Provvedimento Garante per la Protezione dei Dati Personali (n. 140 del 7 marzo 2024). Accesso alle mail aziendali dei dipendenti dopo la cessazione del rapporto di lavoro. Illiceità.

Con il provvedimento in oggetto il Garante privacy, ribadendo un principio consolidato circa la illiceità dell’accesso agli account aziendali da parte di terzi dopo la cessazione del rapporto di lavoro, ha sanzionato un’azienda per aver mantenuto attivi gli account aziendali di posta di due ex dipendenti che lamentavano, appunto e tra l’altro, la «perdurante attività degli account aziendali individuali per diversi mesi oltre la cessazione dei rapporti lavorativi [XX e XX], con contestuale accesso ai messaggi ivi pervenuti».

Le giustificazioni avanzate dalla società e basate sulla necessità di mantenere la continuità operativa dell’azienda e sul preteso accesso alle sole comunicazioni commerciali non sono state ritenute valide dal Garante, che ha considerato illecite le attività di trattamento (illiceità non superabile neanche attraverso idonea informativa e relativo consenso) e indicato le misure alternative che l’azienda avrebbe potuto/dovuto adottare per evitare la perpetrata violazione.

L’azienda, secondo il Garante, avrebbe potuto semplicemente attivare «un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa».

Il Garante ha già ritenuto «conforme ai principi in materia di protezione dei dati personali (v. tra gli altri i Provv. 1 dicembre 2023, n. 602, doc. web n. 9978536; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.)» una misura adottata dall’azienda dopo la cessazione del rapporto di lavoro e consistente nella rimozione dell’account, «previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione».

Alla società è stata quindi irrogata la sanzione amministrativa di 20.000 euro, oltre alla sanzione accessoria della pubblicazione del provvedimento sul sito web del Garante, per non aver adottato modalità di trattamento conformi al GDPR ed aver violato i principi di liceità, di minimizzazione e di limitazione della conservazione dei dati prescritti in materia.

 Avv. Agostino De Zordo - LegalAssociati Roma

Indietro