La gestione e conservazione degli indirizzi e-mail aziendali, in particolare quelli appartenenti a ex dipendenti, è una tematica di grande rilevanza per le aziende. Infatti, spesso ci si chiede se sia lecito reindirizzare le e-mail destinate a un ex dipendente all’indirizzo di un altro dipendente e se sia possibile conservare il contenuto della casella di posta dell’ex dipendente per evitare la perdita di comunicazioni importanti per l’attività aziendale.
Il Garante italiano per la Protezione dei Dati Personali ha affrontato questa problematica con diversi provvedimenti, chiarendo i limiti tra l’uso professionale e personale della posta elettronica. Talvolta, infatti, le e-mail aziendali possono contenere dati personali ed è pertanto necessario bilanciare la tutela di tali dati con le esigenze operative della società.
Quadro normativo di riferimento
Il Garante ha affrontato la questione già nel 2007, pubblicando delle linee guida specifiche per l’uso della posta elettronica e internet sul luogo di lavoro, stabilendo che i dipendenti debbano essere informati sul trattamento dei loro dati personali. Le linee guida promuovono misure per prevenire l’uso improprio della posta elettronica e prevedono l’adozione di sistemi di risposta automatica in caso di assenze programmate. Inoltre, il provvedimento impone limitazioni alla conservazione delle e-mail tramite sistemi di cancellazione automatica.
Successivamente, il Garante ha precisato che alla cessazione del rapporto di lavoro, la casella di posta elettronica dell’ex dipendente deve essere disattivata e deve essere implementato sistema che generi un messaggio automatico informando che l’indirizzo mail non è più operativo.
Inoltre, con il provvedimento n. 216/2019, il Garante ha ribadito l’obbligo del datore di lavoro di cancellare l’account aziendale di posta elettronica alla fine del rapporto di lavoro, criticando la prassi diffusa di utilizzare le caselle di posta elettronica come archivi di documentazione aziendale per lunghi periodi, in quanto una conservazione prolungata delle e-mail non è proporzionata alle finalità dei servizi di posta elettronica né conforme ai requisiti minimi di sicurezza
Obblighi del datore di lavoro
Alla luce dei provvedimenti del Garante, il datore di lavoro è tenuto a disattivare l’account e-mail aziendale assegnato al dipendente in occasione della cessazione del rapporto di lavoro. Questo processo dovrebbe avvenire con la massima trasparenza, possibilmente alla presenza del dipendente, per evitare contestazioni relativamente all’utilizzo dell’account dopo la cessazione del rapporto e permettergli di salvare eventuali informazioni non legate all’attività lavorativa di suo interesse (quali inviti su Linkedin o a eventi culturali). Il datore di lavoro dovrebbe contestualmente impostare un messaggio automatico che avvisi della chiusura dell’indirizzo e inviti a contattarne uno alternativo. Infine, trascorso un periodo di tempo adeguato dovrà eliminare definitivamente l’account dell’ex dipendente.
Il datore di lavoro non potrà attuare un sistema di reindirizzamento automatico della posta destinata dall’ex dipendente ad un altro account, in quanto sarebbe necessario mantenere l’account attivo successivamente alla cessazione del rapporto di lavoro e il terzo potrebbe venire a conoscenza di informazioni personali destinate all’ex dipendente, pregiudicando la privacy di quest’ultimo.
Resta inteso che sarà ad esempio possibile conservare le e-mail per ragioni sicurezza e di tutela dei diritti in sede giudiziaria, qualora vi siano contenziosi in atto nei confronti di terzi o con riferimento a situazioni precontenziose, non puramente astratte, escludendo comunque una conservazione massiva delle stesse. Il datore di lavoro deve conservare esclusivamente le e-mail strettamente necessarie, dovendo essere sempre in grado di motivare tale scelta.
Misure di compliance
Ogni azienda, per gestire al meglio questa situazione dovrebbe adottare strumenti e procedure che garantiscano il rispetto della normativa, tra cui:
- una procedura interna sull’archiviazione dei documenti: tale procedura dovrebbe prevedere che tutti i documenti e le comunicazioni necessarie a garantire la continuità aziendale vengano sistematicamente salvate in repository individuati dalla società, rendendo non necessario effettuare un back-up massivo delle comunicazioni elettroniche sui server aziendali in occasione della cessazione del rapporto di lavoro di un dipendente;
- una procedura sull’utilizzo degli indirizzi e-mail aziendali e del servizio di posta elettronica,
- un sistema di cancellazione automatica dei messaggi.
Inoltre, l’informativa privacy fornita al dipendente in occasione dell’assunzione dovrà specificare i tempi di conservazione dei dati all’interno degli account aziendali nonché le finalità e le modalità di accesso e di controllo delle caselle di posta elettronica, chiarendo che gli account possono essere utilizzati esclusivamente per scopi connessi all’attività professionale.
Conclusione
La conservazione dei dati personali nella gestione della posta elettronica deve rispettare i principi di minimizzazione, necessità e limitazione della conservazione stabiliti dal regolamento (UE) 2016/679. È pertanto compito del datore di lavoro garantire un bilanciamento tra la protezione dei dati personali dei dipendenti e le esigenze aziendali, assicurando la conformità alla normativa e la tutela della privacy.