Privacy ed e-mail aziendale: quello che c’è da sapere per il datore di lavoro

In materia di privacy ed e-mail aziendale sono molti gli adempimenti necessari per una corretta gestione degli account nominativi da parte del datore di lavoro. Ecco le criticità e le soluzioni per raggiungere la compliance alla normativa privacy.

Sono tanti gli aspetti tecnici e organizzativi da tenere in considerazione quando si parla della correlazione tra privacy ed e-mail aziendale.

Affidare una mail nominativa al dipendente implica che il datore di lavoro deve preoccuparsi molto di più di alcuni aspetti legati alla privacy del singolo lavoratore: infatti molti dimenticano che il “nome e cognome”, ancorché accompagnati dal dominio aziendale, sono a tutti gli effetti “dati personali” (ex art 4 del GDPR) e che per questo necessitano della tutela imposta dalla relativa normativa (Reg. UE 2016/679 e Codice Privacy così come modificato dal D.Lgs. 101/2018).

Inoltre, le mail contenute in una casella di posta nominativa priva di una regolamentazione sul suo utilizzo sono da considerarsi corrispondenza privata del lavoratore, con tutte le conseguenze del caso.

Privacy ed e-mail aziendale: le criticità

Il problema non è nuovo, il Garante Privacy già nel 2007 aveva affrontato il tema con Le linee guida per posta elettronica e internet [doc. 387522], tutt’oggi consultabili e applicabili.

Le criticità da non trascurare sono le seguenti:

  • Gli account di posta aziendale composti da “nome e cognome”, ancorché accompagnati dal dominio aziendale, sono a tutti gli effetti “dati personali” (ex art 4 del GDPR) e per questo necessitano della corretta applicazione delle tutele imposte dalla relativa normativa in materia (Reg. UE 2016/679 e Codice Privacy così come modificato dal D.Lgs. 101/2018).

Per tale ragione, così come suggerito dal Garante, è buona norma rendere disponibili prima di tutto indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, info@ente.it, ufficiovendite@ente.it, ufficioreclami@società.com, urp@ente.it, etc.), eventualmente affiancandoli a quelli individuali (ad esempio, m.rossi@ente.it, rossi@società.com, mario.rossi@società.it)[1].

Questo perché nel caso in cui siano utilizzate e-mail condivise non sorgono tutte le problematiche relative alla tutela della riservatezza del lavoratore, così come vedremo, ma solo alcune e ciò in quanto l’indirizzo di posta non contiene in sé alcun dato personale e non può presumersi un utilizzo personale dell’account.

Questo non esclude però che il datore di lavoro – prudentemente, come meglio si dirà – impartisca al lavoratore subordinato direttive sul suo utilizzo in quanto dotazione aziendale fornita al lavoratore per rendere la prestazione lavorativa.

La scelta aziendale di assegnare ai lavoratori subordinati account di posta nominativi non è da escludere a priori o da eliminare, ma semmai è soltanto da regolamentare, e se del caso limitare, con l’aiuto di un professionista.

La regolamentazione può agevolmente avvenire tramite la redazione di una policy interna che deve tener conto: della realtà lavorativa; delle effettive esigenze aziendali e della normativa applicabile, dunque delle norme previste dal diritto del lavoro e in materia di privacy.

In particolare, si ritiene opportuno prima di tutto indicare al lavoratore che l’utilizzo dell’account nominativo deve avvenire per soli fini aziendali, vietandone l’utilizzo privato.

È bene, infatti, tenere presente che un uso promiscuo, o non disciplinato, dell’account è senza dubbio fonte che genera dati personali del tutto estranei al contratto di lavoro instaurato dalle parti (i dati contenuti nelle e-mail – che possono essere strettamente personali, particolari o relativi a questioni riservate del lavoratore – inevitabilmente saranno salvati su server della società, su backup ecc.).

Tale circostanza rappresenta a tutti gli effetti un rischio privacy (ai sensi del GDPR, Reg. UE 2016/679) per il titolare. Un rischio che se non adeguatamente mitigato può dar luogo a trattamenti di dati personali illegittimi, sanzionabili ai sensi del nuovo regolamento europeo e del Codice Privacy come riformato.

La regolamentazione dell’uso della posta elettronica aziendale, così come suggerito, rappresenta dunque non soltanto la misura idonea per evitare sanzioni derivanti dal trattamento di dati non pertinenti al rapporto di lavoro, ma allo stesso tempo è la miglior tutela per la riservatezza del lavoratore che terrà la propria corrispondenza personale[2]fuori dal possibile e/o incidentale controllo datoriale che per legge può avvenire.

