Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

25 Maggio 2022

Lo scorso 7 aprile 2022, l’Autorità Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) ha pubblicato un’ordinanza ingiunzione nei confronti dellaSocietà Palumbo Superyacht Ancona s.r.l. (la “Società”) con la quale ha imposto alla stessa una sanzione pari a Euro 50.000 per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione della normativa applicabile in materia di protezione dei dati personali.

Sul tema, trovano applicazione le “Linee Guida del Garante per posta elettronica e internet” (“Linee Guida”) che, sebbene pubblicate nel 2007, sono tuttora applicabili in quanto compatibili con il Regolamento UE 679/2016 (“GDPR”) e con il D.lgs. 196/2003, così come modificato dal D.lgs. 101/2018 (“Codice Privacy”).

Si segnala inoltre che la tematica connessa alla gestione degli account di posta elettronica (sia in pendenza del rapporto lavorativo che a seguito della sua cessazione) è stata oggetto di numerosi provvedimenti dell’Autorità, attraverso i quali la stessa ha fornito importanti chiarimenti tra i quali, ad esempio, le azioni da intraprendere per la dismissione e la conseguente cancellazione degli account di posta elettronica a seguito della cessazione del rapporto di lavoro, come meglio analizzate di seguito.

Premesso quanto sopra, il presente contributo ha lo scopo di chiarire, attraverso l’analisi della recente ordinanza ingiunzione del Garante emessa nei confronti della Società, se le azioni di dismissione e cancellazione degli account di posta elettronica aziendale indicate dal Garante per i lavoratori dipendenti, possano trovare applicazione anche con riferimento ai collaboratori esterni.

Descrizione del fatto

Nel settembre 2020, l’Autorità riceveva un reclamo da parte di una collaboratrice esterna della Società (l’“Interessata”), attraverso il quale la medesima rappresentava che la Società, senza alcun preavviso né comunicazione successiva, le aveva inibito l’accesso al suo account, utilizzato per le relazioni commerciali aziendali.

Tuttavia, nonostante quanto sopra rappresentato, l’account di posta assegnato all’Interessata risultava ancora attivo in quanto la stessa continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, nel frattempo cambiata dalla Società da remoto e a sua insaputa.

Considerato quanto sopra, l’Interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della sua casella di posta aziendale, la quale conteneva comunicazioni sia di tipo lavorativo che personali.

Non avendo mai ricevuto risposta, l’Interessata si rivolgeva al Garante al fine di ricevere apposita tutala, considerando il comportamento della Società come lesivo del suo diritto alla riservatezza e del suo diritto costituzionalmente garantito alla segretezza della propria corrispondenza.

Conclusioni del Garante

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito la presenza di obblighi informativi e di corretta e trasparente gestione della casella di posta aziendale a carico della Società, chiarendo altresì che:

  • da un lato, il lavoratore deve essere sempre informato in maniera esaustiva sul trattamento dei suoi dati personali e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Difatti, ai sensi delle Linee Guida, presupposto fondamentale affinché i controlli datoriali sulla casella di posta aziendale del dipendente in pendenza del rapporto di lavoro possano essere ritenuti legittimi è che la Società adempia agli obblighi informativi nei confronti del dipendente attraverso la pubblicazione di una policy interna e di un’apposita informativa, quest’ultima completa di tutti gli elementi di cui all’art. 13 del GDPR, volti a informare, preventivamente e in modo chiaro, i dipendenti circa le caratteristiche essenziali dei trattamenti che il datore di lavoro intende effettuare (ad esempio, finalità e modalità di conservazione e di accesso della società, individuazione delle specifiche e dettagliate attività di controllo), specificando in modo chiaro che l’account di posta elettronica aziendale deve essere utilizzato dai dipendenti solo ed esclusivamente per finalità aziendali e richiedendo di cancellare, laddove accidentalmente ricevute, eventuali mail personali non attinenti all’attività lavorativa.
Tali adempimenti, come ribadito dal Garante, servono a scongiurare l’aspettativa di riservatezza che i dipendenti (o i terzi) possano avere sulla corrispondenza scambiata in costanza di rapporto di lavoro;

  • dall’altro, la natura del rapporto di lavoro (i.e., lavoratore subordinato o collaboratore esterno) non rileva ai fini degli adempimenti privacy connessi alla corretta gestione dell’account aziendale assegnato al lavoratore o al collaboratore sia in pendenza di rapporto che a seguito della sua cessazione.

Con riferimento a quest’ultimo punto, giova ricordare che l’Autorità ha più volte chiarito[1] che le società che mantengono attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accedono alle mail ivi contenute, pongono in essere un trattamento illecito di dati personali. Tuttavia, al fine di contemperare l’interesse delle società ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte degli ex dipendenti, l’Autorità ha indicato ai datori di lavoro una serie di misure tecnologiche da porre in essere, a seguito dello scioglimento del rapporto di lavoro, per non incorrere nell’ipotesi di cui sopra.

Nello specifico, le società devono:

  1. disattivare l’account di posta elettronica dell’ex dipendente;
  2. contestualmente alla disattivazione, adottare sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi ai quali inviare la corrispondenza collegata alle attività lavorative svolte dall’ex dipendente;
  3. adottare misure idonee a impedire alla stessa azienda la visualizzazione dei messaggi in arrivo durante il periodo in cui il predetto sistema automatico è in funzione; infine
  4. rimuovere l’account di posta elettronica aziendale dell’ex dipendente in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure di cui sopra.

Alla luce di quanto sopra, il Garante, oltre a comminare una sanzione pari a Euro 50.000, ha ordinato alla Società di consentire all’Interessata di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi.

Inoltre, il Garante ha chiarito che la Società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo, e dovrà altresì garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.


[1] Ex multis, Provvedimento del Garante, concernente la disattivazione dell'account di posta elettronica dell'ex-dipendente n. 216 del 4 dicembre 2019.

2024 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross