Privacy e rapporto di lavoro
Con specifico riferimento ai trattamenti effettuati sulla posta elettronica aziendale del lavoratore dopo la cessazione del relativo rapporto di lavoro, il Garante della Privacy, con Provvedimento n. 53 del 1.2.2018, ha, di recente, ribadito – peraltro, in un ottica di assoluta e fedele continuità con quanto già affermato in precedenti pronunce (vedasi, ex plurimis: Provvedimento n. 136 del 5.3.2015, n. 456 del 30.7.2015, n. 547 e 550 del 22.12.2016) – che, in conformità ai principi in materia di protezione dei dati personali, l’account riconducibile ad una persona identificata o identificabile deve essere rimosso al termine del rapporto lavorativo, previa disattivazione dello stesso e contestuale adozione di un sistema automatico volto ad informare i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del Titolare del trattamento.
In aggiunta, il Garante della Privacy ha, altresì, precisato, all’interno del medesimo Provvedimento in commento, che l’account di posta elettronica dell’ex dipendente debba essere disattivato mediante l’applicazione di un “messaggio di mancato recapito” in caso di tentato invio di una comunicazione elettronica sull’account stesso, oltre ché la disattivazione in questione deve essere realizzata “secondo modalità tali da inibire, in via definitiva, la ricezione in entrata di messaggi diretti al predetto account…”.
In sintesi, il Garante della Privacy ha affermato che, al momento della cessazione del rapporto lavorativo, il datore di lavoro è obbligatoriamente tenuto ad effettuare i seguenti adempimenti:
- Disattivare e rimuovere l’account di un ex lavoratore dipendente;
- Adottare un sistema automatico di informazione ai soggetti terzi;
- Indicare uno o più nuovi indirizzi e-mail alternativi con cui far proseguire le comunicazioni con l’azienda.
Il sopra descritto adempimento, prescritto in capo al datore di lavoro, costituisce il risultato del rispetto dei seguenti principi.
Da un lato, a seguito dell’analisi congiunta tra gli artt. 2 e 41 comma II della Costituzione e l’art. 2087 del Codice Civile, si evince che il luogo di lavoro consiste in una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità del soggetto interessato, garantendo, a tal uopo, che, in una cornice di reciproci diritti e doveri, sia assicurata l’esplicazione della personalità del lavoratore ed una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali (cfr., a tal riguardo, anche l’art. 2 comma V del D.Lgs. n. 82 del 7.3.2005).
Per altro verso, così come ricordato dalla Deliberazione n. 13 del 1.3.2007 a firma del Garante della Privacy (intitolata “Lavoro: le linee guida del Garante per posta elettronica e internet”), una casella di posta elettronica, protetta da password personalizzate, a nome di uno specifico lavoratore dipendente, rappresenta il domicilio cd. informatico ed uno spazio a disposizione (in via esclusiva) di quest’ultimo, sicché la sua invasione costituisce una lesione della riservatezza (cfr.: sentenza Corte di Cassazione n. 13057 del 31.3.2016), nonché il contenuto dei messaggi di posta elettronica del lavoratore (così come i dati esteriori delle comunicazioni ed i files allegati) riguardano forme di corrispondenza assistite da garanzie di segretezza, regolamentate anche a livello costituzionale negli artt. 2 e 15 (cfr. sentenze della Corte Costituzionale n. 281 del 17.7.1998 e n. 81 del 11.3.1993), onde tutelare la dignità (e la personalità) dell’individuo all’interno della sua formazione sociale.
Da ultimo, il Garante della Privacy ha tenuto a precisare, all’interno di alcuni dei Provvedimenti sopra indicati, che non risulta conforme ai principi di necessità, pertinenza e non eccedenza di cui al (vigente) art. 5 del Regolamento UE n. 679/2016 la conservazione, sui server aziendali, per un periodo di dieci anni sia dei dati esterni che dei contenuti delle comunicazioni elettroniche di ciascun lavoratore (o ex) dipendente: nello specifico, il medesimo Garante ha puntualizzato che tale esteso termine di conservazione applicato indistintamente a tutte le email scambiate da ciascun lavoratore (o ex) dipendente non appare commisurato, in assenza di specifiche e dimostrate ragioni, alle ordinarie necessità di gestione dei servizi di posta elettronica, ivi comprese le esigenze di sicurezza dei sistemi informatici.
A tal proposito, occorre, dunque, osservare che, così come affermato dal Garante della Privacy nella Deliberazione n. 13 del 1.3.2001, i trattamenti effettuati, da parte del datore di lavoro, sugli strumenti cd. aziendali messi a disposizione del lavoratore (tra i quali, la posta elettronica) devono rispettare le garanzie in materia di protezione dei dati personali, nonché devono svolgersi nella compiuta osservanza dei principi illustrati all’interno dell’art. 5 del Regolamento UE n. 679/2016, ovverosia – per quanto qui rileva – il principio di necessità, il principio di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori) nonché il principio di limitazione delle finalità di trattamento: di conseguenza, in virtù di tali disposizioni normative, è onere del datore di lavoro redigere, pubblicizzare (ad esempio, mediante la pubblicazione nella rete telematica aziendale ovvero per mezzo dell’affissione in un luogo di lavoro con modalità analoghe a quelle previste dall’art. 7 del cd. Statuto dei Lavoratori) e mettere adeguatamente a conoscenza dei singoli lavoratori dipendenti nel rispetto dell’art. 13 del Regolamento UE n. 679/2016 una policy interna avente ad oggetto l’indicazione della tipologia delle informazioni che vengono conservate (e relativo termine) in forma (o meno) centralizzata, oltre ché l’illustrazione delle modalità volte ad un corretto uso dei strumenti cd. aziendali (e conseguenti ed eventuali controlli sugli stessi).
| Redazione
| privacy-e-sicurezza
Gestionali per studi e uffici professionali
Hai bisogno di nuovi strumenti per aumentare la produttività del tuo studio?
Chiamaci a questi numeri 0815374534 o 3927060481 (anche via whatsapp)
Lo staff di Safio ti aiuterà ad individuare la soluzione più adatta alle tue esigenze