Adoperarsi per la corretta redazione di un regolamento non solo della e-mail ma di tutti gli strumenti aziendali (pc, telefonia, tablet, auto con GPS ecc.) è il comportamento virtuoso che riduce sensibilmente le eventuali sanzioni privacy in caso di accertamento e per questo è scelta quasi obbligata per l’imprenditore che si avvalga di dipendenti nella sua attività.

  • In via generale il contenuto dei messaggi di posta elettronica, compresi i cosiddetti dati “esteriori” e i “file allegati”, sono forme di corrispondenza assistite da garanzie di segretezza tutelate a più livelli: costituzionale, legislativo, anche penale, regolamentare, etc. (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.).

Per tale ragione ricordiamo che non sussistono solo questioni privacy, soprattutto nel caso vi sia necessità di accedere ai contenuti dell’account in assenza del lavoratore, ma anche di natura giuslavoristica e penale.

Infatti, il Garante già da tempo ha stabilito che il datore di lavoro deve mettere a disposizione dei dipendenti apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze (ad esempio, per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti i riferimenti di contatto di un altro soggetto o altre utili modalità di contatto della struttura. In modo che la continuità aziendale sia assicurata senza dover consultare le caselle di posta aziendale nei momenti in cui il lavoratore non sia presente.

E inoltre che nel “caso di eventuali assenze non programmate (ad esempio, per malattia), qualora il lavoratore non possa attivare tale funzionalità, il titolare del trattamento, perdurando l´assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad esempio, l’amministratore di sistema oppure, se presente, un incaricato aziendale per la protezione dei dati), l’attivazione di un analogo accorgimento, avvertendo gli interessati” e in particolare preveda che l’interessato possa delegare un altro lavoratore (cosiddetto fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa.

Questa ultima ipotesi rappresenta senza dubbio una best practice che un buon consulente è bene suggerisca all’imprenditore di adottare, redigendo altresì un apposito verbale.

Anche in questo caso i messaggi di posta elettronica dovranno contenere un avvertimento ai destinatari nel quale “sia dichiarata l’eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale”.

Per quanto sino a qui esposto è senza dubbio opportuno che il datore di lavoro, anche per la corretta applicazione del principio di accountability (GDPR), si ponga le sopra esposte questioni qualora abbia scelto di assegnare, o abbia già assegnato, indirizzi email aziendali nominativi e chiarisca al lavoratore: i limiti di utilizzo dell’account e le forme di controllo che possono essere eseguite sullo stesso nonché chieda di delegare un soggetto fiduciario in caso di assenza.

Con riferimento ai controlli, queste informazioni devono essere necessariamente rese al lavoratore per due diverse finalità: in base alla normativa privacy per assolvere alle previsioni di cui all’art 13 ; in base alle norme di diritto del lavoro per poter utilizzare gli esiti di un eventuale controllo e in ragione delle previsioni di cui all’art 4 L. 300/7, che richiede che siano rese al lavoratore determinate informazioni relative agli strumenti, anche a lui assegnati, da cui possa derivare un controllo a distanza.

Quel che preme più di tutto evidenziare è che l’adozione di una policy aziendale che informi il lavoratore sui limiti e controlli sotto il profilo giuslavoristico assume valore di direttiva aziendale (artt. 2104 e 2105 c.c.) a cui il dipendente deve conformarsi per non incorrere in sanzioni disciplinari (art. 7 L. 300/70 e le disposizioni di cui ai contratti collettivi di categoria o aziendali).

L’introduzione di un disciplinare interno circa le modalità di fruizione dell’account di posta messo a disposizione dall’azienda è dunque una scelta quanto mai auspicabile e opportuna. La sua corretta stesura è poi fatto determinante per gestire correttamente il problema che siamo ad esaminare ossia il conflitto che nasce fra la necessità di controllo del datore di lavoro (ad esempio anche in ipotesi di assenze improvvise e prolungate, che possono richiedere anche la riorganizzazione del lavoro, art. 2082 cc) e il diritto alla riservatezza del lavoratore (artt. 2, 3, 4, 7 e 8 dello Statuto dei Lavoratori, L. 300/70).

  • Inevitabilmente, affrontando il tema incontriamo un ulteriore aspetto legato alla privacy e all’utilizzo degli account aziendali, nominativi o non nominativi, ossia quello dell’impiego delle informazioni contenute nella corrispondenza e-mail per fini disciplinari da parte del datore di lavoro.

Avviene spesso che il datore di lavoro tramite il controllo sulla corrispondenza e-mail del lavoratore trovi gli elementi necessari per procedere con una contestazione disciplinare. Posto che tale controllo può avvenire solo nei limiti di cui all’art 4 dello statuto dei lavoratori si deve ricordare che qualsiasi informazione raccolta è del tutto inutilizzabile se al lavoratore non è stata resa idonea informativa privacy ex art 13 del GDPR, relativa al trattamento dei suoi dati personali nell’ambito del rapporto di lavoro (L. 300/70 art 4 ultimo comma).

  • Ultima delicata questione è quella relativa agli effetti, sulla gestione degli account, delle risoluzioni contrattuali fra lavoratore e datore di lavoro e in particolare quei casi in cui repentinamente (ossia in tronco) cessa il rapporto di lavoro (dimissioni o licenziamento per giusta causa).

In tal caso la risoluzione porta con sé una rottura dei rapporti che non permette alcun passaggio di consegne ea cui spesso consegue un momento di difficoltà per l’azienda sotto il profilo della continuità aziendale del lavoro sino a tale momento svolto dall’ex dipendente e in questo frangente, l’accesso all’account e-mail se non correttamente e per tempo regolamentato rappresenta uno dei terreni di scontro fra le parti o comunque motivo di possibile controllo e sanzione.

In linea con quanto suggerito dal Garante il datore di lavoro dovrebbe disattivare l’account nominativo aziendale informando i destinatari, con un messaggio automatico, che le comunicazioni lavorative, e non personali, indirizzate all’account in disattivazione, potranno essere da quel momento in avanti inviate ad un nuovo indirizzo.

Ovviamente nei limiti dei principi di proporzionalità e limitazione del trattamento il datore di lavoro potrà mantenere attivo il precedente account per un periodo limitato, ma vi potrà accedere solo in caso di preventiva policy aziendale che disciplini tale ipotesi o altrimenti previo consenso del lavoratore (di difficile raccolta in tali circostanze).

In ragione di quanto appena detto spesso il datore di lavoro non si accorge di star commettendo il reato di violazione di corrispondenza, questo perché, quando accede all’account nominativo aziendale in assenza del consenso dell’interessato, licenziato o dimessosi per giusta causa, crede di accedere ad una propria casella di posta e non a quella del lavoratore.

In realtà l’account nominativo se non esplicitamente dichiarato aziendale dall’imprenditore, con annesso divieto per usi personale, è accompagnato da una presunzione secondo la quale le e-mail che giungono a tale indirizzo siano lette (confidenzialità) solo dal lavoratore, il cui nome è inserito nell’indirizzo.

Conclusioni

Riassumendo, gli adempimenti necessari per una corretta gestione degli account nominativi aziendali da parte del datore di lavoro, sono:

  • limitare per quanto possibile il loro utilizzo preferendo per alcune funzioni account collettivi (segreteria@…; info@….; amministrazione@… ecc.);
  • prevedere un regolamento interno che informi i lavoratori sul corretto utilizzo degli account loro assegnati e che in particolare che ne escluda i loro utilizzo per finalità personali;
  • predisporre una procedura di deleghe interne per gli accessi in caso di assenze prolungate comprensive altresì di impostazione di messaggi automatici per i destinatari;
  • procedere in caso di risoluzione improvvisa del rapporto di lavoro secondo predisposte procedure che rispetti le norme privacy e le indicazioni del Garante.

Fonte: Marco Martorana, Victoria Parise – Cybersecurity360

Note
  1. Si evidenzia che sono dati personali anche quelle informazioni che diano la possibilità di identificare, anche in via indiretta, una persona fisica e dunque anche l’omissione del cognome mario.r@alfatsrl.it è informazione che permette l’identificazione del soggetto e qualifica il dato come personale ai sensi dell’art. 4 del GDPR. 
  2. Il Garante suggerisce nelle Sue linee guida che datore di lavoro valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore, sul quale non possono essere eseguiti controlli e il cui funzionamento dovrà rispettare tutto il complesso normativo di riferimento per la particolare posizione di interessato-lavoratore (diritto del lavoro e normativa privacy);   

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Il nostro sito non usa cookie di profilazione. Puoi continuare a navigare in questo sito senza modificare le impostazioni dei cookie o cliccare su "Accetta" permettendo il loro utilizzo. Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi