E-mail aziendale
[Torna su]
L'interesse del titolare ad accedere alle informazioni necessarie all'efficiente gestione della propria attività, trattando le e-mail giunte all'account aziendale del lavoratore, deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte del dipendente e dei terzi mittenti o destinatari delle comunicazioni di lavoro, anche e soprattutto in caso di cessazione del rapporto (cfr. provv. Garante della Privacy n. 136/2015).
I dati personali dell'ex dipendente trattati, più precisamente, non possono essere utilizzati per finalità ulteriori rispetto a quelle per le quali erano stati raccolti, così come previsto dall'art. 11 d.lgs. 196/2003.
Obblighi del datore: disattivazione account
[Torna su]
Dopo la cessazione del rapporto di lavoro il Garante della Privacy ha disposto che "gli account riconducibili a persone identificate o identificabili debbano essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all'attività professionale del titolare del trattamento" (provv. n. 456/2015). L'account aziendale dell'ex dipendente, pertanto, non può essere mantenuto né, come precisato nel medesimo provvedimento, i messaggi in transito sullo stesso possono essere reindirizzati automaticamente verso indirizzi di posta elettrica aziendale attribuiti ad altri dipendenti in servizio.
Alla disattivazione dell'account deve necessariamente seguire la cancellazione dell'indirizzo di posta elettronica aziendale: risulterebbero illeciti per violazione degli artt. 11 c. 1 lett. a) e b), e 13 del Codice della Privacy l'acquisizione e l'utilizzo dei dati personali dopo la cessazione del contratto di lavoro, essendo la conservazione consentita ai soli fini di tutela dei diritti in sede giudiziaria, nei limiti di cui all'art. 160 c. 6 del Codice. Più recentemente, l'Autorità Garante ha ritenuto illecito per contrarietà ai principi di necessità, pertinenza e non eccedenza, il sistema di raccolta e conservazione per un lungo periodo (nella fattispecie dieci anni) delle comunicazioni di posta elettronica aziendale dei dipendenti, sia con riguardo ai dati esterni (nominativi di mittenti e destinatari; indirizzi e-mail aziendali e privati; data e ora delle comunicazioni) che al contenuto delle stesse (cfr. provv. n. 547/2016).
Informazione chiara e dettagliata
[Torna su]
In ogni caso, il datore di lavoro è tenuto informare in modo chiaro e dettagliato non solo circa le consentite modalità di utilizzo degli strumenti aziendali e l'eventuale effettuazione di controlli anche su base individuale (cfr. ex multis, provv. n. 139/2011), ma anche sulle modalità di conservazione dei contenuti e dei file di log degli account aziendali, specificando, altresì, le operazioni di trattamento effettuabili dall'amministratore di sistema per finalità connesse alla fornitura del servizio. In assenza di informativa, stante l'illiceità del trattamento dei dati dopo la chiusura dell'indirizzo di posta elettronica dell'ex dipendente, al datore di lavoro che intenda scongiurare la perdita delle informazioni aziendali non resta che informare i terzi della cancellazione e disattivazione dell'e-mail e indicare loro un diverso account aziendale al quale indirizzare le comunicazioni.
• Foto: 123rf.com