Accesso alle e-mail dei dipendenti dopo la cessazione del rapporto di lavoro

Il Garante per la protezione dei dati personali, con provvedimento n. 472 del 17 luglio 2024, ha sanzionato una società per l’accesso alla posta elettronica aziendale di un proprio agente di commercio dopo la fine del rapporto di collaborazione.

In particolare, il reclamante lamentava che la società, a seguito dell’interruzione del rapporto di lavoro, aveva mantenuto attivo l’account di posta elettronica aziendale a lui assegnato e aveva visionato tutta la corrispondenza in transito sul predetto account che, infatti, veniva prodotta nel corso di un giudizio instaurato nei suoi confronti dinanzi al Tribunale di Venezia.

Secondo il Garante il comportamento tenuto dalla società non era conforme a quanto indicato all’interno dell’informativa privacy e violava i principi di liceità, minimizzazione e limitazione della conservazione, oltre che le norme sui controlli a distanza nei confronti dei lavoratori.

Nello specifico, l’informativa privacy non informava chiaramente dell’esistenza di un back-up sistematico delle e-mail aziendali e della conservazione delle stesse per tre anni dalla fine della collaborazione. Inoltre, non indicava il motivo per cui le stesse venivano conservate dopo la cessazione del rapporto di lavoro, facendo riferimento esclusivamente e genericamente alla necessità di continuità lavorativa. Infine, non richiamava la possibilità per la società di eseguire verifiche sul contenuto delle e-mail.

Quanto ai principi di liceità, minimizzazione e limitazione della conservazione, il Garante ha giudicato il periodo di conservazione delle e-mail come eccessivo rispetto alle finalità di sicurezza e business continuity indicate dalla società. Il software di back-up delle e-mail utilizzato dalla società ha inoltre consentito un monitoraggio dettagliato delle attività dei collaboratori tramite il sistema di posta elettronica, violando così il divieto di controllo a distanza previsto dall’art. 4 dello Statuto dei Lavoratori. Infine, l’accesso alle e-mail degli ex collaboratori, seppur motivato dalla necessità di proteggere i diritti della società, doveva essere limitato a concrete situazioni di contenzioso e a non a ipotesi astratte e potenziali.

Questa decisione rappresenta un importante riferimento per comprendere la posizione del Garante sul tema dell’accesso alle caselle di posta elettronica dei dipendenti, che non è sempre vietato. Le aziende devono però, onde evitare sanzioni – anche molto elevate – predisporre informative sul trattamento dei dati complete e specifiche, soprattutto con riferimento agli eventuali controlli che possono essere effettuati sulle caselle di posta elettronica, anche successivamente alla cessazione del rapporto di lavoro. Infine, il diritto al trattamento di questi dati deve essere sempre bilanciato con il divieto di operare un controllo a distanza dei lavoratori, al fine di tutelare la dignità degli stessi e non pregiudicare i loro diritti e libertà fondamentali.

Il presente articolo non intende fornire un parere legale e, per l’effetto, non può essere considerato sostitutivo di una consulenza legale specifica.