Accesso alle email dell'ex dipendente: attenzione alle sanzioni del Garante Privacy
Con il provvedimento n. 472 del 17 luglio 2024, il Garante per la protezione dei dati personali ha sanzionato una società per aver illecitamente acceduto all'account di posta elettronica di un ex collaboratore dopo la cessazione del rapporto di lavoro. Le violazioni riscontrate sono state molteplici:
▪️Informativa Privacy carente: Non informava in modo chiaro dell'esistenza di un backup sistematico delle email, della loro conservazione per tre anni post-cessazione, né della possibilità per la società di eseguire verifiche sul contenuto. ▪️Violazione dei principi GDPR: La conservazione è stata giudicata eccessiva e sproporzionata rispetto alle finalità dichiarate, violando i principi di liceità, minimizzazione e limitazione della conservazione.
▪️Violazione dell'art. 4 Statuto dei Lavoratori: Il software utilizzato ha permesso un monitoraggio dettagliato, configurando un controllo a distanza vietato.
L'accesso ai dati dell'ex dipendente non è sempre vietato, ma deve essere gestito con estremo rigore. È cruciale predisporre informative privacy complete e specifiche che indichino chiaramente finalità, tempi di conservazione e possibilità di controlli, anche post-cessazione. Il diritto di difesa aziendale deve essere bilanciato con il divieto di controllo a distanza e i diritti del lavoratore. L'accesso deve essere motivato da concrete esigenze (es. contenzioso in atto) e non da ipotesi astratte, per evitare sanzioni anche molto elevate.