M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

Il Garante torna sull’illegittimità dell’accesso all’e-mail del dipendente dopo la cessazione del rapporto di lavoro

Con il provvedimento n. 140/2024, l’Autorità Garante per la protezione dei dati personali ha sanzionato una società per aver continuato ad accedere alla casella di posta elettronica di alcuni dipendenti dopo la cessazione del rapporto di lavoro.

Più precisamente, dopo le dimissioni dei dipendenti, la società ha mantenuto attivi gli account di posta elettronica degli stessi, ai quali ha avuto costantemente accesso il Presidente del Consiglio di amministrazione, rappresentante legale della società.

La Società innanzi al Garante ha rappresentato che tale misura si è resa necessaria per consentire la continuità operativa dell’azienda, tenuto anche conto del ruolo apicale rivestito dai dipendenti e dall’importanza delle comunicazioni dagli stessi ricevuti.

Al fine di evitare ingerenze, la Società ha altresì riferito che l’accesso alle e-mail non sarebbe avvenuto in modo incondizionato, bensì sarebbero stati selezionati solo specifici mittenti attraverso l’impiego di parole chiave, mentre tutte le altre comunicazioni sarebbero state immediatamente cestinate.

La rimozione degli account è poi avvenuta in un secondo momento, su sollecito degli ex dipendenti, ma prima di allora l’accesso a tali account era necessario anche per via della carenza di personale.

Nonostante tali motivazioni, il Garante ha ritenuto illegittimo l’accesso agli account aziendali degli ex dipendenti, ricordando che l’unica misura che il datore di lavoro può legittimamente impiegare è quella di mantenere attivi gli account solo per consentire la comunicazione a terzi circa l’imminente disattivazione degli stessi, con indicazione di un altro indirizzo e-mail a cui rivolgersi.

Qualsiasi altro utilizzo degli account si pone in contrasto con la normativa in materia di tutela di dati personali.

Inoltre, non è stata reputata sufficiente neppure la misura adottata dalla Società, che prevedeva una ricerca per parole chiave, poiché proprio ai fini di tale ricerca era comunque necessario accedere alla totalità delle e-mail e pur non avendone visionato il contenuto, si ricorda che anche i dati esteriori delle comunicazioni sono considerati forme di corrispondenza assistita da garanzie di segretezza tutelate a livello costituzionale.

A ciò, si aggiunge altresì che la Società ha continuato a utilizzare gli account di posta elettronica degli ex dipendenti in assenza di adeguata informativa relativa all’utilizzo degli strumenti informatici, necessaria ai sensi dell’art. 13 GDPR.

Infine, il Garante neppure ha ritenuto sufficiente il consenso al trattamento espresso dai dipendenti sulla base di modulistica adeguatamente predisposta. Sul punto, il Garante ha ricordato che nei rapporti di lavoro, attesa la posizione di squilibrio tra le parti, è improbabile che il lavoratore presti un libero consenso.

Data di pubblicazione
8.07.2024

Iscrizione Newsletter

Share