Il datore di lavoro deve occuparsi diligentemente dell’account del dipendente

Nell’ambito del rapporto lavorativo il titolare ha l’obbligo di informare preventivamente l’interessato su tutte le modalità di gestione della casella di posta elettronica personale del collaboratore. La mancata disattivazione dell’utenza nominativa dopo la cessazione dell’incarico comporta quindi una serie di possibili violazioni privacy che vanno dalla mancata informativa alla violazione dei principi di necessità, minimizzazione e limitazione della conservazione. Il tutto aggravato dall’eventuale mancata collaborazione fattiva con l’Autorità di controllo.

Lo ha evidenziato il Garante per la protezione dei dati personali con l'ordinanza n. 440 del 16 dicembre 2021. Un dipendente cessato dall'incarico ha richiesto senza successo all'ex datore di lavoro la cancellazione degli account di posta elettronica di tipo individuale risultanti attivi e funzionanti anche dopo l' interruzione del rapporto di lavoro . A seguito del mancato riscontro da parte dell'azienda il lavoratore ha presentato un reclamo al Garante che ha avviato una complessa istruttoria che a causa della scarsa collaborazione da parte dell' impresa ha richiesto un sopralluogo ispettivo anche da parte del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. Per oltre 20 mesi dalla cessazione del rapporto di lavoro l'azienda ha mantenuto attivo l'account di posta elettronica del reclamante, specifica l'ordinanza, in palese violazione di numerose disposizioni normative . Innanzitutto, non risulta che il reclamante fosse stato correttamente informato sulle modalità di gestione della posta elettronica da parte dell'impresa dopo la cessazione del rapporto di lavoro. Questa violazione è prevista dall'art. 13 del regolamento europeo in base al quale il titolare del trattamento è tenuto a fornire all'interessato, prima dell'inizio dei trattamenti, tutte le informazioni relative alla caratteristiche essenziali del trattamento stesso . Quindi il datore di lavoro deve dare atto anticipatamente come gestirà l'account di posta e cosa succederà in caso di cessazione del rapporto di collaborazione. Nella corrispondenza elettronica vengono infatti certamente catturate anche informazioni personali relative all'interessato. E il Garante si è già occupato della regolamentazione di queste attività con le linee guida del 1 marzo 2007, nel rispetto dei principi di necessità , minimizzazione e limitazione della conservazione . L'omesso ripetuto riscontro alle richieste dell'Autorità ha inoltre reso necessario l'invio della visita ispettiva della Guardia di finanza. Per questo motivo il trattamento illecito di dati personali è stato sanzionato con una sanzione amministrativa di 20 mila euro.

Ordinanza ingiunzione del Garante Privacy del 16 dicembre 20221, n. 440