Il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati, rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza. Tale garanzia, riconosciuta anche dalla Costituzione, salvaguarda la dignità della persona e il suo pieno sviluppo nelle relazioni sociali.
Lo ha ribadito il Garante per la protezione dei dati personali, che ha inflitto una sanzione di 40mila euro a una società per violazione della segretezza dell’account email di un amministratore delegato dopo la cessazione del rapporto di lavoro.
Nel reclamo presentato al Garante l’amministratore lamentava che, dopo aver ricevuto una lettera di contestazione disciplinare cui è seguito il licenziamento, l’azienda gli aveva negato l’accesso alla propria casella di posta elettronica aziendale, rimasta attiva. Esercitando i propri diritti, aveva chiesto alla società di disabilitare l’account di posta elettronica, di inoltrare i messaggi ricevuti nel frattempo al suo indirizzo email personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo email. Richiesta tuttavia rimasta inevasa sebbene formulata correttamente ai sensi del GDPR.
Nel corso dell’istruttoria, il Garante ha accertato che l’azienda non solo continuava a ricevere le email indirizzate al lavoratore, ma addirittura le inoltrava ad un altro account di posta elettronica aziendale. Una pratica scorretta che si era protratta per circa due mesi, superando il limite di 30 giorni previsto dalle regole interne dell’azienda.
Tale modalità prolungata nel tempo ha determinato l’accesso e la conservazione di email personali, in violazione della normativa privacy. L’Autorità ha pertanto ordinato alla società di consentire al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha disposto la successiva cancellazione, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria.
Nel definire l’ammontare della sanzione, il Garante ha considerato la tipologia e la durata delle violazioni, il mancato riscontro all’istanza di esercizio dei diritti del lavoratore e l’assenza di precedenti violazioni della normativa privacy da parte della società.
