di Pietro Errede
Garante della Privacy – Provvedimento n. 456 del 30 luglio 2015
Il trattamento risulta illecito per violazione degli artt. 11, comma 1, lett. a) e b), e 13 del Codice privacy per l’azienda che dispone ancora dei dati relativi alla posta elettronica già acquisiti dell’ex dipendente, pur essendo stato disattivato il suo account aziendale.
Il provvedimento n. 456 del 30 luglio 2015 del Garante per la protezione dei dati personali conferma l’orientamento che tale Autorità ha già dimostrato in precedenti decisioni in tema di gestione della posta elettronica aziendale utilizzata dai lavoratori. Ormai è chiaro che, una volta cessato il rapporto di lavoro, il datore deve disattivare la e-mail aziendale gestita dall’ex dipendente. Il consolidamento verso tale direzione viene anche sottolineato dalla Fondazione Studi Consulenti del Lavoro che, lo scorso 2 dicembre, ha emesso il parere n. 4 con il quale analizza proprio la decisione n. 456 del Garante ed elenca i provvedimenti di quest’ultimo che hanno man mano arricchito e uniformato tale materia (5 marzo 2015, n. 136; 27 novembre 2014, n. 551; 21 Luglio 2011, n. 308; 7 Aprile 2011, n. 139; 23 Dicembre 2010; 1 Marzo 2007, n. 13). Pertanto l’ultima decisione in ordine di tempo suggella una interpretazione costante del Garante mai mutata negli anni.
Poiché si sta trattando di account aziendali e non privati del lavoratore, occorre ricordare che il Garante ha sancito il principio che l’indirizzo e-mail attribuito al singolo lavoratore per lo svolgimento delle sue mansioni determina una legittima aspettativa di riservatezza sulla corrispondenza, ma non garantisce la confidenzialità dei messaggi inviati e ricevuti tramite lo stesso, poiché l’account ad esso riferibile può essere eccezionalmente nella disponibilità di accesso da parte del datore di lavoro qualora ciò si renda necessario per improrogabili esigenze aziendali (Posta elettronica aziendale e privacy del dipendente – 22 aprile 2010, doc. web n. 1727692 e Reti telematiche ed Internet – L’indirizzo e-mail è un dato personale – 25 giugno 2002, doc. web n. 29864).
In effetti il provvedimento più dettagliato in materia è la delibera n. 13 del 1 marzo 2007 (pubblicata sulla Gazzetta Ufficiale n. 58 del 10 marzo 2007) contenente “Le linee guida del Garante per posta elettronica e internet”. È il provvedimento che indica chiaramente le chiavi interpretative che l’Autorità sulla Privacy intende applicare. Il primo autorevole suggerimento dato al datore di lavoro è di “adottare un disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, ecc.) e da sottoporre ad aggiornamento periodico … All’onere del datore di lavoro di prefigurare e pubblicizzare una policy interna rispetto al corretto uso dei mezzi e agli eventuali controlli, si affianca il dovere di informare comunque gli interessati ai sensi dell’art. 13 del Codice … Rispetto a eventuali controlli gli interessati hanno infatti il diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli”. Fin da tale delibera, nell’ambito della posta elettronica, il Garante chiarisce che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un’ulteriore protezione deriva dalle norme penali a tutela dell’inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale). … La mancata esplicitazione di una policy al riguardo può determinare anche una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione. Tali incertezze si riverberano sulla qualificazione, in termini di liceità, del comportamento del datore di lavoro che intenda apprendere il contenuto di messaggi inviati all’indirizzo di posta elettronica usato dal lavoratore (posta “in entrata”) o di quelli inviati da quest’ultimo (posta “in uscita”)”.
Affrontando ipotesi di casi particolari, nella delibera tra l’altro si rileva l’opportunità che “in previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, l’interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. A cura del titolare del trattamento, di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile”.