Il caso è semplice, ma la decisione del Garante appare chiara e sintomatica di come si vada verso una sempre maggiore ed uniforme tutela dei dati nella quale l’Interessato è il vero centro motore, proprio così come voluto dal GDPR.  Un ex dipendente viene a conoscenza del fatto che il suo account mail lavorativo, formato da nome e cognome con l’estensione della denominazione usata dall’azienda, era rimasto attivo dopo la cessazione del rapporto di lavoro senza che ne fosse stato portato a conoscenza e senza che avesse avuto la possibilità di autorizzare l’azienda a mantenerlo. Conseguenza, l’azienda poteva accedere ai suoi messaggi di posta che potevano provenire da clienti dell’azienda, ma anche da terze parti. Per questo motivo sporgeva reclamo al Garante.

La difesa dell’azienda si basava sul fatto che il dipendente non aveva informato i clienti dell’azienda, sulla considerazione che non erano stati aperti messaggi personali e, infine, sul fatto che la ricezione delle mail inviate all’azienda era indispensabile ai fini della gestione dei rapporti commerciali. L’azienda sosteneva inoltre che il dipendente era stato reso edotto verbalmente che si trattava di prassi aziendale e che, vigente all’epoca il D. LGS. 196/2003, non erano necessarie altre misure.

Su quest’utimo punto il Garante ha mosso le prime censure, ed ha rilevato che “il titolare è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro, ciò anche in applicazione del principio di correttezza (v. artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, criteri peraltro confluiti negli artt. 5, par. 1, lett. a) e 13 del Regolamento)”. Si tratta di un principio fondamentale che si ritiene dovrà essere tenuto presente nelle privacy policy aziendali e nelle informative da predisporre per i dipendenti. Il Garante non ha poi mancato di rilevare come la mancata apertura di mail personali non sia un’esimente, in quanto le stesse contenevano riferimenti ad attività, gusti, interessi del cliente; ergo tutti elementi che permettevano una profilazione, se non addirittura la piena individuazione, oltre al fatto che la mai indicava nome e cognome.

Il Garante ha quindi ritenuto che fosse preciso compito dell’azienda quello di rimuovere l’account, avendo in ogni caso la stessa un dovere, oltre che un onere, di informare clienti e terzi, anche con sistemi automatici, dei nuovi recapiti dell’ormai ex dipendente. Un sistema fattibile e che contempera le necessità aziendali dell’azienda con quelle di privacy del dipendente, che ha una legittima aspettativa sulla riservatezza delle proprie comunicazioni.

Infine, preso atto che l’account era stato disattivato dopo la proposizione del reclamo e che non poteva entrare ulteriormente nel merito del caso, il Garante non si è fatto sfuggire l’occasione per dichiarare che il mantenimento di un account mail aziendale dopo la cessazione di un rapporto di lavoro, sia illecito nei termini esposti, in presenza di altri strumenti che permettono di tutelare gli interessi di entrambe le parti.