Non si tratta solo di bit e byte: il contenuto delle email, i dati di contatto e gli allegati sono a tutti gli effetti “corrispondenza”. Come tale, godono della tutela del diritto alla segretezza, una garanzia sancita dalla Costituzione italiana.
Questa protezione non è un semplice tecnicismo burocratico, ma un pilastro volto a salvaguardare la dignità della persona e il suo diritto a sviluppare relazioni sociali senza indebite intrusioni.
Il Garante per la protezione dei dati personali ha recentemente ribadito questo principio, intervenendo con fermezza contro le pratiche scorrette di gestione degli account email post-licenziamento.
Il caso: l’ex amministratore delegato e l’account “sequestrato”
La vicenda nasce dal reclamo di un ex amministratore delegato di una società. Dopo aver ricevuto una contestazione disciplinare seguita dal licenziamento, l’uomo si era visto negare l’accesso alla propria casella di posta elettronica aziendale, che era però rimasta operativa.
Nonostante l’ex dirigente avesse formulato correttamente le proprie richieste ai sensi del GDPR, l’azienda è rimasta inerte di fronte alle seguenti istanze:
- Disattivazione immediata dell’account.
- Inoltro dei messaggi in arrivo al suo indirizzo personale.
- Attivazione di una risposta automatica per informare i mittenti del nuovo recapito.
L’istruttoria: oltre i limiti delle regole interne
L’intervento del Garante ha portato alla luce una condotta ancora più grave. L’azienda non si era limitata a ignorare le richieste del lavoratore, ma aveva impostato un inoltro automatico di tutte le email in entrata verso un altro account aziendale.
Questa pratica è durata circa due mesi, violando persino il regolamento interno della stessa società, che prevedeva un limite massimo di conservazione e gestione di soli 30 giorni.
Tale comportamento ha permesso all’azienda di accedere e conservare comunicazioni potenzialmente personali, configurando una palese violazione della normativa sulla privacy.
Le conseguenze: sanzione e ordini dell’Autorità
Alla luce delle violazioni riscontrate, il Garante ha adottato misure severe:
- Sanzione pecuniaria: Alla società è stata inflitta una multa di 40.000 euro.
- Accesso ai dati: È stato ordinato all’azienda di consentire immediatamente all’ex lavoratore l’accesso al proprio account.
- Cancellazione: L’account dovrà essere rimosso definitivamente, fatta eccezione per i soli documenti necessari alla tutela dei diritti in sede giudiziaria.
I criteri della multa: perché 40mila euro?
Per stabilire l’entità della sanzione, l’Autorità ha bilanciato diversi fattori. Da un lato, la durata della violazione e il totale silenzio dell’azienda di fronte ai diritti esercitati dal lavoratore hanno pesato negativamente.
Dall’altro, il Garante ha tenuto conto dell’assenza di precedenti violazioni da parte della società nel definire il calcolo finale.
