Vietato conservare la mail 10 anni
Il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica aziendale e ai dati personali contenuti negli smartphone forniti al personale: l’acquisizione di questi dati è lecita, infatti, solo se sono avviene nel rispetto dei criteri generali definiti dal codice della privacy.
Il provvedimento 547 del 22 dicembre 2016 del Garante della privacy, diffuso lo scorso 17 febbraio, conferma le indicazioni già desumibili dagli orientamenti precedenti, ma risulta comunque molto importante in quanto fornisce esempi concreti su come applicare tali orientamenti.
L’intervento del garante scaturisce dal reclamo proposto da un dipendente contro il trattamento di dati personali effettuato dall’ex datore di lavoro, il quale - anche dopo la fine del rapporto, intervenuta per licenziamento - non aveva disattivato immediatamente l’account di posta elettronica aziendale usato dal lavoratore, identificato con il suo nome e cognome.
Il datore di lavoro aveva conservato la possibilità di accedere a tutte le e-mail, in entrata e in uscita, e aveva prelevato alcuni file presenti sui sistemi aziendali ma contenenti informazioni personali relative al lavoratore; inoltre, l’azienda aveva collocato queste comunicazioni elettroniche presso un server destinato a conservarle per 10 anni.
Il Garante esclude che il datore di lavoro possa raccogliere i dati contenuti nelle comunicazioni elettroniche in transito sull’account usato dal dipendente, dopo la cessazione del rapporto di lavoro, senza averlo informato preventivamente circa le modalità e le finalità di raccolta e conservazione dei dati, e circa i tempi entro i quali l’account di posta elettronica continuerà a essere attivo dopo la fine del rapporto di lavoro.
Queste informazioni devono essere date in quanto sussiste l’obbligo, in capo al titolare del trattamento dei dati, di fornire una preventiva informativa circa le caratteristiche essenziali dei trattamenti effettuati, in attuazione del principio di correttezza fissato dal Codice della privacy.
Il Garante considera illecita anche la mancata disattivazione dell’account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro senza informazione adeguata all’interessato e ai terzi.
Confermando un orientamento già espresso in precedenti occasioni, il Garante stabilisce che la rimozione degli account riconducibili a persone identificate (o identificabili) deve essere accompagnata dall’adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi, in modo che non si interrompano le comunicazione relative all’attività professionale del titolare del trattamento.
Viene inoltre censurata la durata eccessiva (10 anni) del periodo di conservazione sui server aziendali dei dati e dei contenuti delle comunicazioni elettroniche intrattenute dal dipendente.
Tale durata sarebbe lecita solo se l’azienda dimostrasse la sua coerenza con le ordinarie necessità di gestione dei servizi di posta elettronica. Nel caso esaminato manca questa prova e quindi la durata decennale viene giudicata non conforme ai principi di necessità, pertinenza e non eccedenza stabiliti dal Codice, oltre che lesiva dell’articolo 4 dello statuto dei lavoratori, nella misura in cui consente alla società di effettuare un controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.
Infine, il Garante rileva che è illecita la scelta del datore di lavoro che si riserva la facoltà di accedere da remoto ai documenti archiviati su un apparecchio telefonico portatile, in occasione del verificarsi di eventi genericamente indicati, se questa facoltà non è accompagnata da apposite procedure che attestino il rispetto dei principi di liceità, necessità, pertinenza e non eccedenza dei trattamenti.
