Utilizzo delle Caselle Mail Aziendali e Tutela dei Dati Personali

Breve focus su disciplina, provvedimenti e interpretazioni

La gestione delle caselle mail aziendali, soprattutto a seguito della cessazione di un rapporto di lavoro, è da sempre un tema molto delicato sotto diversi punti di vista.

Sotto il profilo della privacy, se le mailbox personali sono sicuramente inaccessibili, nell’ambito di un rapporto di lavoro rimane molto più controverso il perimetro delle attività consentite al datore di lavoro, nonché degli obblighi a cui lo stesso si deve adeguare.

In costanza di rapporto, è sicuramente necessario che il Titolare informi preventivamente il proprio personale sul trattamento dei dati personali che viene effettuato per il tramite degli strumenti aziendali, incluse le caselle di posta elettronica, nonché sulle procedure che vengono adottate anche a seguito dell’interruzione del rapporto.

Come precisa anche l’art. 13 del Regolamento (UE) n. 679/2016 (“GDPR”), è fondamentale che sin dall’inizio del rapporto di lavoro venga consegnata un’informativa chiara e trasparente in merito al trattamento dei dati personali connesso al rapporto contrattuale.

Tema sicuramente più caldo, però, è quanto sia possibile fare a seguito della cessazione di un rapporto di lavoro o di collaborazione. Sul punto, è intervenuta diverse volte anche l’Autorità Garante, la quale ha sancito in modo netto che gli account aziendali riferiti a persone identificate o identificabili, a seguito del rapporto, devono essere cancellati, previa disattivazione degli stessi e adozione di sistemi di risposta volti ad informare i terzi della chiusura della casella e a fornire nuovi recapiti, introducendo anche accorgimenti tecnici volti a impedire la visualizzazione medio tempore dei messaggi in arrivo.

Diversamente, laddove ad esempio un account sia solo disattivato e non cancellato, salve effettive esigenze superiori quali la tutela di un diritto in sede giudiziale e nei limiti di legge, il trattamento sarà illecito.

Di contro, l’esigenza sicuramente preponderante del Titolare di assicurare l’interesse e la continuità aziendale potrà essere soddisfatta tramite l’adozione di specifici disciplinari interni sull’utilizzo della posta e di sistemi di gestione documentale.

Un’ulteriore alternativa potrebbe poi altresì essere rappresentata dall’adozione di account di posta generici (del tipo “info@”), accompagnati con l’implementazione a livello interno di disciplinari contenenti le relative regole di accesso e utilizzo.

Peraltro, vale la pena precisare che, fermi in ogni caso i diritti dell’interessato, poiché la mailbox è uno strumento aziendale, la persona assegnataria rimane sempre e comunque responsabile del suo corretto utilizzo. Inoltre, a seguito della cessazione del rapporto di lavoro, anche il dipendente o il collaboratore cessato stesso non potrà più accedere alla propria vecchia casella.

Sulla linea di tutto quanto precede, il Garante Privacy ha sempre dimostrato un forte interesse per la tematica, sostenendo l’esigenza di un bilanciamento costante tra interessi del dipendente e della società onde definire entro quali limiti la gestione delle caselle mail aziendali è lecita.

Con l’ordinanza n. 9861827 dell’11 gennaio 2023, il Garante ha ad esempio ribadito la necessità di disattivazione del account mail aziendale del soggetto cessato, senza possibilità di riaccesso. Già nel 2015, a ben vedere, l’Autorità aveva già evidenziato l’importanza di garantire la cancellazione dell’account con modalità volte ad inibire la definitiva ricezione in entrata di messaggi, nonché la conservazione degli stessi sui server aziendali (si veda Provvedimento n. 136 del 5 marzo 2015).

In tempi recentissimi, il Provvedimento n. 140 del 7 marzo 2024 del Garante ha poi rimarcato come sia illegittimo mantenere attivi gli account di posta elettronica degli ex dipendenti e farvi accesso senza peraltro aver mai adottato e diffuso, in modo preventivo, un’informativa adeguata e senza aver mai posto in essere le necessarie misure minime volte a garantire la riservatezza e la tutela dei dati personali degli interessati.

In definitiva, l’interpretazione della normativa in materia e degli interventi dell’Autorità Garante in materia di caselle mail aziendali sottolinea alcuni importanti punti chiave, tra cui soprattutto l’esigenza di contemperare gli interessi della continuità aziendale e della tutela della riservatezza degli interessati, così come l’importanza di rendere informative chiare e dettagliate circa il trattamento dei dati effettuati in costanza e a seguito del rapporto, il tutto sempre rispettando i principi di minimizzazione e proporzionalità rispetto ai trattamenti dei dati personali effettuati.