Dic

30

19

(DPR) OBBLIGATORIA PER L’AZIENDA LA DISATTIVAZIONE DELL’ACCOUNT DI POSTA ELETTRONICA DELL’EX DIPENDENTE (Provvedimento Garante della Privacy n. 53 del 01.02.2018 NL Garante Privacy del 20.12.2019)

Con il provvedimento in commento il Garante della Privacy è tornato sul delicato tema della protezione dei dati personali del dipendente, nello specifico con riguardo alla gestione dell’account personale di posta elettronica, alla cessazione dell’attività lavorativa. Il provvedimento del Garante prende le mosse da un reclamo promosso da un dipendente di un’azienda, che in sede processuale si era visto dalla stessa società presentare delle mail ricevute nel suo account successive al termine di risoluzione del proprio contratto lavorativo, lamentando una violazione della privacy vista la riconduzione alla propria persona di un account non più da lui gestito. In sintesi, nell’esprimersi in merito e ritenendo questo trattamento illecito, il Garante ha indicato, come una sorta di vademecum, tutte le accortezze cui è tenuto il datore una volta che un dipendente cessi il rapporto di lavoro. Innanzitutto, il datore è obbligato ad eliminare l’account di posta del dipendente, previa opportuna disattivazione. La disattivazione dovrà essere comunicata al mittente del messaggio mediante un “messaggio di mancato recapito” volta a segnalare l’errato esito dell’invio ed inoltre, con l’utilizzo di un sistema automatico di informazione per i soggetti terzi, dovrà essere comunicato che l’indirizzo di posta elettronica non è più riferito al soggetto in questione, e dunque, suggerire opportuni altri riferimenti indicanti l’attività professionale del titolare del trattamento. Specifica ulteriormente il Garante, come tale procedura discenda direttamente dai principi espressi degli artt. 2, 41 Cost. e dall’art. 2087 Cod. Civ., ricordando come la casella di posta elettronica sia considerata il “domicilio informatico” del dipendente e quindi, l’ingerenza in essa, una lesione della riservatezza (Corte di Cassazione, sent. n. 13057 del 31.03.2016). Da ciò ne deriva l’assoluta impossibilità di applicare per l’indirizzo di posta elettronica la disciplina di conservazione per dieci anni sui server aziendali dei dati poiché non commisurata e dunque, eccedente i principi di necessità e pertinenza imposti dall’art. 5, Reg. UE 679/2016. (GT)