Premessa

Il Provvedimento 7 marzo 2024, n. 140 del Garante Privacy ha sancito che mantenere attive le email aziendali degli ex dipendenti anche pure per garantire la continuità operativa viola la privacy degli interessati. Tale decisione evidenzia come il trattamento dei dati personali post-cessazione del rapporto di lavoro debba rispettare rigorosi criteri di liceità e trasparenza, come stabilito dal Regolamento europeo per la protezione dei dati personali (GDPR).

Informativa e trasparenza

Secondo l’articolo 13 del GDPR, il titolare del trattamento deve fornire all’interessato informazioni chiare e dettagliate riguardo le caratteristiche essenziali dei trattamenti che intende realizzare, inclusi quelli relativi agli strumenti messi a disposizione durante il rapporto di lavoro. Questo obbligo si estende alla fase successiva alla cessazione del rapporto, garantendo che i lavoratori siano informati su come verranno gestiti i loro dati, compresi gli account di posta elettronica e le email aziendali.

Principi di minimizzazione e limitazione della conservazione

Il GDPR impone che i dati personali trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati raccolti (art. 5, par. 1, lett. c). Inoltre, i dati devono essere conservati in una forma che consenta l’identificazione degli interessati solo per il tempo strettamente necessario al conseguimento delle finalità del trattamento (art. 5, par. 1, lett. e). La condotta della società piacentina di cui si tratta, è risultata in violazione di questi principi, mantenendo attivi gli account email degli ex dipendenti senza una valida giustificazione legale.

Il caso specifico

La società ha continuato ad accedere agli account email di due ex dipendenti per diversi mesi dopo la cessazione del loro rapporto di lavoro, giustificando l’azione con la necessità di garantire la continuità operativa. Tuttavia, il Garante ha rilevato che sarebbe stato possibile adottare misure meno invasive, come l’attivazione di un messaggio di risposta automatico che informasse i mittenti della disattivazione imminente dell’account e fornisse indirizzi email alternativi.

Violazioni riscontrate

Il Garante ha inoltre rilevato che la società non aveva informato adeguatamente gli ex dipendenti sulle modalità di gestione dei loro account email dopo la cessazione del rapporto, violando così l’articolo 13 del GDPR. Inoltre, l’accesso ai contenuti delle email, anche se limitato a determinati mittenti e argomenti, è stato considerato una violazione della privacy degli interessati. Questo perché la società ha avuto accesso a tutte le email, compresi i dati esteriori e gli allegati, protetti dalla garanzia di segretezza costituzionalmente tutelata (artt. 2 e 15 Cost.).

Conclusioni

Il trattamento dei dati personali degli ex dipendenti da parte della società di cui si tratta è stato dichiarato illegittimo. La società è stata condannata al pagamento di una sanzione amministrativa di 20.000 euro e obbligata a comunicare al Garante le misure adottate per conformarsi alla normativa sulla protezione dei dati. In particolare, è stato imposto alla società di predisporre un sistema di disattivazione automatica degli account email aziendali e di fornire idonee informative ai dipendenti riguardo alla gestione degli account post-cessazione del rapporto di lavoro.

Questo provvedimento ribadisce l’importanza di rispettare i principi di liceità, trasparenza, minimizzazione e limitazione della conservazione nel trattamento dei dati personali, specialmente in contesti sensibili come la cessazione del rapporto di lavoro. I datori di lavoro devono adottare misure adeguate per proteggere la privacy dei dipendenti, evitando trattamenti invasivi e non giustificati dei dati personali.