Un lavoratore può accedere alle email del proprio account aziendale e ai documenti presenti nel pc utilizzato durante il rapporto di lavoro anche dopo la cessazione dell’impiego. È il principio affermato dal Garante per la protezione dei dati personali, che ha accolto il reclamo presentato da un ex dipendente di una compagnia assicurativa.

L’uomo aveva chiesto copia dei messaggi contenuti nella propria casella di posta elettronica aziendale e dei documenti salvati sul computer in uso. La risposta ricevuta, però, non è stata ritenuta conforme alla normativa. Da qui l’intervento dell’Autorità, che ha chiarito come il diritto di accesso ai dati personali non possa essere compresso con criteri discrezionali adottati unilateralmente dal datore di lavoro.

La società aveva selezionato solo le email ritenute personali

Secondo quanto emerso, la compagnia assicurativa aveva effettuato un accesso alla casella di posta elettronica dell’ex dipendente e, dopo averne esaminato il contenuto, aveva consegnato esclusivamente i messaggi ritenuti “strettamente personali”, escludendo invece quelli collegati all’attività lavorativa.

È proprio questo il punto su cui il Garante è intervenuto in modo netto. L’Autorità ha infatti affermato che il diritto di accesso riguarda tutti i dati personali dell’interessato, comprese le comunicazioni scambiate attraverso un account aziendale individualizzato. Non è quindi legittimo procedere a una selezione preventiva dei contenuti da consegnare, né limitarli o oscurarli sulla base di una distinzione tra ambito personale e professionale.

Le limitazioni solo in casi specifici e motivati

Il provvedimento chiarisce anche che eventuali limitazioni all’accesso possono esistere, ma solo se sostenute da specifiche e comprovate ragioni, come per esempio la tutela di segreti aziendali. Non basta, dunque, un richiamo generico all’interesse dell’impresa o una valutazione interna non adeguatamente motivata.

Il principio fissato dal Garante è destinato ad avere un peso rilevante nei rapporti tra lavoratori ed aziende, perché ribadisce che l’uso di strumenti aziendali individualizzati non cancella il diritto della persona a conoscere e ottenere i propri dati personali.

Le criticità rilevate dal Garante sulla gestione dei dati

Oltre al mancato accesso integrale ai dati richiesti, il Garante ha rilevato altre criticità nella gestione delle informazioni personali da parte della società. In particolare, nel mirino sono finite la mancanza di trasparenza nelle informative e i tempi di conservazione dei dati.

Secondo l’Autorità, la conservazione delle email per cinque anni e dei dati di navigazione per dodici mesi non è risultata proporzionata rispetto alle finalità dichiarate. Un rilievo che rafforza il giudizio negativo sul sistema complessivo di gestione dei dati adottato dall’azienda.

Multa da 50mila euro alla compagnia assicurativa

Per le violazioni accertate, il Garante ha inflitto alla compagnia assicurativa una sanzione da 50mila euro. Non solo. L’Autorità ha anche ordinato alla società di consentire l’accesso integrale ai dati richiesti dall’ex dipendente e di adeguare informative e policy interne alla normativa privacy.