Il presente contributo trae spunto da un recente provvedimento emesso dal Garante per la protezione dei dati personali, adito dall’ex dipendente di una società successivamente alla conclusione del rapporto di lavoro.

Segnatamente, nel corso di un giudizio pendente avanti il Tribunale, Sezione lavoro, promosso dall’ex datore di lavoro, il datore, ben un anno dopo la risoluzione del rapporto,  depositava agli atti una comunicazione via mail destinata alla casella di posta aziendale medio tempore utilizzata dal dipendente

Successivamente il lavoratore prima diffidava il datore, che ottemperava, ad eliminare l’account mail in questione e, poi, adiva il Garante della privacy.

Gli accertamenti svolti nel procedimento evidenziavano che, prima della cancellazione della casella di posta (avvenuta un anno e sette mesi dopo la risoluzione del rapporto di lavoro) la società aveva avuto accesso alle comunicazioni ivi pervenute, e, si badi bene, anche a quelle che risultavano estranee all’attività precedentemente svolta dal dipendente.

Inoltre, dall’istruttoria emergeva che il datore di lavoro aveva comunicato all’ex dipendente soltanto verbalmente il trattamento connesso ai dati personali contenuti nelle mail destinate all’account aziendale, avvertimento considerato dal Garante insufficiente a ritenere rispettati gli obblighi di legge.

L’Autorità, infatti, rappresentava che, così come ripetutamente statuito dalla Corte europea dei diritti dell’uomo, la protezione della vita privata deve considerarsi estesa anche all’ambito lavorativo, con il logico corollario che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzia di segretezza tutela anche costituzionalmente” “e che ciò, trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati) possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione; rilevato che tali esigenze di tutela devono essere tenute in considerazione anche nell’ipotesi in cui venga a cessare il rapporto di lavoro tra le parti” (cfr. “Linee guida del Garante per posta elettronica e Internet”, Gazzetta Ufficiale n. 58 del 10.03.2007).

Ciò premesso, aggiungeva il Garante che il rispetto della normativa in materia di protezione dei dati personali impone che, dopo la cessazione del rapporto professionale, il datore di lavoro sia obbligato a rimuovere gli account di posta elettronica aziendali in un tempo ragionevole, previa loro disattivazione e, soprattutto, con contestuale adozione di procedure e sistemi automatizzati che permettano di informare i terzi di tale disattivazione, fornendo loro indirizzi alternativi.

Inoltre, il datore deve in ogni caso predisporre misure idonee ad impedire l’automatica visualizzazione dei messaggi in arrivo, al fine di contemperare, da un lato, l’interesse del titolare del trattamento alla gestione efficiente della propria attività e, dall’altro, la legittima aspettativa di riservatezza vantata dai propri dipendenti, oltreché dai terzi, relativamente alla propria corrispondenza.

Concludendo, il Garante riteneva fondato il reclamo relativamente alla prospettata illiceità del trattamento – anche sulla scorta del fatto che la controversia di lavoro era stata promossa nei confronti del dipendente successivamente al reindirizzo dell’account in questione – statuendo l’illiceità della condotta del datore, consistente nell’aver permesso la “ persistente attività dell’account aziendale individualizzato per un ampio periodo di tempo dopo l’interruzione del rapporto di lavoro”.