HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
de|it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Accesso del datore di lavoro alla casella di posta del collaboratore cessato: il Garante ribadisce il suo orientamento

Accesso del datore di lavoro alla casella di posta del collaboratore cessato: il Garante ribadisce il suo orientamento

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​Ultimo aggiornamento del 25.11.2024 | Tempo di lettura ca. 7 minuti


Der Text ist auch auf Deutsch verfügbar »​
​The article is available also in English »​​


Con provvedimento del 17 luglio 2024, l’Autorità Garante per la Protezione dei Dati italiana ha ribadito l’ormai costante orientamento in materia di accesso e trattamento dei dati dell’account di posta aziendale del dipendente o collaboratore cessato effettuato dal datore di lavoro, confermando di pari passo la necessaria sussistenza di una serie di presidi che lo stesso datore di lavoro è chiamato ad adottare per garantire che tale attività venga svolta in maniera lecita, sia sotto il profilo della protezione dei dati personali che di quello giuslavoristico. 

In particolare, il Garante non ha omesso di ricordare quelli che sono gli adempimenti informativi e organizzativi in capo al datore di lavoro, che vanno dal preventivo conferimento di un documento che spieghi in maniera quanto più precisa possibile il funzionamento degli strumenti aziendali e le modalità di interazione con gli stessi da parte del datore di lavoro (meglio noto come regolamento strumenti aziendali), sino alla consegna di apposita informativa che dia atto delle modalità e delle finalità del trattamento connesso all’accesso alla casella di posta aziendale una volta terminato il rapporto di lavoro.

Senza peraltro dimenticare il tema della conservazione dei dati contenuti nell’account di posta e del relativo backup, che nell’opinione del Garante devono essere ancorati ad un tempo di conservazione proporzionato alla finalità perseguita (i.e. la continuità aziendale o la tutela della sicurezza informatica aziendale).
Andiamo con ordine.

L’istruttoria del Garante è stata originata da un reclamo presentato da un ex collaboratore (nello specifico, un agente di commercio) di un’azienda attiva nel settore del commercio di materiale elettrico (di seguito, “l’Azienda”): in particolare, l’ex collaboratore lamentava il fatto che l’Azienda avesse mantenuto attivo il proprio account di posta aziendale, accedendo a tutto il contenuto della corrispondenza, che successivamente sarebbe stato prodotto nel corso di un contenzioso instaurato presso il Tribunale di Venezia.

Come confermato anche dai documenti prodotti dinanzi al Garante – con particolare riferimento al documento inerente alla disciplina degli strumenti utilizzati per rendere l’attività lavorativa e per registrare gli accessi e le presenze – l’Azienda avrebbe mantenuto attivo l’account dell’ex collaboratore per garantire la continuità aziendale, salvo poi utilizzare i relativi contenuti, relativi al periodo di permanenza del collaboratore, per difendersi nel giudizio instaurato nei suoi confronti. Una discrepanza che, come vedremo, il Garante non ha mancato di segnalare nelle proprie valutazioni.

Peraltro, l’attività di verifica dell’account di posta sarebbe stata commissionata ad uno Studio di ingegneria forense terzo, tramite l’utilizzo di uno software di proprietà dell’Azienda installato sui computer aziendali, con l’intento di salvaguardare i diritti di quest’ultima nel già citato procedimento giudiziario instaurato nei confronti dell’ex collaboratore. 

Sempre attraverso il sopra citato software, altresì, l’Azienda avrebbe:
  • eseguito un backup del contenuto della casella di posta aziendale dell’ex collaboratore per finalità di sicurezza informatica, con particolare riferimento alla tutela dell’integrità dei dati rispetto a possibili attacchi informatici, andando a conservare lo stesso backup per un periodo di 3 anni a partire dalla conclusione del rapporto di collaborazione;
  • conservato una serie di report di log relativi all’accesso all’account di posta aziendale dell’ex collaboratore per un tempo complessivo di 6 mesi.

Sulla base dei fatti sopra rappresentati, il Garante ha avviato i propri accertamenti riscontrando una serie di violazioni della disciplina in materia di dati personali come definita dal Regolamento (UE) 679/2016 (di seguito, come meglio conosciuto, il “GDPR”) oltre che, come vedremo, della Legge 300/1970 (di seguito, lo “Statuto dei Lavoratori”).

