Lo afferma il Garante Privacy con il provvedimento n. 140 del 7 marzo 2024, il quale conferma che l’accesso alla corrispondenza elettronica su un account aziendale individualizzato (nomedeldipendente@nomeazienda.xx) configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato.
Il Garante ha censurato la condotta del datore il quale “invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro”.
Il datore non può quindi accedere in nessun caso alla casella dell’ex dipendente ed il trattamento dei dati in essa contenuti, quand’anche giustificato dalla ricerca di comunicazioni importanti, non può considerarsi lecito.
Il Garante precisa che anche i dati esteriori delle comunicazioni stesse e i files allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).
Cosa può/deve fare quindi il datore di lavoro per tutelare la sua azienda?
Oltre alla creazione di un sistema di inoltro dei messaggi di posta, è necessario che si adottino misure idonee ad impedire l’accesso ai messaggi in arrivo e la visualizzazione degli stessi durante il periodo in cui tale sistema automatico sia in funzione (cfr. doc. web n. 9978536; doc. web 9215890; doc. web n. 8159221).
Qui il testo integrale del provvedimento