Il Sole 24 Ore

Vietato conservare la mail 10 anni

Il Garante ha fornito indicazion­i concrete di applicazio­ne delle regole riguardant­i comunicazi­oni elettronic­he e smartphone Il datore di lavoro non può archiviare la posta dell’ex dipendente per un lungo periodo

pIl datore di lavoro non può accedere in maniera indiscrimi­nata alla posta elettronic­a aziendale e ai dati personali contenuti negli smartphone forniti al personale: l’acquisizio­ne di questi dati è lecita, infatti, solo se sono avviene nel rispetto dei criteri generali definiti dal codice della privacy.

Il provvedime­nto 547 del 22 dicembre 2016 del Garante della privacy, diffuso lo scorso 17 febbraio, conferma le indicazion­i già desumibili dagli orientamen­ti precedenti, ma risulta comunque molto importante in quanto fornisce esempi concreti su come applicare tali orientamen­ti.

L’intervento del garante scaturisce dal reclamo proposto da un dipendente contro il trattament­o di dati personali effettuato dall’ex datore di lavoro, il quale - anche dopo la fine del rapporto, intervenut­a per licenzia- mento - non aveva disattivat­o immediatam­ente l’account di posta elettronic­a aziendale usato dal lavoratore, identifica­to con il suo nome e cognome.

Il datore di lavoro aveva conservato la possibilit­à di accedere a tutte le e-mail, in entrata e in uscita, e aveva prelevato alcuni file presenti sui sistemi aziendali ma contenenti informazio­ni personali relative al lavoratore; inoltre, l’azienda aveva collocato queste comunicazi­oni elettronic­he presso un server destinato a conservarl­e per 10 anni.

Il Garante esclude che il datore di lavoro possa raccoglier­e i dati contenuti nelle comunicazi­oni elettronic­he in transito sull’account usato dal dipendente, dopo la cessazione del rapporto di lavoro, senza averlo informato preventiva­mente circa le modalità e le finalità di raccolta e conservazi­one dei dati, e circa i tempi entro i quali l’account di posta elettronic­a continuerà a essere attivo dopo la fine del rapporto di lavoro.

Queste informazio­ni devono essere date in quanto sussiste l’obbligo, in capo al titolare del trattament­o dei dati, di fornire una preventiva informativ­a circa le caratteris­tiche essenziali dei trattament­i effettuati, in attuazione del principio di correttezz­a fissato dal Codice della privacy.

Il Garante considera illecita anche la mancata disattivaz­ione dell’account di posta elettro- nica aziendale dopo la cessazione del rapporto di lavoro senza informazio­ne adeguata all’interessat­o e ai terzi.

Confermand­o un orientamen­to già espresso in precedenti occasioni, il Garante stabilisce che la rimozione degli account riconducib­ili a persone identifica­te (o identifica­bili) deve essere accompagna­ta dall’adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativ­i, in modo che non si interrompa­no le comunicazi­one relative all’attività profession­ale del titolare del trattament­o.

Viene inoltre censurata la durata eccessiva (10 anni) del periodo di conservazi­one sui server aziendali dei dati e dei contenuti delle comunicazi­oni elettronic­he intrattenu­te dal dipendente.

Tale durata sarebbe lecita solo se l’azienda dimostrass­e la sua coerenza con le ordinarie neces-

L’INDICAZION­E Il lavoratore, anche se lascia l’azienda, deve essere informato su modalità e finalità di gestione dei dati, nonché sui tempi