https://pixabay.com/it/illustrations/controllo-tastiera-e-mail-2633861/ (Foto Pixabay)
Privacy e lavoro: illegittimo l’accesso alla email dopo la fine del rapporto
Una sanzione del Garante privacy ribadisce i limiti al trattamento dei dati personali dopo la cessazione del rapporto di lavoro
L’accesso alla casella di posta elettronica aziendale di un lavoratore dopo la cessazione del rapporto di lavoro costituisce una violazione della normativa sulla protezione dei dati personali. A ribadirlo è il Garante per la protezione dei dati personali, che ha richiamato il principio secondo cui il contenuto delle email, i dati di contatto e gli eventuali allegati rientrano a pieno titolo nella nozione di corrispondenza. In quanto tali, sono protetti dal diritto alla segretezza, riconosciuto non solo dalla normativa europea, ma anche dalla Costituzione, a tutela della dignità della persona e del suo pieno sviluppo nelle relazioni sociali.
Il caso e la sanzione dell’Autorità
Il provvedimento che coinvolge privacy e lavoro trae origine dal reclamo presentato da un amministratore delegato licenziato, al quale l’azienda aveva negato l’accesso alla propria casella di posta elettronica aziendale, mantenendola tuttavia attiva.
Il Garante ha accertato che la società aveva continuato a ricevere le email indirizzate al lavoratore e, in alcuni casi, le aveva addirittura inoltrate a un altro account aziendale. Per questa condotta, protrattasi per circa due mesi, l’Autorità ha inflitto una sanzione amministrativa di 40mila euro per violazione della segretezza della corrispondenza e della normativa privacy.
L’esercizio dei diritti del lavoratore ignorato
Nel corso della vicenda è emerso come il lavoratore avesse esercitato correttamente i propri diritti ai sensi del GDPR, chiedendo la disattivazione dell’account, l’inoltro delle comunicazioni ricevute al proprio indirizzo personale e l’attivazione di una risposta automatica per informare i mittenti del nuovo recapito. Tali richieste, tuttavia, sono rimaste senza riscontro. Il mancato rispetto dell’istanza di esercizio dei diritti ha rappresentato uno degli elementi valutati dal Garante nella definizione della gravità della violazione.
Un ulteriore profilo critico riguarda la durata del trattamento illecito. L’azienda ha infatti superato il limite di 30 giorni previsto dalle proprie regole interne, determinando un accesso prolungato e una conservazione indebita di email anche di natura personale. Secondo l’Autorità, tale comportamento non può essere giustificato da esigenze organizzative e si pone in contrasto con i principi di minimizzazione e limitazione della conservazione dei dati.
Le indicazioni del Garante per le aziende
Nel provvedimento finale, il Garante ha ordinato alla società di consentire al lavoratore l’accesso al proprio account di posta elettronica e di procedere successivamente alla sua cancellazione, fatta salva la conservazione dei dati strettamente necessari per la tutela dei diritti in sede giudiziaria. La decisione rappresenta un ulteriore richiamo per le aziende a dotarsi di procedure chiare e conformi alla normativa privacy e lavoro nella gestione degli account di posta elettronica, soprattutto nelle fasi delicate di cessazione del rapporto di lavoro.
