Come contemperare l’esigenza di continuità operativa del datore di lavoro e di riservatezza dei dati dell’ex dipendente? Il Garante della Privacy ha risposto ricordando l’importanza del rispetto dei principi di liceità e trasparenza del trattamento in seguito alla cessazione del rapporto di lavoro
Il caso, che si potrebbe definire quasi di “vita quotidiana”, sottoposto al Garante Italiano riguarda la questione del presunto illegittimo trattamento dei dati personali di una ex lavoratrice: questa scopriva come il suo “vecchio” account di posta elettronica aziendale fosse rimasto operativo per oltre un anno e mezzo dalla cessazione del rapporto e l’ex datore di lavoro continuasse a leggerne i messaggi che ivi pervenivano. L’account di posta veniva chiuso solo in seguito alla diffida dell’ex lavoratrice e l’azienda precisava che venivano letti i messaggi riguardanti l’attività lavorativa e le esigenze commerciali e che si era reso necessario un lasso temporale così ampio per poter consentire di dar evidenza a tutti i clienti e potenziali clienti dei nuovi contatti e referenti.
Il Garante censurava tale condotta dell’azienda, ritenendo illegittimo il trattamento poiché posto in violazione del principio di riservatezza: anche la sola lettura dell’oggetto delle mail e/o l’esame dei vari mittenti (eventuali contatti personali e non aziendali) comporta il trattamento di dati personali che la lavoratrice, anche se non più in forza, ha diritto a che siano mantenuti riservati. In altre parole, richiamate anche le linee guida sulla casella di posta aziendale emanate nel lontano 2004, il Garante ha ribadito che tanto in costanza di rapporto lavorativo che ancor più dopo, l’azienda non può legittimamente leggere i messaggi di posta elettronica del dipendente, autorizzato (ove non espressamente avvisato del contrario) a utilizzare l’account anche per fini personali.
Non bisogna però fermarsi a questa prima lettura del provvedimento: approfondendo i presupposti fattuali oggetto del ricorso al Garante promosso dalla ex dipendente, si apprende che la società aveva omesso (quanto meno non aveva fornito adeguata prova) di dare un’adeguata informativa sul trattamento dei dati anche post rapporto di lavoro così come dei tempi di durata del trattamento successivo, nonché di porre in essere le “tipiche” misure previste nel caso di interruzione della relazione lavorativa. Il Garante evidenzia come non risulti ragionevole, e comunque ecceda il principio di proporzionalità tra le esigenze imprenditoriali e quelle del titolare del dato, mantenere attivo un indirizzo di posta elettronica di un ex dipendente per oltre un anno e mezzo e come si possa ottenere analoga continuità nelle comunicazioni con un messaggio di risposta che indichi il nuovo indirizzo di posta da utilizzare per i contatti commerciali e l’avvenuto re-inoltro del messaggio a tale nuovo destinatario.
Si apre così uno spiraglio per i datori di lavoro che potranno mantenere aperto l’indirizzo di posta elettronica del proprio ex dipendente purché – ma queste sono le regole base del legittimo trattamento – abbia adeguatamente e correttamente informato il lavoratore di tale possibilità, abbia indicato un ragionevole lasso di tempo di prosecuzione del trattamento e, comunque, predisponga una serie di misure volte ad “accelerare” il subentro del nuovo contatto e destinatario, senza dover proseguire per anni a trattare dati di un ex dipendente.
Ancora una volta – attenendosi proprio ai principi di privacy by design e by default – la creazione a monte di processi che informano e formano sul corretto e normato trattamento dei dati consentirà di proseguire nel trattamento anche in seguito alla cessazione del rapporto di lavoro, purché non si voglia eccedere nel limite temporale.
Avv. Paola Gobbi partner – UNIOLEX Stucchi & Partners – www.uniolex.com