Casella postale e privacy: cosa dice il Garante
In tema di trattamento dati relativo alla gestione della posta elettronica, il Garante ha ribadito la necessità di adottare policy ed informative volte ad informare i dipendenti sul trattamento dei dati degli stessi, effettuato dal datore di lavoro tramite gli strumenti aziendali. Chiarendo che per trattamenti si intende tutto il processo del ciclo di vita del dato, dalla raccolta fino alla procedura di cancellazione dell’account, dopo l’interruzione del rapporto di lavoro.
E’ quindi fondamentale informare il dipendente sul trattamento relativo alla casella e-mail che comprenda tutte le fasi del rapporto contrattuale, dall’assunzione, alla gestione, fino ad arrivare alla cessazione dello stesso. Tra le altre informazioni dovrebbero essere riportate quelle relative al fatto che la e-mail è da considerarsi strumento aziendale e non di proprietà privata del dipendente.
Si ricorda infatti che nel caso “siano attivate caselle di posta elettronica, protette da password personalizzata, a nome di uno specifico dipendente, quelle caselle rappresentano il domicilio informativo proprio del dipendente (…)pertanto, la casella rappresenta uno “spazio” a disposizione, in via esclusiva, della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza”.
Casella postale del dipendente cessato: cosa fare
Nel caso della cessazione del rapporto di lavoro, gli account riconducibili a persone identificate o identificabili, devono essere rimossi (cancellati) previa disattivazione degli stessi e contemporanea adozione di sistemi automatici, volti ad informare i terzi ed a fornire un indirizzo alternativo relativi all’attività professionale. Altro aspetto non trascurabile è la necessità di rendere non visualizzabili i messaggi in arrivo, nel periodo di tempo necessario per la cancellazione dell’account.
Il problema si crea quando il Titolare ha necessità di accedere alle caselle mail, sempre nell’ambito della gestione della propria attività, se l’account è solo disattivato e non cancellato, l’azienda dispone ancora dei dati relativi alla casella e si verifica quindi un ulteriore trattamento dei dati che non è consentito “fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti di legge”.
Quanto alle politiche di back up della posta elettronica, non risulta altresì conforme una indiscriminata conservazione (es. per dieci anni dalla cessazione del rapporto) su server aziendali dei contenuti delle comunicazioni elettroniche. Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate (in assenza di specifiche ragioni che lo renderebbero necessario) non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi.
Di contro, quanto alla necessità del Titolare di assicurare la continuità operativa dell’azienda, si deve tenere conto che lo stesso deve adottare in realtà specifici sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile
Pertanto, lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali può ben essere perseguito ˗ conformemente alle disposizioni vigenti oltre che più efficacemente ˗ con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto dunque alla sopra descritta attività di sistematica ed estesa conservazione delle comunicazioni elettroniche, che risulta pertanto non necessaria né proporzionata rispetto allo scopo.
Si ricorda inoltre che neppure appare giustificata la raccolta a priori di tutte le e-mail in vista di futuri ed eventuali contenziosi: il Garante ha ribadito infatti che la eventuale conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate.
La conservazione estesa e sistematica delle e-mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consente infatti un generico controllo dell’attività dei dipendenti che non è conforme neppure alla normativa afferente lo Statuto dei Lavoratori. Controllo, peraltro, vietato dalla disciplina di settore che non autorizza verifiche di tipo massive, prolungate e indiscriminate. Il datore di lavoro, infatti, pur potendo controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro deve sempre salvaguardare la libertà e la dignità dei dipendenti.
Diritti del lavoratore sulla posta, dopo la cessazione del rapporto
Una riflessione particolare deve essere fatta in relazione alla possibilità che il dipendente cessato possa o meno accedere alla propria “vecchia” casella di posta.
E la risposta è negativa: dal giorno della cessazione del rapporto di lavoro, se l’ex dipendente cercasse di accedere o accede alla sua casella di posta, commetterebbe un illecito ed è passibile di denuncia per accesso abusivo a sistema informatico ai sensi dell’art. 615 ter c.p. secondo cui “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza […] è punito con la reclusione sino a tre anni”.
Consigli operativi sulla gestione della posta durante il rapporto di lavoro
Ricapitolando, possiamo elencare alcune violazioni individuate nei provvedimenti del Garante che dunque le aziende dovrebbero tenere in considerazione nella gestione della e-mail del dipendente durante il rapporto di lavoro. Risulta infatti non conforme:
- la mancanza di una preventiva e idonea informativa ai dipendenti circa la prassi aziendale di procedere alla conservazione delle e-mail, la durata del periodo di conservazione, nonché le finalità e le modalità di accesso e di controllo delle stesse;
- la conservazione sistematica ed estesa di tutte le e-mail, senza predisporre uno strumento in grado di selezionare i documenti che avrebbero potuto essere man mano archiviati;
- la possibilità di accesso indistinto alle mail da parte del titolare del trattamento e dei soggetti da quest’ultimo genericamente, di volta in volta, autorizzati;
- la finalità difensiva di natura astratta e indeterminata, posto che il trattamento effettuato per motivi di tutela dei propri diritti deve riferirsi a contenziosi in atto o a situazioni precontenziose;
- la conservazione delle e-mail per tutta la durata del rapporto di lavoro e anche successivamente al termine dello stesso. Rispetto a quest’ ultimo punto, il Garante ha precisato che, al cessare del rapporto di lavoro, l’account di posta elettronica dovrà essere disattivato e rimosso, inibendo così in modo definitivo la ricezione in entrata delle e-mail e la loro conservazione.
Consigli operativi sulla gestione della posta dopo la cessazione del rapporto di lavoro
Come abbiamo detto il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro deve: a) rimuovere l’account di posta elettronica del dipendente cessato; b) informare i terzi con meccanismi automatizzati della disattivazione dell’account e comunicare indirizzi alternativi a cui rivolgersi; c) adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
L’ex dipendente in caso di mancata disattivazione dell’account di posta elettronica può proporre un reclamo al Garante. Se anche a seguito del reclamo il datore di lavoro non si attiva scatterà una visita ispettiva della Guardia di finanza per verificare tutti i dettagli della doglianza aggravando l’effetto sanzionatorio finale.
Comments are closed for this article!