Disciplina generale

L’importante tema del trattamento dei dati personali del lavoratore da parte del datore di lavoro ha da sempre interessato il Garante UE della protezione dei dati (il c.d. “Gruppo di lavoro – Articolo 29”), che con il parere 8/2001 ha chiarito come applicare la direttiva 95/46/EC (c.d. “Direttiva Privacy”) su questo specifico argomento.

In particolare, il parere si sofferma sul trattamento dei dati personali del lavoratore effettuato mediante gli strumenti aziendali che il datore di lavoro fornisce ai propri dipendenti, quali account di posta elettronica, PC, Smartphone e tablet.

In ambito nazionale, sul medesimo tema, il Garante Privacy, con delibera 13 del 1 marzo 2007, ha adottato delle linee guida per l’utilizzo della posta elettronica e della rete internet nei rapporti di lavoro. Il documento fornisce utili riferimenti per consentire ai datori di lavoro di bilanciare il loro legittimo interesse al buon andamento dell’attività aziendale con il diritto alla privacy dei lavoratori dipendenti e la loro libertà da controlli e monitoraggi costanti sul posto di lavoro.

Lo Statuto dei Lavoratori (Legge 300/1970) è stato recentemente modificato dal Jobs Act (Decreto Legislativo 151/2015), nella parte relativa al divieto dei controlli a distanza dei dipendenti (articolo 4 dello Statuto). L’intervento normativo, pur mantenendo in vita il divieto assoluto del controllo a distanza dei lavoratori da parte del datore, ha semplificato la procedura che consente a quest’ultimo di effettuare controlli sugli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze senza il previo accordo con le rappresentanze sindacali o con l’Ispettorato del lavoro.

La cessazione del rapporto di lavoro

Alla luce delle suddette discipline, con riferimento al trattamento di dati personali dei lavoratori effettuato mediante gli strumenti aziendali da questi utilizzati per l’attività lavorativa, emergono alcuni aspetti di particolare interesse sul piano pratico, che riguardano: (i) il momento di cessazione del rapporto di lavoro, (ii) la restituzione degli strumenti aziendali e (iii) le attività che il datore di lavoro può/deve effettuare sugli stessi.

Dati personali dell’ex dipendente: facoltà e obblighi del datore di lavoro

Gli ultimi provvedimenti del Garante Privacy nazionale, hanno contribuito a delineare alcuni accorgimenti e adempimenti che il datore di lavoro dovrebbe (e in alcuni casi deve) tenere ogni qualvolta cessa, per qualunque causa, il rapporto di lavoro con un suo dipendente.

Tra gli accorgimenti più importanti per una corretta gestione di questa delicata situazione, il primo consiste senza dubbio nell’adozione di un’adeguata policy aziendale interna che disciplini l’uso dei beni aziendali forniti dal datore di lavoro ai propri dipendenti, limitandone l’uso ai soli fini aziendali (si veda da ultimo il provvedimento 547/2016 del Garante). Un regolamento che individui la politica aziendale interna, alla quale i dipendenti devono necessariamente conformarsi, infatti, rappresenta lo strumento fondamentale per limitare la presenza – e il conseguente trattamento da parte del datore – di dati personali del lavoratore al momento della cessazione del rapporto e della restituzione dei beni aziendali.

Dal punto di vista degli adempimenti obbligatori, invece, è pacifico che qualunque trattamento di dati personali (indipendentemente dalla circostanza che lo determina) deve rispettare le prescrizioni del Codice Privacy (Decreto Legislativo 196/2003), in particolare, l’obbligo di rendere l’informativa e, se richiesto, di raccogliere il consenso al trattamento.

Posta elettronica aziendale

Inoltre, fermo restando quanto sopra, sul tema specifico dell’account di posta elettronica dell’ex dipendente, il Garante Privacy ha delineato alcuni adempimenti obbligatori del datore di lavoro che rientra in possesso del citato account. In particolare, il datore di lavoro, indipendentemente dalla sussistenza di una policy interna sull’utilizzo dei beni aziendali, è tenuto a disattivare tempestivamente l’account dell’ex dipendente e deve predisporre l’invio di un messaggio automatico ai soggetti terzi che cerano di inviare messaggi al suddetto account, comunicandone la disattivazione.

In sostanza, l’interesse aziendale del datore di lavoro e il diritto alla privacy dell’ex dipendente devono essere bilanciati da un assetto aziendale che contempli, da un lato, la massima trasparenza del datore di lavoro in merito alla politica interna sull’uso dei beni aziendali, dall’altro, la leale collaborazione del dipendente affinché tale politica sia rispettata e attuata sino al momento della cessazione del rapporto di lavoro.

Fonte: FiloDiritto – Antonio Zama, Marco Dettori