Il Garante per la protezione dei dati personali ha recentemente ribadito un principio fondamentale:
accedere, leggere o inoltrare le email presenti nella casella di posta aziendale di un lavoratore dopo il licenziamento costituisce una violazione della privacy e della segretezza della corrispondenza.
La violazione ha portato a una sanzione di 40.000 euro nei confronti dell’azienda interessata.
Perché l’accesso è illecito
Il Garante ha ricordato che:
- Il contenuto delle email, i dati di contatto e gli allegati rientrano nella corrispondenza privata.
- Tale corrispondenza è tutelata dal GDPR, dal Codice Privacy e dalla Costituzione italiana.
- Le tutele non cessano con la fine del rapporto di lavoro: la casella email aziendale può contenere comunicazioni anche personali.
Il caso esaminato dal Garante
Il caso ha riguardato un amministratore delegato licenziato, al quale:
- era stato negato l’accesso alla propria casella email, rimasta però attiva;
- le email ricevute venivano inoltrate ad altri account aziendali per circa due mesi, superando il limite di 30 giorni previsto dalle policy interne dell’azienda.
- erano state ignorate le richieste formali dell’ex dipendente di:
- disattivare l’account,
- attivare un inoltro verso un indirizzo personale,
- impostare una risposta automatica con il nuovo recapito.
Queste richieste erano state presentate correttamente ai sensi del GDPR.
Il Garante ha quindi ordinato:
- il ripristino temporaneo dell’accesso all’account per l’ex lavoratore;
- la successiva cancellazione della casella;
- la conservazione dei soli dati necessari a eventuali tutele giudiziarie.
Implicazioni per le aziende
La decisione conferma che:
Cosa è vietato
- mantenere attiva la casella email di un ex dipendente senza adeguate misure;
- accedere ai contenuti o inoltrarli automaticamente a terzi;
- ignorare le richieste dell’interessato in merito al trattamento dei suoi dati personali.
Cosa è obbligatorio fare
Secondo il Garante, le aziende devono adottare procedure chiare, proporzionate e rispettose del GDPR, tra cui:
- Disattivazione tempestiva dell’account del dipendente cessato.
- Attivazione di una risposta automatica per un periodo limitato, con indicazione del nuovo recapito aziendale di riferimento.
- Eventuale inoltro automatico solo dei messaggi pertinenti all’attività aziendale, ma senza accesso ai contenuti e solo se previsto da una policy approvata e comunicata.
- Definizione di un periodo massimo (di norma non oltre 30 giorni) per la gestione transitoria della casella.
- Risposta tempestiva alle richieste ex GDPR da parte dell’ex lavoratore.
Raccomandazioni operative per le imprese associate
Per evitare sanzioni e responsabilità:
- Aggiornare le policy interne IT e privacy sulla gestione degli account aziendali.
- Informare preventivamente i lavoratori sulle modalità di gestione della posta elettronica alla cessazione del rapporto.
- Formalizzare una procedura che includa:
- disattivazione programmata dell’account,
- autoresponder standard,
- gestione sicura dei messaggi in arrivo.
- Coinvolgere DPO / ufficio privacy nella revisione dei processi.
Si allega il provvedimento del Garante
Per ulteriori chiarimenti e/o informazioni:
Per Firenze: s.rinaldo@confindustriatoscanacentroecosta.it
Per Livorno: l.lorenzini@confindustriatoscanacentroecosta.it
Per Massa Carrara: a.biso@confindustriatoscanacentroecosta.it
