Logo Codex Fiscalis
Menu

Email aziendale: illegittimo accedere dopo la cessazione del rapporto di lavoro

Email Azidenale Illegittima

Tabella dei Contenuti

Con il Provvedimento n. 140 del 7 marzo 2024, il Garante per la protezione dei dati personali ha sanzionato una società privata per aver acceduto alle caselle di posta elettronica di ex dipendenti senza fornire adeguate informazioni sull’utilizzo degli account post-cessazione del rapporto di lavoro. Questo provvedimento sottolinea l’importanza di rispettare le normative sulla privacy e i diritti dei lavoratori, specialmente riguardo alla gestione delle informazioni aziendali dopo la cessazione del rapporto di lavoro.

Le informazioni al lavoratore

L’importanza dell’informativa secondo il GDPR

Il GDPR (Regolamento Generale sulla Protezione dei Dati), attraverso l’articolo 13, impone al titolare del trattamento di informare l’interessato sulle caratteristiche essenziali dei trattamenti che intende realizzare, inclusi gli strumenti messi a disposizione durante il rapporto di lavoro. Informare i lavoratori sul trattamento dei loro dati è una pratica fondamentale che risponde ai principi di liceità, correttezza e trasparenza.

Principi di liceità, correttezza e trasparenza

L’informazione completa e dettagliata ai dipendenti è essenziale per rispettare i principi di liceità, correttezza e trasparenza sanciti dal GDPR. Questo significa che i dipendenti devono essere messi a conoscenza di:

  • Quali dati personali verranno trattati.
  • Per quali finalità i dati verranno utilizzati.
  • Come e per quanto tempo i dati verranno conservati.
  • Chi avrà accesso ai dati.
  • Quali misure di sicurezza verranno adottate per proteggere i dati.

Minimizzazione dei dati

Un altro principio fondamentale del GDPR è la minimizzazione dei dati. Questo significa che il datore di lavoro deve trattare solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui vengono trattati. Ad esempio, se un’azienda raccoglie informazioni sui dipendenti, queste devono essere strettamente necessarie per le finalità lavorative e non eccedere mai questi limiti.

Limitazione della conservazione

Il principio di limitazione della conservazione stabilisce che i dati personali devono essere conservati solo per il tempo necessario a raggiungere le finalità per cui sono stati raccolti. Dopo di che, devono essere cancellati o resi anonimi. Ad esempio, i dati di un ex dipendente non dovrebbero essere conservati oltre il termine strettamente necessario per adempiere a obblighi legali o contrattuali.

Trasparenza e informativa chiara

Il GDPR richiede che l’informativa ai dipendenti sia chiara e facilmente comprensibile, evitando linguaggio tecnico e legale complicato. Deve includere:

  • Le finalità del trattamento dei dati.
  • Le basi legali per il trattamento dei dati.
  • I diritti degli interessati, inclusi il diritto di accesso, rettifica, cancellazione e opposizione.
  • I dettagli del titolare del trattamento e, se applicabile, del responsabile della protezione dei dati.

Esempio pratico di informativa

Un’informativa efficace potrebbe essere strutturata così:

  1. Introduzione: Spiegazione generale dello scopo dell’informativa.
  2. Tipi di dati raccolti: Descrizione dei dati personali raccolti e trattati.
  3. Finalità del trattamento: Perché i dati vengono raccolti e come verranno utilizzati.
  4. Basi legali: Le ragioni legali per il trattamento dei dati.
  5. Diritti dei dipendenti: Come possono esercitare i loro diritti in materia di protezione dei dati.
  6. Contatti utili: Informazioni di contatto per il responsabile della protezione dei dati.

Implicazioni per le aziende

Le aziende devono:

  • Disattivare gli account email dei dipendenti alla cessazione del rapporto di lavoro.
  • Informare preventivamente i dipendenti sul trattamento dei dati post-cessazione.
  • Adottare misure automatiche per informare terzi della disattivazione degli account e fornire indirizzi alternativi.
  • Evitare l’accesso ai contenuti delle email dopo la cessazione del rapporto di lavoro, rispettando il principio di minimizzazione e limitazione della conservazione.

Il fatto

Descrizione dell’incidente aziendale

La Centro Riparazioni Piacentino S.p.A. ha mantenuto attivi per mesi gli account email di due ex dipendenti, accedendovi per rispondere a reclami o richieste tecniche dei clienti. Questo accesso è stato giustificato dalla società come necessario per garantire la continuità operativa, ma non è stata fornita adeguata informazione né sono state adottate misure meno invasive per la gestione delle email.

Necessità di continuità operativa

La società ha sostenuto che mantenere attivi gli account email degli ex dipendenti fosse indispensabile per rispondere a comunicazioni importanti dei clienti. Tuttavia, questa pratica ha portato alla violazione della privacy dei lavoratori. Invece di accedere direttamente agli account, l’azienda avrebbe dovuto adottare soluzioni alternative meno invasive, come:

  • Messaggi automatici di risposta: Informare i mittenti della disattivazione imminente degli account e fornire nuovi indirizzi di contatto.
  • Reindirizzamento delle email: Configurare il reindirizzamento delle email a un account generico di assistenza.

Errori commessi dall’azienda

L’azienda non ha attivato messaggi di risposta automatica né ha informato gli ex dipendenti sulla gestione delle loro email post-cessazione. Ha invece acceduto direttamente ai contenuti delle email, violando così diversi principi del GDPR. Questo comportamento è stato giustificato come un disguido dovuto a una carenza di personale, ma non solleva l’azienda dalle sue responsabilità legali.

