La frontiera digitale del rapporto di lavoro nasconde insidie che possono costare caro alle aziende poco attente alla tutela dei dati personali. Lo dimostra una recente e significativa pronuncia del Garante per la protezione dei dati personali, che ha sanzionato una società con una multa di 40.000 euro per aver illecitamente gestito l’account di posta elettronica di un amministratore delegato dopo la cessazione del suo incarico. La decisione ribadisce un principio cardine del nostro ordinamento: il contenuto delle email, i contatti e gli allegati sono a tutti gli effetti una forma di corrispondenza privata e, come tale, sono protetti da un diritto alla segretezza che trova le sue radici nella Costituzione, a salvaguardia della dignità della persona.
La cronaca della violazione: un accesso negato ma non troppo
La vicenda ha origine dal reclamo di un ex amministratore delegato che, a seguito di un licenziamento preceduto da una contestazione disciplinare, si è visto negare l’accesso alla propria casella di posta elettronica aziendale. Contrariamente a quanto ci si potrebbe aspettare, l’account non era stato disattivato. L’azienda, infatti, non solo lo aveva mantenuto attivo, ma aveva anche messo in atto un sistema di inoltro automatico di tutti i messaggi in arrivo verso un altro indirizzo email interno.
Consapevole dei propri diritti sanciti dal GDPR (il Regolamento Generale sulla Protezione dei Dati), l’ex dirigente aveva avanzato richieste precise e legittime all’azienda:
- La disabilitazione immediata del suo account di posta elettronica.
- L’inoltro di tutti i messaggi ricevuti nel frattempo al suo indirizzo email personale.
- L’attivazione di una risposta automatica per informare i futuri mittenti della sua cessata collaborazione e fornire un contatto alternativo.
Nonostante la richiesta fosse stata formulata in modo corretto e pienamente conforme alla normativa, è rimasta completamente inevasa. L’istruttoria avviata dal Garante ha fatto piena luce sulla condotta della società, accertando che la pratica scorretta si era protratta per circa due mesi, un periodo che superava persino il limite di 30 giorni previsto dalle policy interne dell’azienda stessa.
L’intervento del Garante: i principi del GDPR e la tutela del lavoratore
Nella sua decisione, l’Autorità ha evidenziato come la gestione prolungata e non autorizzata dell’account abbia portato all’accesso e alla conservazione di comunicazioni potenzialmente personali, configurando una chiara violazione della normativa sulla privacy. Il Garante ha richiamato diversi principi fondamentali del GDPR, tra cui:
- Principio di liceità, correttezza e trasparenza: Il trattamento dei dati deve avvenire nel rispetto dei diritti dell’interessato. Mantenere attivo un account all’insaputa del titolare e senza una base giuridica valida è una palese violazione.
- Principio di limitazione della finalità e della conservazione: I dati devono essere raccolti per scopi determinati, espliciti e legittimi, e conservati per un arco di tempo non superiore al conseguimento di tali finalità. Una volta cessato il rapporto di lavoro, la finalità per cui l’account era stato creato viene meno.
- Principio di minimizzazione dei dati: Le aziende dovrebbero trattare solo i dati strettamente necessari. L’accesso indiscriminato a un’intera casella di posta contraddice apertamente questo principio.
Il Garante ha ribadito che, alla cessazione di un rapporto di lavoro, la procedura corretta prevede la rimozione dell’account individuale, previa immediata disattivazione e l’adozione di sistemi automatici che informino i terzi e forniscano contatti alternativi. Qualsiasi accesso da parte del datore di lavoro deve essere eccezionale, giustificato da esigenze specifiche (come la tutela di un diritto in sede giudiziaria) e gestito con modalità rigorose che bilancino l’interesse aziendale con i diritti del lavoratore.
La sanzione e le implicazioni per le aziende
L’Autorità ha quindi ordinato alla società di consentire immediatamente al lavoratore l’accesso al proprio account per recuperare i dati personali e di provvedere alla sua successiva e definitiva cancellazione. La sanzione di 40.000 euro è stata commisurata tenendo conto di diversi fattori: la tipologia e la durata della violazione, il totale mancato riscontro alle legittime richieste dell’ex dipendente e, come attenuante, l’assenza di precedenti violazioni a carico della società.
Questo provvedimento rappresenta un monito fondamentale per tutte le realtà imprenditoriali. La gestione degli strumenti digitali, in particolare delle caselle di posta elettronica nominali, non può essere lasciata all’improvvisazione. È imperativo per ogni azienda dotarsi di una policy interna chiara e trasparente, che disciplini l’utilizzo degli strumenti informatici e definisca procedure precise per la gestione degli account in caso di cessazione del rapporto di lavoro, in piena conformità con il GDPR e lo Statuto dei Lavoratori. Ignorare queste regole non solo espone a pesanti sanzioni economiche, ma lede anche la fiducia e la dignità delle persone, valori che nessuna cifra può risarcire.