Accesso alle mail dell’ex dipendente: multa del Garante Privacy

Accesso alle mail dell’ex dipendente: multa del Garante Privacy

Accesso alle mail dell’ex dipendente: multa del Garante Privacy

Con un recente provvedimento, il Garante Privacy italiano ha ribadito la non liceità dell’accesso alla casella mail del dipendente dopo il licenziamento. Ecco gli snodi principali della norma.

Il principio è chiaro: il contenuto delle email aziendali può rientrare nella nozione di corrispondenza e, come tale, è protetto dal diritto alla segretezza. Questo diritto, sostenuto anche dalla Costituzione, tutela la dignità del lavoratore e la sua libertà di relazione.

Nel recente caso esaminato dall’Autorità, l’amministratore delegato licenziato aveva chiesto all’azienda di disabilitare l’account aziendale, inoltrare i messaggi in arrivo al suo indirizzo personale e attivare un risponditore automatico; la richiesta, formulata ai sensi del GDPR, non è stata esaudita. Al contrario, per circa due mesi le email indirizzate al suo account sono state inoltrate a un altro indirizzo aziendale, superando il limite interno di 30 giorni e determinando accessi indebitamente prolungati anche a contenuti di natura personale.

Dall’istruttoria è emerso che la pratica aziendale aveva comportato non solo la ricezione ma anche la conservazione e la consultazione di messaggi privati: una modalità incompatibile con i principi di liceità, pertinenza e minimizzazione dei dati. Per questo motivo il Garante ha disposto che il lavoratore potesse accedere al proprio account e ha ordinato la cancellazione delle informazioni personali raccolte, comminando una sanzione di 40.000 euro alla società.

La vicenda contiene indicazioni operative chiare per le imprese. Per operare nel rispetto del GDPR, occorre:

Definizione policy aziendaleDefinire in modo trasparente e trasversale una policy aziendale per la gestione delle caselle di posta al termine del rapporto di lavoro;
Comunicazioni legittimamente rilevantiStabilire in modo chiaro e per iscritto quali siano le comunicazioni legittimamente rilevanti per l’azienda, e che quindi potranno essere selettivamente conservate;
Tempi massimi instradamentoIncludere nel protocollo indicazioni precise sui tempi massimi di instradamento, le modalità di accesso limitate e i criteri per la conservazione dei messaggi;
Separazione corrispondena privata e professionaleSeparare, quando possibile, la corrispondenza privata da quella professionale (ad esempio tramite filtri o marcature) e predisporre risposte automatiche che comunichino tempestivamente il nuovo punto di contatto esterno.

Infine, ricordiamo che le richieste del lavoratore soggette al GDPR devono trovare risposta nei termini e con le garanzie previsti dalla legge: il mancato riscontro aumenta il rischio di contestazioni e sanzioni.

Per tutelare la dignità dei lavoratori e ridurre rischi legali e reputazionali, le aziende devono dotarsi di regole chiare e procedure documentate: un approccio trasparente, proporzionato e tracciabile non è solo obbligo normativo, ma anche leva per una gestione più efficiente e rispettosa delle persone.

Contattaci per un check-up dei tuoi protocolli aziendali