Mail aziendale e privacy, occhio alle mail degli ex-dipendenti

Il tema del trattamento dei dati personali e dell’adeguamento al GDPR è spesso sottovalutato dai titolari delle aziende, che non conoscono i reali rischi in cui possono incorrere se violano le norme vigenti.

Le situazioni in cui può essere commesso un illecito sono più di quante si pensi e si verificano ogni qualvolta non venga tutelato il diritto alla privacy di un soggetto, cliente o collaboratore che sia.

Capita, ad esempio, che alcune aziende mantengano attive le mail degli ex-dipendenti dopo la cessazione del rapporto di lavoro, per semplice disattenzione o per mantenere la continuità operativa, pensando magari che questa pratica sia del tutto innocua.

Purtroppo, però, non è così. Secondo quanto stabilito dal Garante della Privacy, al termine del rapporto di lavoro, il datore di lavoro è tenuto a disattivare l'account e-mail aziendale assegnato al dipendente e non può mantenerlo attivo né trasferirlo ad un altro dipendente. In caso contrario, potrebbe incorrere in sanzioni per violazione della privacy. La cancellazione dell’account spetta al datore di lavoro, mentre il dipendente può cancellare solo le mail che, essendo l’account protetto da password, sono dati di sua proprietà.

Come puoi vedere, la questione della privacy delle mail aziendali è piuttosto controversa, per questo fin dall'inizio del rapporto lavorativo è opportuno fornire al lavoratore un'informativa completa riguardante il trattamento dei dati relativi alla sua casella e ciò che è possibile fare o non fare con la mail aziendale.

Il caso di Piacenza: 20.000 euro di multa

È recente la notizia della sanzione ad un’azienda per il trattamento illecito dei dati di due ex-dipendenti. Nel 2022 i due ex-collaboratori hanno presentato un reclamo al Garante della Privacy contro l’azienda che aveva tenuto attivi gli account di posta elettronica dopo la cessazione del rapporto e occasionalmente li aveva consultati.

La controversia si è conclusa a marzo 2024 con una multa di 20.000 euro per il datore di lavoro. A nulla è valso il fatto che la consultazione aveva riguardato solo le mail importanti ai fini dell’operatività aziendale, poiché l’accesso all’account è considerato comunque una violazione.

2024_05_20_mail-aziendale-privacy_multa

Cosa fare in questi casi?

La cosa migliore da fare è chiudere gli account dei collaboratori trascorso un breve periodo dalla cessazione del rapporto di lavoro e nel frattempo impostare un messaggio automatico per notificare ai mittenti la chiusura dell'indirizzo e suggerire indirizzi alternativi. Durante questo periodo, l’accesso alla mail dovrebbe essere impedito. Attenzione però: al datore di lavoro non è consentito implementare un sistema di reindirizzamento automatico per trasferire la posta ricevuta dall'ex dipendente a un altro account, perché sarebbe come mantenere attivo l'account.

La procedura illustrata rientra tra le buone pratiche che permettono di essere in regola con la normativa. Il problema è che molte aziende faticano ad avere la consapevolezza delle potenziali problematiche, ecco perché è importante affidarsi alla consulenza di un esperto in grado di indirizzare l’azienda nelle sue scelte.

Vuoi saperne di più?

Dai un'occhiata ai nostri servizi di consulenza sulla protezione dei dati e la sicurezza informatica.

Da sempre appassionato di calcio, gioca con classe in campo e ancor di più quando si tratta di cybersecurity e sicurezza dei dati informatici, di cui è un grande esperto. È Salvatore, alla guida della nostra squadra IT ormai da 16 anni. Fai due chiacchiere con lui se vuoi valutare lo stato di sicurezza ed efficienza della tua rete aziendale!