Il nome indirizzo e-mail contiene dati dal cosiddetto “Dati ordinari” il cui trattamento è regolato dal GDPR (articolo 6, paragrafo 1). Ciò significa che il trattamento di tali dati personali è consentito solo se è soddisfatta una delle condizioni specificate nella presente disposizione.
Se il datore di lavoro ha ancora un indirizzo e-mail attivo di un ex dipendente assegnatogli nell’esercizio delle sue funzioni, rimane comunque l’amministratore di questi dati. I regolamenti mostrano chiaramente che il responsabile del trattamento dei dati è l’entità che stabilisce le finalità e le modalità del trattamento dei dati personali da solo o congiuntamente con altri.
In questo caso, la base per il trattamento dei dati di un ex dipendente contenuti nell’indirizzo e-mail potrebbe essere l’implementazione del legittimo interesse dell’amministratore.
Inoltre, il trattamento dei dati personali deve essere conforme ai principi stabiliti nel GDPR. Questi principi includono, tra gli altri: limitazione dello scopo del trattamento o minimizzazione dei dati trattati. Questi principi richiedono che il processo di elaborazione sia diretto a uno scopo specifico, esplicito e legittimo e che la portata dei dati personali trattati per uno scopo specifico sia limitata al minimo possibile.
Facendo riferimento al caso in questione, va notato che se l’ex dipendente aveva un contratto con il datore di lavoro, in base al quale era responsabile, tra gli altri per i contatti con gli appaltatori, dopo la fine della collaborazione il datore di lavoro potrebbe voler continuare a utilizzare questo indirizzo e-mail per non perdere la possibilità di contattare gli appaltatori o i clienti.
Ciò può essere fatto, ad esempio, mediante una risposta automatica indirizzata a clienti o appaltatori. Se il messaggio include informazioni sul fatto che un determinato dipendente non è più impiegato e un’indicazione dell’indirizzo e-mail al quale è possibile contattare gli attuali rappresentanti di una determinata entità, secondo il parere del Presidente dell’UODO, questo tipo di azione può essere considerato come l’interesse legittimo del titolare del trattamento.
È importante che il responsabile del trattamento sia consapevole del fatto che gli interessi legittimi del responsabile del trattamento possono costituire la base del trattamento solo se prevalgono sugli interessi o sui diritti e sulle libertà fondamentali degli interessati. In questo caso, l’interesse perseguito dal datore di lavoro è di questa natura.
I dati dell’ex dipendente possono essere utilizzati dal datore di lavoro solo in situazioni in cui il cliente tenta di contattare e solo per indicare i dettagli di contatto correnti. Un indirizzo email contenente il nome dell’ex dipendente non può essere attivamente utilizzato dall’amministratore, ad esempio per acquisire nuovi clienti.
Nella fattispecie, è necessario proteggere il legittimo interesse del datore di lavoro di informare gli appaltatori che tentano di contattare l’entità tramite l’indirizzo e-mail fornito con i dati sui percorsi di contatto attuali.
Inoltre, il trattamento in corso dovrebbe avvenire in conformità con i principi indicati, sia in relazione allo scopo limitato del trattamento sia nella limitazione della portata dei dati trattati di un ex dipendente all’indirizzo e-mail costituito dal nome e dalle informazioni che non è più un dipendente questa entità.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI PERSONALI DELLA POLONIA – UODO