Ex datore può leggere le email dopo la fine del rapporto di lavoro?

L’ex datore di lavoro può accedere alla mail aziendale del dipendente se il rapporto di lavoro è ormai terminato? Come agire per la violazione della privacy?

Che succede all’email aziendale di un dipendente una volta terminato il rapporto di lavoro? L’azienda può accedere alla casella di posta, leggere i messaggi e conservarli? E se fosse scoperto un illecito dopo il licenziamento, quali sarebbero le conseguenze? Questi interrogativi sollevano importanti questioni legate alla tutela della privacy dei lavoratori, anche dopo il termine del loro impiego. La giurisprudenza e il Garante della Privacy hanno più volte affrontato queste tematiche. In questo articolo, vedremo se e a quali condizioni l’ex datore di lavoro può leggere le email aziendali dopo la fine del rapporto di lavoro.

Analizzeremo le regole stabilite dal Garante, il GDPR (Regolamento Generale sulla Protezione dei Dati) e le best practice per gestire correttamente le email aziendali in caso di cessazione del rapporto di lavoro.

È legale che l’ex capo acceda alle mie email se il lavoro è finito?

L’ex datore di lavoro non può accedere alla mail aziendale del dipendente dopo la cessazione del rapporto di lavoro. Tale accesso costituirebbe una violazione della normativa sulla protezione dei dati personali e del diritto alla riservatezza del lavoratore.

Il Jobs Act consente i controlli delle email del dipendente solo se quest’ultimo è stato previamente avvisato di ciò e ha ricevuto una informativa in cui vengono chiarite le modalità dei controlli.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) impone al datore di lavoro di trattare i dati personali dei dipendenti nel rispetto dei principi di liceità, correttezza e trasparenza, limitando il trattamento ai soli dati necessari e informando gli interessati.

La Corte d’Appello di Milano, nella sentenza n. 504/2020, ha affermato che l’accesso del datore di lavoro alle e-mail aziendali è legittimo solo se i dipendenti sono stati preventivamente informati dell’esistenza di controlli, delle modalità e delle motivazioni.

La Corte Europea dei Diritti dell’Uomo ha ribadito che il controllo delle e-mail aziendali costituisce un’ingerenza nel diritto alla vita privata, ammissibile solo se proporzionata e nel rispetto delle garanzie previste.

Il Tribunale di Torino, con la sentenza n. 5038/2021, ha stabilito che mantenere attivo l’account di posta elettronica di un ex dipendente e accedere alle sue e-mail costituisce un illecito. Dopo la cessazione del rapporto di lavoro, l’azienda deve disattivare l’account e adottare sistemi per informare i terzi della disattivazione, senza accedere ai messaggi. Si tratta cioè di azionare un risponditore automatico per avviare il mittente e chiedergli di spedire il messaggio al nuovo indirizzo aziendale.

Cosa deve fare l’azienda alla cessazione del rapporto di lavoro?

Secondo il Garante della Privacy (provvedimento 7 marzo 2024, n. 140), una volta che il rapporto di lavoro è terminato, l’azienda deve:

• disattivare immediatamente gli account email che erano stati dati in uso al dipendente;
• impostare un messaggio automatico (autorisponditore) che informi i mittenti della cessazione del rapporto e fornisca indirizzi email alternativi;
• cancellare definitivamente gli account dopo un breve periodo (il Garante suggerisce pochi giorni, il tempo necessario per impostare l’autorisponditore);
• informare preventivamente i dipendenti del fatto che l’email resterà aperta per un breve periodo con un risponditore automatico;
• non accedere al contenuto delle mail, salvo nel caso dei controlli difensivi (quelli cioè effettuati dopo l’acquisizione di validi indizi di commissione di illeciti e rivolti a tutelare il patrimonio aziendale).

Il Garante ha chiarito che la necessità di garantire la continuità operativa non giustifica l’accesso indiscriminato alle email degli ex dipendenti. Esistono modalità meno invasive per raggiungere lo stesso scopo (autorisponditore, reindirizzamento temporaneo a un’altra casella, ecc.).

Il Garante ha precisato che anche solo accedere ai dati esteriori delle email (mittente, destinatario, oggetto) costituisce un trattamento di dati personali, soggetto alle regole del GDPR.

Il Garante ha sottolineato inoltre che:

• l’azienda deve fornire un’informativa specifica sul trattamento dei dati personali, ai sensi dell’art. 13 del GDPR;
• questa informativa deve essere fornita prima che il trattamento inizi;
• non basta che i dipendenti siano genericamente a conoscenza delle prassi aziendali; è necessaria un’informativa dettagliata e trasparente.

Il consenso del dipendente può giustificare l’accesso all’email aziendale?

Il diritto alla privacy dei dipendenti è “indisponibile”: non può essere oggetto di rinuncia, neanche dietro espressa autorizzazione degli interessati. Pertanto, il consenso del dipendente alla lettura delle proprie email non è sufficiente per rendere legittimo il trattamento dei dati dopo la cessazione del rapporto di lavoro; si presume infatti che il lavoratore non sia in una posizione di reale libertà a causa dello squilibrio di potere con il datore di lavoro.

L’ex dipendente può chiedere il risarcimento del danno?

Immagina questa scena: hai lasciato il tuo vecchio lavoro, magari non in ottimi rapporti. Settimane dopo, scopri che il tuo ex capo ha ficcanaso nella tua vecchia casella email aziendale. Shock, rabbia, violazione. Ti senti spiato, e a ragione. Ma puoi ottenere un risarcimento? La risposta è: dipende.

La Corte di Cassazione, con l’ordinanza 16402/2021, ha ribadito un concetto fondamentale: il danno da violazione della privacy (e questo include l’accesso illecito all’email) non è “in re ipsa” cioè non è automatico. Non basta quindi dimostrare che l’azienda ha sbagliato. Bisogna dimostrare di aver subito un danno concreto.

Spieghiamolo in parole semplici. “In re ipsa” significa “nella cosa stessa”. In diritto, questo vorrebbe dire che il danno è automatico, implicito nella violazione. Se ti rompo un vetro, il danno è in re ipsa: il vetro è rotto, punto.

Ma per la privacy (e quindi per le email violate) non è così. Non basta dire: “Hanno letto le mie email, quindi sono danneggiato!”. Devi dimostrare in che modo questa violazione ti ha danneggiato.

Facciamo l’esempio tratto dalla sentenza in commento.

Un uomo, vittima di un agguato, fa causa all’INPS perché l’istituto aveva fornito informazioni sulla sua vita lavorativa agli aggressori (durante le indagini difensive per un processo penale). L’uomo sosteneva che questo gli aveva causato sofferenza.

La Cassazione ha detto: non basta. Dire “ho sofferto” non è sufficiente. Bisogna spiegare perché e come quelle informazioni, rese pubbliche, hanno causato un danno concreto.