In particolare:
  • l’informativa conferita ai dipendenti e collaboratori concernente le modalità di accesso dell’Azienda alle caselle di posta aziendali è risultata non conforme alla disciplina del GDPR, con particolare riferimento alle finalità e alle forme di accesso – a detta delil Garante rese in maniera incompleta e non specifica – nonché all’indicazione dei tempi di conservazione dei dati personali ivi contenuti, erroneamente identificati in 10 anni dalla cessazione del rapporto di lavoro per l’adempimento di tutte le attività ad essa connesse;
  • l’esecuzione dei backup – che è a tutti gli effetti un trattamento di dati personali ai sensi del GDPR – non è risultata disciplinata dall’informativa sopra menzionata in quanto non sarebbe stata descritta in maniera dettagliata e conforme. Peraltro, la stessa informativa avrebbe mancato di indicare il termine di conservazione dei dati corrispondente ai 3 anni successivi alla cessazione del rapporto lavorativo;
  • le indagini relative ai contenuti memorizzati sui dispositivi aziendali non sarebbero state oggetto di idonea informazione verso i dipendenti e collaboratori, dal momento che tale attività non risulta essere disciplinata dai documenti informativi predisposti dall’Azienda – manchevoli, peraltro, anche della rappresentazione delle ragioni legittime, specifiche e non generiche alla base dei controlli effettuati, oltre che delle relative modalità;
  • la sistematica e perdurante conservazione delle e-mail per un termine di 3 anni a decorrere dalla data di cessazione del rapporto di lavorativo sarebbe inidonea, nonché sproporzionata, rispetto alle finalità di garantire la continuità aziendale – per la quale vale comunque sempre la regola di approntare una risposta automatica per il re-indirizzo degli interessati ad un account attivo – e la sicurezza informatica. Stesso dicasi per la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, parimenti sproporzionato rispetto alle finalità sopra rappresentate;
  • limitatamente al rapporto di lavoro, la conservazione delle e-mail e dei relativi log di accesso è idonea a consentire un’attività di controllo sull’attività resa dai lavoratori, in violazione di quanto previsto dallo Statuto dei Lavoratori. Attraverso l’utilizzo del sopra citato software, infatti, l’Azienda avrebbe effettuato trattamenti in grado di ricostruire nei minimi dettagli e a distanza di tempo l’attività, sia attraverso le comunicazioni scambiate via e-mail che attraverso l’esame dei log di accesso al gestionale utilizzato per lo svolgimento dell’attività lavorativa.

Cosa possiamo dunque imparare da quest’ultima sanzione comminata dal Garante rispetto all’annoso tema dell’accesso alla casella e-mail aziendale del dipendente o collaboratore cessato?

Innanzitutto, che è bene che il titolare del trattamento renda preventivamente informato il dipendente o collaboratore rispetto al novero degli strumenti in dotazione per rendere l’attività lavorativa e le modalità, nonché le finalità, attraverso e per cui si riserva la facoltà di accedere alla casella di posta. Tenendo a mente che, secondo l’opinione consolidata delil Garante, la finalità di garantire la continuità aziendale mal si sposa con tale controllo, in quanto quest’ultima può essere garantita mediante l’adozione di sistemi di gestione documentale idonei ad archiviare i documenti garantendo la loro autenticità, integrità, affidabilità e reperibilità nel corso del tempo.

Successivamente, che è necessario – anzitutto per adempiere a quanto previsto dall’art. 5, comma 1, lett e) del GDPR – implementare un termine di conservazione dei dati, dei relativi backup – ma, attenzione, anche dei dati di log di posta – che sia proporzionale rispetto alla finalità del trattamento sotteso; tale finalità, in proposito, potrebbe spaziare della necessità di raccogliere mezzi di prova per la difesa in un giudizio nei confronti del dipendente o collaboratore cessato – giudizio che, tuttavia, per costante orientamento del Garante, deve essere attuale e concreto, e non meramente ipotetico – alla finalità di continuità aziendale – che, tuttavia, come sopra riportato, potrà essere lecitamente perseguita attraverso uno strumento diverso dalla posta elettronica, stante l’inidoneità di quest’ultima nel poter garantire l’integrità, l’autenticità e l’affidabilità dei dati.

Non da meno resta l’esigenza di impostare un termine di conservazione congruo dei dati di log raccolti attraverso il sistema di posta, specie considerando la recente opinione del Garante condensata nel provvedimento “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, secondo cui la conservazione per un termine ampio potrebbe comportare la sussistenza di un controllo a distanza dell’attività resa dal lavoratore – dal momento che, attraverso la raccolta sistematica dei dati di traffico relativi alla corrispondenza, il datore di lavoro potrebbe essere in grado di verificare se lo stesso risulta essere adempiente rispetto alle proprie mansioni lavorative, rischiando in tal senso – se non adottati i relativi presidi in tema di accordo sindacale o autorizzazione sindacale – di violare quanto previsto dall’art. 4 dello Statuto dei Lavoratori.

Infine, che è bene prestare attenzione al concetto di “controllo” del datore di lavoro nei confronti del dipendente e al significato attribuitogli dalla più recente giurisprudenza della Corte di Cassazione italiana in merito: secondo quest’ultima, la casella e-mail del dipendente rappresenta il suo domicilio inviolabile e pertanto resta tutelata a livello costituzionale; dunque, per giustificare uno sbilanciamento di interessi tale tra, da una parte, il diritto del datore di lavoro a difendere in giudizio un proprio diritto e, dall’altra, il diritto alla riservatezza della corrispondenza del dipendente, occorre necessariamente che il controllo sia specifico e venga effettuato ex post l’accertamento di un “fondato sospetto” che il lavoratore abbia commesso un illecito. Parallelamente, occorre non dimenticare che dovranno essere rispettati anche i presidi privacy applicabili, ossia: preventivo conferimento di informativa ex art. 13 GDPR, che sia specifica sul tema dei controlli, e preventiva messa a disposizione della popolazione aziendale di documento che attesti il funzionamento e le modalità di interazione degli strumenti forniti ai dipendenti per rendere l’attività lavorativa.​

dalla newsletter
Legal Newsletter​​​​​​​

autore

Contact Person Picture

Tommaso Mauri

Avvocato

Associate

+39 02 6328 841

Invia richiesta

Profilo

Contact Person Picture

Chiara Benvenuto

Avvocato

Senior Associate

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

data protection
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu