In azienda è uso comune creare una e-mail per il dipendente affinchè egli possa svolgere i suoi compiti attraverso un canale appropriato.
Innanzitutto, è bene distinguere quando un indirizzo di posta possa essere considerato aziendale e quando no.
Un’e-mail è personale, e quindi considerata come dato personale, quando è possibile identificare il soggetto utilizzatore tramite nome e cognome.
L’account di carattere aziendale, invece, non permette tale identificazione e non è assoggettato al gdpr.
È possibile però che la mail aziendale riporti i dati identificativi del collaboratore, quindi la cornice legale di riferimento è il Regolamento Europeo n.679/16.
In tal senso, sarà necessario utilizzare un provider aziendale che sia compliant: il solo dipendente potrà accedere al suo indirizzo di posta, salvo controllo residuale da remoto per il datore di lavoro; quest’ultimo potrà visionare l’indirizzo aziendale nei soli casi di sospetta e motivata attività fraudolenta dei dipendenti o collaboratori.
In caso di cessazione del rapporto di lavoro, questa e-mail aziendale dovrà essere immediatamente resa inattiva (non cancellata, né rimanere attiva).
Al fine di regolamentare quanto sopra, è necessario redigere una preventiva privacy policy aziendale con cui il dipendente viene informato dal datore di lavoro circa le modalità e finalità di trattamento.
Il dipendente deve essere informato anche dei suoi diritti, specialmente quello di cancellazione dei dati in fase di cessazione del rapporto di lavoro.