Il Garante si pronuncia (ancora) sulla gestione delle caselle email degli ex-dipendenti
(la versione originale di quest’articolo è stata pubblicata su Diritto 24)
Lo scorso 4 dicembre, il Garante per la protezione dei dati personali si è pronunciato sul reclamo presentato da un privato contro il proprio ex datore di lavoro, relativo alla gestione della casella di posta elettronica aziendale individuale nel periodo successivo alla cessazione del rapporto. La decisione conferma posizioni ormai consolidate da anni, ma che sembrano faticare a farsi strada nella cultura aziendale italiana, almeno a giudicare dal numero di controversie sul tema.
Il procedimento in questione rappresenta la “costola” di un giudizio pendente innanzi al Giudice del lavoro, incardinato dall’azienda contro l’ex-dipendente per presunta violazione del patto di non concorrenza. In quella sede, l’azienda aveva prodotto copia di un’email pervenuta alla casella email del proprio ex-dipendente più di un anno dopo la cessazione del rapporto di lavoro, dalla quale si evinceva che questi stava proponendo prodotti ai clienti dell’ex datore, in violazione del patto di non concorrenza.
L’ex-dipendente aveva reagito intimando all’azienda di disattivare immediatamente la casella e trasmettergli copia di tutte le comunicazioni ricevute sulla stessa a far data dalla propria fuoruscita. Non soddisfatto del riscontro dell’azienda, aveva portato la questione innanzi al Garante, contestando come illegittima la mancata disattivazione della propria casella email all’indomani della cessazione del rapporto di lavoro.
Invitata dal Garante a fornire riscontro sui fatti oggetto di reclamo, la società coinvolta si era difesa sostenendo che il reclamante fosse stato edotto, oralmente, della “prassi aziendale” di inoltrare le email in arrivo sulle caselle di ex-dipendenti al reparto IT dell’azienda; che il mantenimento in vita di indirizzi email di ex-dipendenti avesse il fine di impedire che eventuali comunicazioni di rilievo commerciale andassero perse; che, in ogni caso, la società aveva aperto solo le email dal contenuto apparentemente attinente all’attività aziendale; che l’email oggetto del contendere era stata depositata in giudizio per l’ulteriore, e sopravvenuta, finalità legittima di tutela giudiziaria di diritti, in quanto strumentale a dimostrare la violazione del patto di non concorrenza.
Nel motivare la propria pronuncia, il Garante ha rilevato che, secondo il costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, e tanto il lavoratore quanto i suoi corrispondenti vantano una legittima aspettativa di riservatezza (espressione delle garanzie costituzionali di segretezza della corrispondenza privata) sulle comunicazioni elettroniche, anche dopo la cessazione del rapporto di lavoro. Sotto questo profilo, la disponibilità della casella email aziendale dell’ex-dipendente costituisce, a tutti gli effetti, un trattamento di dati personali (categoria cui devono ascriversi anche i dati c.d. “esteriori” dei messaggi email, come data, ora, oggetto, nominativi di mittenti e destinatari; ragion per cui non è neppure necessario che i messaggi siano aperti perché si verifichi “trattamento” in senso tecnico).
L’Autorità ha, quindi, richiamato proprie precedenti decisioni nelle quali, sulla scorta dei rilievi predetti, ha espresso la posizione che il giusto contemperamento tra l’interesse del datore (ad accedere alle informazioni necessarie a garantire la continuità dell’attività aziendale) e la legittima aspettativa di riservatezza di ex-dipendenti e terzi sulla corrispondenza elettronica, possa realizzarsi con i seguenti accorgimenti: disattivazione dell’account di posta elettronica dell’ex dipendente subito dopo la cessazione del rapporto di lavoro, entro gli stretti tempi tecnici necessari; predisposizione di sistema che, escludendo la visualizzazione dei messaggi in arrivo, risponda in automatico ai terzi che scrivano all’account disattivato, informandoli dell’avvenuta disattivazione e fornendo indirizzi alternativi cui inoltrare eventuali comunicazioni di interesse aziendale.
Alla luce di queste considerazioni, la prassi adottata dalla società, consistente nel reindirizzare automaticamente – per un periodo di tempo anche assai ampio – i messaggi pervenuti sull’account dell’ex dipendente su un diverso account aziendale, è stata ritenuta dal Garante illecita, in quanto contraria ai principi di liceità, necessità e proporzionalità del trattamento.
In concreto, l’accertamento di illiceità del Garante, in questo caso, non è sfociato in provvedimenti di carattere ingiuntivo, perché nel corso del procedimento la società resistente aveva provveduto a disattivare l’account al centro del contenzioso e a fornire al reclamante tutte le informazioni che questi aveva richiesto.
Tuttavia, dal testo del provvedimento si evince che il Garante ha separatamente dato corso a procedimento per l’adozione di sanzioni amministrative nei confronti dell’azienda connesse agli illeciti accertati, procedimento del quale lo scrivente non conosce gli eventuali esiti.
Per il professionista del settore, sarebbe interessante conoscere le sorti dell’email costituente il casus belli, quella prodotta nell’ambito del giudizio di lavoro tra le parti, frutto, come si è visto, di un trattamento illecito secondo il Garante. In più di un’occasione, infatti, la giurisprudenza italiana si è pronunciata nel senso di ritenere comunque utilizzabili nel processo civile le prove pur acquisite in violazione della normativa sulla privacy, ritenendo distinte e indipendenti tra loro le questioni dell’illiceità e dell’utilizzabilità in giudizio.