Privacy: account del dipendente e cessazione del rapporto di lavoro

Il caso

L’interessata cessava un rapporto di lavoro il 15.3.2023 e richiedeva il 2.8.2023 e il 29.9.2023, e successivamente da un legale il 17.10.2023,  la disattivazione dell’account di posta elettronica per l’indirizzo assegnatoLe dalla Società di cui era dipendente.  La Sovietà rispondeva che l’indirizzo e mail è aziendale, non viene utilizzata in uscita e chi scrive a tale account viene deviato ad altro account di altro dipendente. 

La difesa

La società su richiesta del Garante,  comunicava che: 

la casella di posta elettronica della sig.ra XX dopo la cessazione del rapporto di lavoro è rimasta attiva sino al 23.11.2023 (si presume per la posta in entrata, mentre si presume era bloccata per la posta in uscita); l’inoltro ad altro dipendente è stato attivato dal pomeriggio del 15.3.2023 (data di cessazione del rapporto di lavoro); l’altro dipendente ha avuto accesso alla casella di posta unicamente per il download di fatture estere (non inviate al cassetto fiscale), per reimpostare password e profili di accesso a siti funzionali per la società; precisava la società di non aver predisposto un Disciplinare interno sull’uso della posta elettronica aziendale. 

Le conclusioni del Garante 

La società produceva scritti difensivi, ma il Garante rilevava quanto infra riportato a seguito dell’istruttoria:

1. la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.
2. è emerso che la Società ha mantenuto attiva la casella di posta elettronica assegnata alla reclamante in costanza del rapporto di lavoro, successivamente all’interruzione dello stesso avvenuta in data 15/03/2023, e fino al 23/11/2023; la Società ha proceduto anche al reindirizzamento automatico dei messaggi in transito su altro account aziendale, per tutto l’arco temporale intercorrente tra la cessazione del rapporto di lavoro e la cancellazione dell’account della reclamante; risulta che la Società abbia effettuato il reindirizzamento automatico dei messaggi in transito sul predetto account fino al 23/11/2023. Tale condotta risulta contraria ai principi di liceità, di limitazione della conservazione e di minimizzazione dei dati, di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento.
3. il Garante ha ritenuto, in alcune pronunce anche recenti, che in conformità ai principi in materia di protezione dei dati personali, gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili debbano essere rimossi dopo l’interruzione del rapporto di lavoro previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.
4. il datore di lavoro deve provvedere alla rimozione dell’account di posta elettronica aziendale di tipo individualizzato, in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi (v. anche il provv. n. 53 del 01/02/2018, doc. web n. 8159221).
5. Sulla base delle suesposte ragioni la Società ha pertanto violato il principio di correttezza (v. art. 5, par. 1, lett. a) del Regolamento) e, in particolare, l’obbligo di fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento (art. 13 del Regolamento), nonché posto altresì in essere una condotta contraria ai principi di liceità, di limitazione della conservazione e di minimizzazione dei dati, di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento.