La casella di posta elettronica del dipendente, quando il rapporto di lavoro è cessato, non può più essere mantenuta attiva da parte del datore di lavoro e i dati personali riferibili al lavoratore devono essere cancellati.

E’ quanto ha precisato il Garante per la protezione dei dati personali, con il provvedimento n. 547/2016.

Il caso riguardava un ex dipendente di una società, il quale si era rivolto all’Autorità lamentando il fatto che l’azienda aveva volato la propria privacy continuando a mantenere attiva la propria casella di posta elettronica anche dopo il licenziamento, conservando per 10 anni tutta la corrispondenza, anche personale, del lavoratore.

Inoltre, il lavoratore affermava di non essere stato informato da parte dell’azienda del fatto che sia le mail, sia i files di qualsiasi tipo (fotografie, video ecc.) conservati sul cellulare aziendale in dotazione, fossero sottoposti ad attività di controllo da parte della società e conservati su server aziendale tramite backup.

L’ex dipendente aveva quindi chiesto all’Autorità di disporre il divieto dell’azienda di trattare i propri dati personali e di ordinare la cancellazione definitiva degli stessi.

L’azienda, dal canto suo, sosteneva di aver mantenuto attiva la casella di posta elettronica al fine di garantire l’operatività aziendale e la comunicazione ai terzi della avvenuta cessazione del rapporto di lavoro. La società, inoltre, aveva dichiarato di aver provveduto a cancellare definitivamente la casella di posta elettronica del dipendente entro 6 mesi dalla data di licenziamento, limitandosi a tenere archiviati i messaggi di posta sul server aziendale.

Il Garante della privacy, all’esito dell’istruttoria, ha ritenuto non conforme ai principi in materia di trattamento dei dati personali (necessità, pertinenza e non eccedenza), sia il mantenimento della casella di posta elettronica per 6 mesi dopo la cessazione del rapporto di lavoro, sia la conservazione su server aziendale di tutte le mail del dipendente per 10 anni.

Secondo il Garante, si tratta di tempi non commisurati alla necessità di gestione dei servizi di posta elettronica, né giustificabili da esigenze di sicurezza dei sistemi, esigenze che in ogni caso l’azienda non aveva esplicitato.

La raccolta di tutte le comunicazioni transitate sull’account aziendale e la conservazione di tali dati per 10 anni, contrasta inoltre con le disposizioni in materia di controlli a distanza dei lavoratori, che non consentono il controllo prolungato ed indiscriminato dell’attività del dipendente.

Il Garante ha sottolineato che il datore di lavoro deve salvaguardare la libertà e la dignità dei lavoratori, ciò che implica anche l’obbligo di informarli – con adeguata policy – in merito alle modalità di utilizzo degli strumenti aziendali ed alla possibilità che i propri dati siano sottoposti a controllo, sempre che tale attività sia contenuta entro i limiti imposti dalle disposizioni di legge.