La vicenda, oggetto del provvedimento, ha riguardato il reclamo di un ex dipendente, il quale contestava alla società sia la mancata disattivazione della email aziendale sia l’accesso ai messaggi ricevuti sul suo account. L’ex dipendente aveva appreso, nel corso di un giudizio inanzi al giudice del lavoro promosso dal suo ex datore di lavoro nei suoi confronti, che l’account di posta elettronica di tipo individualizzato ad oltre un anno dalla cessazione era ancora attivo. Infatti la società datrice di lavoro aveva depositato nel giudizio una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio
L’Autorità giudiziaria aveva accertato che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. Durante il periodo che intercorreva dalla cessazione del rapporto di lavoro al momento della disattivazione dell’account, a seguito di diffida del lavoratore, la società veva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.
Il Garante ha ritenuto illecite le modalità adottate dalla società sulla base della giurisprudenza (Cass. Civile n. 26682/2017) ed anche della Corte Europea dei diritti dell’Uomo (CEDU causa 61496/18) che hanno ritiene legittimo il diritto del datore di lavoro di controllare la mail del lavoratore (addirittura in costanza del rapporto di lavoro) sulla sola mail aziendale […] con l’unico limite che la corrispondenza sia resa nell’ambito del rapporto di lavoro ed inoltre conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42);
Pertanto in base ai principi di tutela della privacy il datore di lavoro a seguito della cessazione del rapporto di lavoro deve rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.
Per il Garante solo l’adozione di tali misure tecnologiche consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).
Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.