Il Garante della Privacy, con provvedimento n. 547 del 22 dicembre 2016, pubblicato con newsletter del garante della privacy del 17 febbraio 2017, ha ritenuto illegittimo il trattamento dei dati sensibili posto in essere nella procedura aziendale applicata da parte di una società assicurativa per la raccolta e conservazione dei dati contenuti negli account di posta elettronica dei dipendenti e nel telefono aziendale assegnato, senza che gli stessi fossero informati, sin dalla assunzione, sulle modalità e sulle finalità del trattamento dei dati medesimi presenti nei loro strumenti elettronici.
Al contempo, il Garante ha altresì ribadito che dopo la cessazione del rapporto di lavoro in conformità ai principi in materia di protezione dei dati personali, gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento. L’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività, pertanto, deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti nonché dei terzi.
Nella specie il Garante ha ritenuto non conforme ai suddetti principi la procedura adottata dalla Società, consistente nel mantenere attiva la casella di posta elettronica per un periodo fino a sei mesi dalla data di cessazione del rapporto. Risulta, inoltre, secondo il Garante, non conforme ai principi di necessità e pertinenza la conservazione per dieci anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche, in quanto tale esteso tempo di conservazione applicato a tutte le e-mail dei dipendenti, non appare commisurato alla ordinaria necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi.