Con il provvedimento del 4 dicembre 2019 il Garante per la protezione dei dati personali si è espresso in merito alla gestione, da parte del datore di lavoro, della casella e-mail dell’ex dipendente successivamente alla cessazione del rapporto di lavoro
La controversia trae origine dal reclamo proposto da un ex lavoratore il quale lamentava, successivamente alla cessazione del rapporto di lavoro, l’illecito reindirizzamento su altro account aziendale, da parte del datore di lavoro, dei messaggi contenuti nella casella e-mail utilizzata in costanza di rapporto. Ciò in quanto, sulla base delle informazioni acquisite attraverso i messaggi e-mail del lavoratore, l’azienda aveva contestato all’ex dipendente la violazione del patto di non concorrenza.
Nel corso del procedimento il datore di lavoro si è difeso sostenendo che i) il lavoratore era stato edotto oralmente della “prassi aziendale” di inoltrare le email in arrivo sulle caselle di ex-dipendenti al reparto IT dell’azienda; ii) il mantenimento in vita di indirizzi email di ex-dipendenti avesse il fine di impedire che eventuali comunicazioni di rilievo commerciale andassero perse; iii) la società aveva aperto solo le e-mail dal contenuto apparentemente attinente all’attività aziendale; iv) l’e-mail oggetto del contendere era stata depositata in giudizio per l’ulteriore, e sopravvenuta, finalità legittima di tutela giudiziaria di diritti, in quanto strumentale a dimostrare la violazione del patto di non concorrenza.
Con la pronuncia in commento, il Garante ha affermato che il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro è tenuto a rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure), previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
Ed invero, l’adozione di tali misure tecnologiche ed organizzative consente di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi (v., da ultimo, provv.to 1° febbraio 2018, n. 53, in www.garanteprivacy.it, doc. web n. 8159221. Si veda anche il provv. 5 marzo 2015, n. 136, doc. web n. 3985524 e il citato provv. 27 novembre 2014, n. 551; nello stesso senso v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. par. 14.5).
Nel motivare la propria pronuncia, il Garante ha rilevato che, secondo il costante orientamento della Corte europea dei diritti dell’uomo (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Brbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antovi and Mirkovi v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42), la protezione della vita privata si estende anche all’ambito lavorativo, e tanto il lavoratore quanto i suoi corrispondenti vantano una legittima aspettativa di riservatezza sulle comunicazioni elettroniche, anche dopo la cessazione del rapporto di lavoro.
Pertanto, l’accesso alla casella e-mail dell’ex-dipendente costituisce a tutti gli effetti un trattamento di dati personali (categoria cui devono ascriversi anche i dati c.d. “esteriori” dei messaggi email, come data, ora, oggetto, nominativi di mittenti e destinatari; ragion per cui non è neppure necessario che i messaggi siano aperti perché si verifichi “trattamento” in senso tecnico).
L’Autorità ha, quindi, dichiarato illecita la condotta tenuta dal datore di lavoro consistente nel reindirizzare automaticamente i messaggi pervenuti sull’account dell’ex dipendente su un diverso account aziendale, in quanto contraria ai principi di liceità, necessità e proporzionalità del trattamento, con conseguente riserva in merito alle sanzioni da applicare all’azienda.
La pronuncia in commento, se da un lato riveste rilievo nell’ambito della disciplina concernente il trattamento dei dati personali, dall’altro lato pone ancora una volta il tema dell’utilizzabilità in giudizio delle prove acquisite in violazione della privacy, posto che in più occasioni la giurisprudenza ha ritenuto utilizzabili nel processo civile dette prove. Ciò in quanto il principio della necessità del consenso del titolare dei dati personali ai fini del loro trattamento subisce una deroga nel caso in cui si intenda esercitare in giudizio il diritto di difesa, le cui modalità di attuazione risultano disciplinate dal codice di rito.
Per informazioni https://www.iurishub.it