Mantenere attiva la casella di posta elettronica dell’ex dipendente e consultarne i messaggi in arrivo costituisce trattamento illecito di dati personali. È l’avvertimento che arriva dal Garante per la privacy riguardo alle limitazioni da osservare nell’utilizzo degli account di posta aziendali dopo la cessazione del rapporto di lavoro di chi li utilizzava. Il caso riguarda un amministratore delegato licenziato dalla sua azienda. Dopo la cessazione del rapporto, la società aveva disabilitato l’accesso dell’interessato alla sua casella di posta elettronica professionale, lasciandola però attiva e continuando a ricevere i messaggi in arrivo. Non solo: parte delle comunicazioni venivano inoltrate a un diverso account interno. La condotta si è protratta per circa due mesi.
Nel comunicato, l’Autorità ricorda che «il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza». Una tutela che non discende soltanto dalla disciplina europea sulla protezione dei dati, ma ha copertura costituzionale, perché attiene alla dignità della persona e alla libertà delle relazioni sociali. Di conseguenza, l’accesso sistematico alla casella dopo la fine del rapporto non può essere giustificato da esigenze organizzative generiche.
Un passaggio centrale del caso riguarda anche l’esercizio dei diritti da parte del lavoratore. L’ex dirigente aveva chiesto formalmente la disattivazione dell’account, l’inoltro delle email ricevute nel periodo transitorio al proprio indirizzo personale e l’attivazione di un risponditore automatico con indicazione del nuovo recapito. Istanza presentata correttamente ai sensi del Regolamento europeo, ma rimasta senza riscontro. Anche questo elemento ha inciso sulla valutazione della gravità della violazione.
Dall’istruttoria è inoltre emerso che la società aveva superato il limite temporale di 30 giorni previsto dalle proprie regole interne per la gestione degli account dopo la cessazione del rapporto. Il prolungamento del trattamento ha comportato l’accesso e la conservazione anche di messaggi di natura personale, in contrasto con i principi di minimizzazione e di limitazione della conservazione dei dati. Per il Garante, la prosecuzione della consultazione della casella e l’inoltro verso altri indirizzi aziendali configurano un’interferenza indebita nella corrispondenza.
Nel dispositivo finale l’Autorità ha ordinato alla società di consentire all’ex dipendente l’accesso al proprio account e di procedere poi alla cancellazione della casella, «fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria». Nel determinare la sanzione da 40mila euro sono stati considerati la durata della condotta, la tipologia dei dati coinvolti e il mancato riscontro alle richieste dell’interessato, oltre all’assenza di precedenti violazioni privacy da parte dell’azienda.
