei Dati Personali. L’ex-dipendente segnalava come nel data-base relativo al suo account di posta elettronica vi fossero anche messaggi che non erano riferibili alla sua attività lavorativa, come ad esempio inviti ricevuti sul social LinkedIn, inviti ad iniziative culturali, pubblicità di un istituto bancario alla clientela ed altro.

Il datore di lavoro non aveva:

  1. adottato un regolamento interno sull’utilizzo degli strumenti informatici;
  2. consegnato in modo formale un’informativa sul trattamento dei dati relativi all’account di posta elettronica, essendosi limitata ad una comunicazione verbale;
  3. specificato che l’account di posta era esclusivamente uno strumento di lavoro;
  4. adottato un sistema di disattivazione e risposta automatica per l’ipotesi di cessazione del rapporto di lavoro.

Le conclusioni del Garante

Il Garante, in applicazione dei principi più volte espressi e soprattutto richiamando le “Linee guida del Garante per posta elettronica e Internet”, ha chiarito che:

  • quanto all’informativa (punti i, ii e iii): le modalità prescelte non permettevano di documentare l’avvenuto adempimento da parte della società dell’obbligo informativo che l’ordinamento pone in capo al titolare del trattamento (artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, criteri peraltro confluiti negli artt. 5, par. 1, lett. a) e 13 del Regolamento);
  • quanto alla mancata adozione di un sistema di risposta automatica (punto iv), il datore di lavoro avrebbe dovuto rimuovere l’account di posta elettronica aziendale entro un tempo ragionevole, adottando sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico era in funzione.

Su tali basi la società è stata sanzionata

Alcuni spunti pratici a margine del provvedimento

Cercando di trarre dei suggerimenti pratici dal provvedimento, si può ritenere che le cose fondamentali da fare siano:

  1. adottare una procedura di assegnazione formale degli account di posta elettronica (così come di ogni altro strumento di lavoro) con cui si precisa che l’indirizzo aziendale è fornito esclusivamente per svolgere attività lavorativa, con espressa esclusione di qualunque uso personale;
  2. adottare un regolamento, eventualmente severo, sull’utilizzo degli strumenti elettronici (tra cui l’account di posta elettronica) che fissi una serie di regole a protezione della rete aziendale, sul generalizzato divieto di utilizzare i Social media durante l’orario di lavoro e che indichi la possibilità, nei limiti dei principi di pertinenza e non eccedenza, tramite cui possono essere effettuati accessi da parte del responsabile IT agli strumenti informatici assegnati al lavoratore, anche senza il suo consenso;
  3. adottare una procedura di disattivazione dell’account di posta elettronica che preveda una prima fase durante la quale è attivo un sistema di risposta automatica al fine di rendere noto all’esterno il nuovo riferimento interno aziendale. Il messaggio tipo potrebbe essere del tipo: “Il presente indirizzo di posta elettronica non è più attivo, poiché titolare della casella di posta elettronica aziendale ___________, ha cessato il proprio rapporto di collaborazione con la nostra Società. A far data da ______ [30 giorni dopo la cessazione] tale indirizzo di posta elettronica verrà definitivamente disattivato. Fino alla data sopraindicata ogni eventuale e-mail inviata al citato indirizzo di posta elettronica sarà inoltrata al seguente indirizzo: _____________. Vi preghiamo di prendere nota di quanto sopra e di cortesemente aggiornare le Vostre rubriche. Cordiali saluti”. Durante tale fase è assolutamente vietato rispondere o scrivere e-mail con l’account del lavoratore cessato.
    Successivamente, l’account viene definitivamente disattivato.
  4. inserire tali informazioni nell’informativa privacy da consegnare ai lavoratori.

Avv. Gian Paolo Valcavi