La gestione dell’account e-mail aziendale è molto spesso sottovalutata da parte dei datori di lavoro. Questo in quanto è diffusa, nella prassi, l’idea per cui l’account aziendale, non corrispondendo ad una casella personale del dipendente, possa essere gestito a totale discrezione del datore di lavoro. Un’impostazione che si scontra con le norme dettate in materia di protezione dei dati personali. Norme che, peraltro, sono richiamate espressamente anche dallo Statuto dei Lavoratori (art. 4 comma 3).
Ci ha pensato il Garante Privacy, con un recente provvedimento, a ribadire che il datore di lavoro non può disporre a suo piacimento dell’account e-mail aziendale. E, nel farlo, ha sanzionato un’azienda con un una multa da ben 50.000 euro. Somma ingente, eppure corrispondente appena allo 0,25% del massimo edittale che avrebbe potuto essere considerato. Cifre che dovrebbero spingere le aziende a verificare attentamente le proprie policies relative all’uso degli strumenti informatici.
Nel caso deciso dal Garante, l’azienda intratteneva un rapporto di collaborazione con un agente e, a tale scopo, gli aveva assegnato un account e-mail, utilizzata per gestire ordini e comunicazioni di lavoro. Siamo al di fuori, quindi, dell’ipotesi di lavoro subordinato, ma questo non significa che le regole previste in materia di dati personali non trovino applicazione. Terminato, in modo traumatico, il rapporto di collaborazione, i vertici aziendali hanno modificato le credenziali di accesso alla casella di posta, impedendo così all’ex collaboratore di accedervi.
La giustificazione di questa decisione è semplice: la casella è aziendale e non personale, è interesse dell’azienda quello di conservare i dati ivi contenuti. Ancora: il lavoro continua ed è quindi necessario che quella casella, su cui convergevano ordini e richieste, possa essere usata ancora, mentre la cessazione del rapporto lavorativo comporta che l’ex collaboratore non possa avanzare pretese in merito. Per contro, l’ex agente chiede di poter accedere al contenuto della casella, lamentando di non aver avuto riscontri in merito a questa sua pretesa.
Il Garante, come anticipato, ha bacchettato duramente l’azienda in questione. Lo ha fatto invocando, anzitutto, gli arresti giurisprudenziali che estendono la protezione della vita privata anche al contesto lavorativo. Dotare un dipendente (o un collaboratore) di strumenti aziendali non fa venir meno l’obbligo di rispettare i suoi diritti fondamentali e la sua dignità. Nel caso di specie, il Garante ha rilevato che il collaboratore non ha ricevuto nessuna informativa concernente l’utilizzo degli strumenti e in particolare dell’account e-mail aziendale. I dipendenti/collaboratori devono essere istruiti e informati sulle modalità di trattamento dei dati personali connesse all’impiego dell’account e-mail aziendale. Non farlo comporta una violazione del GDPR.
Allo stesso tempo, il datore di lavoro che, successivamente alla cessazione del rapporto con un dipendente, gli chiude l’accesso all’account aziendale, negandogli il login, viola le disposizioni in materia di diritto d’accesso ai propri dati personali. L’azienda avrebbe infatti dovuto disattivare quell’account, in quanto riconducibile ad una persona che non lo poteva più utilizzare. Nel contempo, avrebbe dovuto informare i soggetti che continuavano a relazionarsi con quell’account, indirizzandoli verso un altro indirizzo di posta elettronica. Quanto alla casella, il datore di lavoro potrebbe effettivamente avere un interesse rispetto al suo contenuto. È possibile quindi configurare un suo diritto alla conservazione, ma i dati vanno comunque archiviati con modalità tali da garantirne l’autenticità e l’integrità. In ogni caso, la conservazione riguarderà solamente i dati che siano indispensabili al raggiungimento dello scopo che si prefigge il datore di lavoro.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale