L’Autorità italiana per la protezione dei dati (il Garante) ha emesso una decisione che amplia in modo significativo il diritto di accesso degli ex dipendenti alle loro e-mail di lavoro, mettendo le aziende a rischio di divulgazione di notevoli segreti commerciali e informazioni riservate. Sebbene la sentenza rafforzi il diritto di accesso ai sensi dell’articolo 15 del GDPR, crea anche uno scenario difficile – e potenzialmente rischioso – per le aziende che gestiscono account di posta elettronica aziendali.
In sostanza, la decisione stabilisce che un ex dipendente può accedere alle e-mail archiviate nella propria casella di posta aziendale e che il datore di lavoro non può preselezionare, filtrare o alterare il contenuto prima di concedere tale accesso, a meno che non sussista un “rischio concreto” derivante dalla divulgazione. Ciò significa che le aziende potrebbero essere costrette a trasferire agli ex dipendenti informazioni aziendali di grande valore. Questo approccio è sostenibile dal punto di vista operativo?
Accesso alle e-mail degli ex dipendenti: cosa ha deciso il Garante
Nella decisione, il Garante ha ritenuto illegale l’approccio dell’azienda di esaminare le e-mail in anticipo e limitare l’accesso solo a quelle considerate “strettamente personali”.
Secondo l’Autorità italiana per la protezione dei dati:
- le e-mail archiviate in un account aziendale non sono di proprietà esclusiva del datore di lavoro
- il dipendente conserva i diritti sui dati personali contenuti in tali e-mail
- il datore di lavoro non può manipolare o “depurare” il contenuto delle e-mail prima della divulgazione
Ciò significa che l’accesso alle e-mail degli ex dipendenti deve essere concesso in modo da preservare l’integrità dei dati, senza alcun filtraggio preventivo.
L’obbligo di divulgazione è soggetto a limitazioni solo nel caso in cui ne derivi un «rischio concreto». La portata di tale limitazione non è chiaramente definita. È possibile che il diritto possa essere limitato in caso di controversie pendenti, ma che dire delle informazioni aziendali che, se divulgate, potrebbero essere comunicate dall’ex dipendente al suo nuovo datore di lavoro?
Perché questo approccio è problematico nella pratica
La decisione pone sfide immediate alle organizzazioni.
Se le aziende non possono:
- esaminare le e-mail prima della divulgazione
- rimuovere i dati personali di terzi
- escludere informazioni aziendali riservate o sensibili
l’accesso alle e-mail da parte degli ex dipendenti potrebbe portare alla divulgazione incontrollata di informazioni che vanno ben oltre i dati personali del dipendente.
Ciò include:
- comunicazioni con i clienti
- discussioni interne di natura legale o strategica
- informazioni commercialmente sensibili
- segreti commerciali contenuti nella corrispondenza quotidiana
In altre parole, la decisione rischia di trasformare l’accesso alle e-mail degli ex dipendenti in un meccanismo per trasferire informazioni riservate all’esterno dell’azienda.
Segreti commerciali e informazioni riservate a rischio
Una delle implicazioni più critiche della decisione del Garante italiano sull’accesso alle e-mail degli ex dipendenti è la potenziale esposizione dei segreti commerciali.
I datori di lavoro rimangono legalmente tenuti a:
- proteggere le informazioni aziendali riservate
- rispettare gli obblighi contrattuali di riservatezza
- salvaguardare i dati di terzi
Tuttavia, in base a questo approccio, potrebbero essere tenuti a divulgare le e-mail senza poter mitigare tali rischi.
Ciò crea uno squilibrio strutturale tra:
- il diritto di accesso ai sensi del GDPR
- la protezione dei segreti commerciali e della riservatezza aziendale
La mancanza di un chiaro meccanismo di bilanciamento rende la conformità estremamente difficile.
Rischi legati alla conservazione dei log e al monitoraggio dei dipendenti
Il Garante ha affrontato anche la questione della conservazione dei log, aggiungendo un ulteriore livello di complessità.
Ha ribadito che:
- i log conservati a fini di sicurezza informatica devono rispettare il principio di limitazione della conservazione, il che significa che la conservazione deve essere strettamente necessaria e proporzionata
- i log utilizzati a fini difensivi possono essere qualificati come monitoraggio dei dipendenti, determinando l’applicazione dello Statuto dei Lavoratori
Ciò conferma che l’accesso alle e-mail degli ex dipendenti non può essere valutato isolatamente. Fa parte di un quadro di governance più ampio che coinvolge la privacy, il diritto del lavoro e la sicurezza informatica.
La necessità di un approccio molto prudente
Alla luce di questa decisione, le aziende potrebbero non avere altra scelta che adottare un approccio molto prudente alla governance della posta elettronica.
Le misure pratiche includono:
- limitare o regolamentare chiaramente l’uso personale degli account di posta elettronica aziendali
- attuare politiche di separazione e classificazione dei dati
- ridurre al minimo la conservazione delle e-mail e dei relativi registri
- definire procedure strutturate per la gestione delle richieste di accesso
Il cambiamento fondamentale è chiaro: il rischio non può essere gestito al momento dell’accesso, ma deve essere affrontato ex ante.
Un equilibrio difficile da raggiungere
La decisione del Garante italiano rafforza i diritti degli interessati ma pone le aziende di fronte a un difficile compromesso.
Da un lato:
- un diritto di accesso ampio e quasi illimitato
Dall’altro:
- rigidi obblighi di protezione delle informazioni riservate e dei segreti commerciali
Senza una via di mezzo praticabile, le organizzazioni rischiano di trovarsi in un paradosso di conformità, in cui qualsiasi decisione potrebbe esporle a responsabilità.
La vera domanda non è più se gli ex dipendenti abbiano diritto di accesso, ma: come possono le aziende rispettare tale diritto senza compromettere le loro informazioni più sensibili? Non c’è dubbio che, a seguito di questa decisione, le aziende dovranno cambiare il modo in cui le informazioni riservate circolano all’interno dell’azienda
About the Author: Giulio Coraggio