Impatto della violazione

L’accesso non autorizzato alle email ha potenzialmente esposto informazioni personali e professionali degli ex dipendenti. Anche se l’intenzione era di garantire la continuità operativa, il metodo scelto dall’azienda ha comportato una violazione significativa della privacy. Questo tipo di violazione può avere conseguenze legali e reputazionali per l’azienda, oltre a compromettere la fiducia dei dipendenti attuali e futuri.

Alternative legali e sicure

Per evitare simili violazioni, le aziende devono:

  • Disattivare tempestivamente gli account email degli ex dipendenti.
  • Informare chiaramente i dipendenti sulle politiche di gestione delle email.
  • Implementare misure di sicurezza per proteggere i dati personali anche dopo la cessazione del rapporto di lavoro.
  • Utilizzare soluzioni automatizzate per gestire le comunicazioni post-cessazione senza accedere ai contenuti delle email.

Le contestazioni del Garante Privacy

L’accesso alle email post-cessazione

Il Garante per la protezione dei dati personali ha contestato la pratica della società, che avrebbe dovuto limitarsi a mantenere gli account attivi solo per un periodo limitato, attivando un messaggio automatico per informare i mittenti della disattivazione imminente e fornendo indirizzi email alternativi. L’accesso ai contenuti delle email dopo la cessazione del rapporto di lavoro è stato ritenuto illecito, anche se limitato a determinate comunicazioni.

Raccomandazioni del Garante

Il Garante ha sottolineato che l’accesso ai contenuti delle email degli ex dipendenti deve essere evitato. Invece, la società avrebbe dovuto:

  • Utilizzare risposte automatiche: Per informare i mittenti della disattivazione imminente e fornire nuovi contatti.
  • Configurare il reindirizzamento delle email: A un account generico, evitando l’accesso diretto ai contenuti delle email.
  • Adottare misure proporzionate: Garantendo che le comunicazioni rilevanti venissero gestite senza violare la privacy degli ex dipendenti.

Violazioni specifiche riscontrate

Il Garante ha evidenziato che la società ha violato i principi di minimizzazione e limitazione della conservazione previsti dal GDPR. L’accesso ai contenuti delle email ha permesso alla società di visualizzare non solo le comunicazioni aziendali rilevanti, ma anche potenziali dati personali e privati, il che rappresenta una grave violazione della privacy.

Conseguenze legali

La condotta della società ha portato a una sanzione amministrativa di 20.000 euro e l’obbligo di adottare misure correttive. Questo include la predisposizione di un sistema di disattivazione automatica degli account email e la fornitura di un’informativa chiara e dettagliata ai dipendenti sulle modalità di trattamento dei loro dati personali post-cessazione.

Implicazioni per le aziende

Le aziende devono comprendere l’importanza di:

  • Adottare pratiche trasparenti e conformi al GDPR nella gestione degli account email degli ex dipendenti.
  • Evitare accessi non autorizzati ai dati personali.
  • Fornire informative dettagliate e aggiornate sulle politiche di gestione dei dati.

L’informativa sul trattamento dei dati dei dipendenti

Necessità di una informativa adeguata

L’azienda non ha fornito un’informativa adeguata ai dipendenti riguardo l’accesso agli account email dopo la cessazione del rapporto di lavoro. Il GDPR richiede che l’informativa descriva chiaramente le operazioni di trattamento, in modo che i dipendenti sappiano cosa accadrà ai loro dati personali dopo la fine del rapporto di lavoro.

Contenuti dell’informativa

Un’informativa adeguata deve includere:

  • Le finalità del trattamento: Chiarire perché i dati vengono trattati.
  • Le basi legali del trattamento: Indicare su quali basi giuridiche si fonda il trattamento.
  • I diritti degli interessati: Informare sui diritti di accesso, rettifica, cancellazione e opposizione.
  • Dettagli sul titolare del trattamento: Fornire informazioni di contatto del titolare e del responsabile della protezione dei dati.

Esempio pratico

Una buona pratica potrebbe essere inviare un’informativa dettagliata via email ai dipendenti al momento dell’assunzione, e aggiornarla in caso di modifiche significative nelle politiche di gestione dei dati. L’informativa dovrebbe essere facilmente accessibile, chiara e comprensibile, evitando linguaggio tecnico complicato.

Obblighi del datore di lavoro

Il datore di lavoro deve assicurarsi che i dipendenti comprendano:

  • Come vengono trattati i loro dati personali.
  • Quali misure di sicurezza vengono adottate per proteggere i dati.
  • Come possono esercitare i loro diritti in materia di protezione dei dati.
  • Cosa accade ai loro dati dopo la cessazione del rapporto di lavoro.

Impatto della mancata informativa

La mancata fornitura di un’informativa adeguata può comportare gravi conseguenze legali per l’azienda, inclusa l’imposizione di sanzioni amministrative da parte delle autorità di protezione dei dati. Inoltre, può danneggiare la fiducia dei dipendenti nei confronti dell’azienda e compromettere la reputazione aziendale.

Conclusioni

Per evitare violazioni del GDPR, le aziende devono adottare politiche chiare e trasparenti sulla gestione dei dati personali dei dipendenti. Questo include la fornitura di informative dettagliate e aggiornate, l’adozione di misure di sicurezza adeguate e il rispetto dei diritti dei dipendenti in materia di protezione dei dati.

Logo Codex Fiscalis Negativo Orizzontale

Codex Fiscalis è una piattaforma online specializzata in notizie, guide e consulenze in ambito legale e fiscale, offrendo risorse affidabili per navigare le complessità normative e ottimizzare la gestione fiscale e legale per professionisti e privati.

Link Utili

© 2024 G Tech Group S.R.L.S. – Via di Gagia 22, 38086 Giustino (TN) – P.IVA 02743570224 – REA TN – 246638 – SDI SZLUBAI -PEC gtechgroupsrls@postacert.eu