Lavori & Tecnologie

I MERCOLEDÌ DELLA PRIVACY: il dipendente dell’amministratore si licenzia, che fare con la sua mail?

di Carlo Pikler

La gestione della mail da parte del dipendente comporta una serie di obblighi in capo all'amministratore titolare di Studio verso il quale il collaboratore svolge la propria attività lavorativa.

In base all'art. 29 GDPR, sta al titolare del trattamento (che nel caso che ci interessa è il titolare dello studio di amministrazione) formare i propri dipendenti, istruendoli in maniera idonea e continuativa in relazione allo svolgimento delle proprie mansioni in ottemperanza agli obblighi dettati dal GDPR.

In tal senso, il dipendente / collaboratore dello Studio di amministrazione deve avere ben presenti i punti cardine che sono a fondamento della normativa sul trattamento dei dati personali, quali ad esempio cosa sia un trattamento di dati e cosa significa dato personale e particolare (art. 4 GDPR); cosa si intende per misure adeguate al rischio e quali di queste ha deciso di attuare lo studio di amministrazione; quali sono le procedure tecniche ed organizzative che interessano il collaboratore in relazione a ciò che gli compete per l'espletamento delle proprie attività.

I sistemi a disposizione
Un capitolo a parte merita il discorso dell'uso dei sistemi informatici messi a disposizione del collaboratore dal titolare di Studio.

In quest'ambito, il rischio in relazione ad eventuali illeciti trattamenti dei dati sono molteplici e, pertanto, devono essere implementate delle procedure tecnologiche specifiche, tali da consentire la mitigazione del rischio per i diritti e le libertà degli interessati (come recita in più passi il GDPR).

Il provvedimento
Sul punto è intervenuto un recentissimo provvedimento del Garante, secondo il quale, devono prevedersi dello particolari procedure laddove il collaboratore, titolare di un account professionale di posta elettronica, smette di prestare la propria attività lavorativa per l'amministratore.

Il Provvedimento del 4/12/2019 [doc. web. 9215890] , era stato incardinato dall'ex dipendente, il quale con ricorso dinanzi al Garante per la protezione dei dati personali, contestava al datore di lavoro la mancata disattivazione della email aziendale a lui intestata e l'accesso ai messaggi ricevuti sul suo account.

L'interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dal suo ex datore di lavoro, avendo quest'ultimo depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio.

Nel corso dell'istruttoria effettuata, gli ispettori del Garante hanno verificato che l'account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro e che era poi stato eliminato solo a seguito di una specifica diffida presentata dal lavoratore.

Durante tutto il periodo antecedente alla cancellazione “forzosa” il datore di lavoro aveva avuto accesso alle comunicazioni che erano pervenute nell'account in questione, alcune delle quali risultavano essere anche estranee all'attività lavorativa del dipendente.

Il comportamento tenuto dall'ex datore di lavoro, secondo Il Garante era da considerarsi contrario al principio della riservatezza dell'ex lavoratore e, pertanto, da considerarsi illecito.

Nel provvedimento in questione poi, come di solito avviene in casi analoghi da parte dell'Autorità, il Garante ha anche dettato le regole da seguire laddove, un qualunque datore di lavoro, dovesse trovarsi ad affrontare fattispecie similari.

Le tre procedure
È così che lo Studio di amministrazione, nel momento in cui un proprio collaboratore cessi di svolgere l'attività lavorativa, deve rimuovere gli account di posta elettronica riconducibili a un dipendente / collaboratore, deve adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e deve introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

Si tratta quindi di tre procedure standardizzate che vanno integrate all'interno delle policy di studio, per dimostrare il rispetto del principio dell'accountability.

«L'adozione di tali misure tecnologiche - ha spiegato il Garante - consente di contemperare l'interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi».

Lo scambio di email con altri dipendenti o con persone esterne all'ambiente lavorativo consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Per saperne di piùRiproduzione riservata ©