GDPR e Email Aziendali: cosa fare quando un collaboratore Lascia l’Azienda
Di recente, il Garante per la protezione dei dati personali ha affrontato un caso interessante riguardante l’uso delle caselle email di due ex dipendenti da parte di un’azienda. Vi consigliamo di dare un’occhiata al provvedimento (qui il pdf), poiché potrebbe avere ripercussioni importanti per chiunque gestisca email aziendali, specialmente quando un collaboratore lascia l’azienda.
Il provvedimento del Garante della Privacy n. 140 del 7 marzo 2024 riguardante la gestione dei dati aziendali post-cessazione del rapporto di lavoro, ha sanzionato una società che, per garantire la continuità operativa, ha mantenuto attivi gli account email di ex dipendenti anche dopo la fine del loro impiego, senza però conformarsi alle norme di protezione dei dati personali. Tale pratica è stata giudicata illecita poiché non rispettava i principi di liceità e minimizzazione dei dati raccolti. Il Garante ha quindi richiesto modifiche alle procedure di gestione dei dati per prevenire accessi non autorizzati e ha imposto una sanzione amministrativa per la violazione delle normative GDPR.
La posizione del Garante impone una riflessione su pratiche ormai consolidate nell’ambito della gestione della posta elettronica aziendale, che anche se conformi alla normativa sul diritto del lavoro potrebbero non esserlo dal punto di vista della privacy.
Il rispetto della privacy innanzitutto
Come azienda che eroga servizi IT, spesso ci troviamo a compiere azioni che rientrano nel cosiddetto “trattamento” dei dati.
È importante per Digibyte porre la massima attenzione al rispetto della privacy, e riflettere attentamente su quanto sia legittimo ciò che ci viene chiesto di fare. Lo stesso dovrebbe valere per voi, i nostri clienti.
Nel dubbio, seguite le regole del Garante
Vi ricordiamo che il Garante per la protezione dei dati personali è l’autorità principale su tutto ciò che riguarda la privacy. Detto ciò, potrebbero esserci situazioni in cui la normativa sulla privacy diverge rispetto ad altre leggi, come quelle sul diritto del lavoro. Ad esempio, una azienda (o una persona) potrebbe avere il diritto di negare l’accesso alla propria email secondo il GDPR, ma essere in torto secondo la normativa sul diritto del lavoro.
Pertanto, è sempre importante ricordare che, nell’ambito del trattamento dei dati, seguire regole di base come necessità, correttezza e trasparenza (vedi le “Linee guida del Garante per email e Internet del 10 marzo 2007”) è una buona prassi e rimane essenziale.