Il Garante Privacy ha più volte sanzionato aziende a causa di cattive gestioni di indirizzi e-mail aziendali nominativi, a seguito della cessazione del rapporto di lavoro di dipendenti. L’implementazione di semplici misure può evitare alle imprese contenziosi e sanzioni.
Accade sempre più spesso che il Garante privacy emetta provvedimenti sanzionatori nei confronti di imprese a causa di utilizzi illeciti delle caselle e-mail aziendali dei dipendenti.
Le caselle e-mail nominative – pur essendo caselle aziendali – contengono un’ingente quantità di dati personali dei dipendenti che in quanto tali devono essere trattati nel rispetto dei principi previsti dal GDPR, tra cui quelli di minimizzazione e limitazione della conservazione. Il contenuto delle caselle costituisce inoltre una forma di corrispondenza tutelata da inviolabilità a norma dell’art. 15 della nostra Costituzione, nonché rientrante nella sfera di applicazione dell’art. 8 della Convenzione Europea dei Diritti dell’Uomo, che prevede il diritto al rispetto della vita privata e familiare.
Ciò posto, deve essere al contempo riconosciuto il diritto delle aziende di garantire la continuità dell’attività economica e il passaggio di consegne al momento della cessazione del rapporto, nonché di tutelarsi da possibili contenziosi.
In che modo dunque gestire gli indirizzi e-mail aziendali a seguito della cessazione del rapporto di lavoro dei dipendenti in modo da bilanciare gli interessi delle parti? Il Garante ha più volte descritto i passaggi da seguire:
Provvedere alla disattivazione dell’account di posta subito dopo la cessazione del rapporto di lavoro del dipendente
Implementare un risponditore automatico che comunichi la disattivazione dell’indirizzo e fornisca un contatto alternativo al quale rivolgersi
Procedere alla cancellazione definitiva dell’account non oltre 3 mesi dalla cessazione del rapporto di lavoro del dipendente
Il Garante ha inoltre evidenziato quanto sia importante mantenere un sistema di archiviazione documentale ed informativo che permetta di raccogliere e conservare le informazioni rilevanti per la continuità dell’attività economica con strumenti idonei differenti dalle caselle di posta elettronica. Queste ultime, per la loro natura e funzione, non sono in grado di assolvere questo ruolo conformemente alla normativa vigente.
Risulta in ogni caso vietato per il datore di lavoro:
- prendere visione dello storico della corrispondenza (se non in caso di contenzioso avviato o di specifico contesto precontezioso) e dei metadati o dei dati esterni correlati alla corrispondenza – quali data e orario di invio, peso della e-mail, presenza di allegati, indirizzo del destinatario, oggetto;
- inoltrare i messaggi in arrivo dalla casella dell’ex dipendente ad una casella diversa.
Il Garante ha inoltre sottolineato l’importanza di informare preventivamente i lavoratori sulle modalità di gestione della posta elettronica da parte delle aziende dopo la cessazione del rapporto di lavoro, nonché sugli eventuali controlli eseguibili in relazione alla stessa, attraverso la consegna di specifiche informative/regolamenti aziendali.
A tal scopo è stata rilevata l’importanza di introdurre in azienda un regolamento aziendale sull’utilizzo degli strumenti informatici completo, conforme alla normativa e alle direttive del Garante Privacy.
L’ufficio privacy di CNA Reggio Emilia è a disposizione per qualsiasi necessità in merito alla gestione e dismissione degli indirizzi e-mail aziendali, nonché per l’implementazione di regolamentazioni aziendali sull’utilizzo degli strumenti informatici.
Per maggiori informazioni potete contattarci al numero: 0522 356341, oppure via e-mail all’indirizzo: gdpr@cnare.it