Il Garante della Privacy ha sanzionato con una multa di quarantamila euro una società che aveva violato la segretezza della casella e-mail di un lavoratore dopo la cessazione del rapporto di lavoro.
Il lavoratore reclamante aveva appurato che l’ex datrice di lavoro, a seguito del licenziamento disciplinare, aveva mantenuta attiva la sua casella di posta elettronica aziendale; aveva così chiesto alla società di disabilitare l’account, di inoltrare i messaggi pervenuti nel frattempo al suo indirizzo e-mail personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo e-mail. Tuttavia, tale (legittima) richiesta non era stata accolta.
Dall’istruttoria svolta dal Garante, come si legge nel provvedimento, era emerso che l’azienda non solo aveva continuato (per due mesi) ad accedere alla casella e-mail, ma aveva inoltrato le comunicazione nelle more pervenute ad un altro indirizzo di posta elettronica aziendale.
Da un punto di vista generale – si legge nel provvedimento - l’Autorità ha già ritenuto conforme ai principi in materia di protezione dei dati personali “che, a tutela di possibili e legittime esigenze di continuità dell’attività aziendale, dopo la cessazione del rapporto di lavoro, il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informare i terzi mittenti e a fornire, a questi ultimi, indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee a impedire la visualizzazione dei messaggi in arrivo, durante il periodo in cui tale sistema automatico è in funzione”.
In relazione al caso specifico, l’operazione di inoltro della corrispondenza su un altro account aziendale, per circa due mesi, della casella di posta elettronica del reclamante (per un periodo di tempo diverso da quello indicato nel disciplinare interno, pari a 30 giorni), per mere esigenze organizzative - secondo il Garante - ha di fatto realizzato un trattamento di dati personali contrario ai principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e), del Regolamento), in base ai quali i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e devono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
In argomento si veda anche Posta elettronica del dipendente: no del Garante Privacy al backup della casella di posta nonché Log di navigazione e metadati dei lavoratori.