L’evoluzione tecnologica e il costante cambiamento del mercato del lavoro ha imposto ed impone un conseguente adeguamento anche in ambito legislativo. Sullo sfondo il nuovo Regolamento Europeo 2016/679, entrato in vigore il 25 maggio 2016. Le imprese e le pubbliche amministrazioni hanno due anni (sino al 25 maggio 2018) per adeguarsi alle nuove regole.
Volendo sintetizzare, il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull’utilizzo dei suoi dati.
In un nuovo conteso normativo, sia italiano sia europeo, l’attenzione sul rispetto delle regole Privacy da parte di imprese e Pubblica Amministrazione dovrà dunque essere sempre maggiore. Ciò anche perché significative saranno le possibili sanzioni; in casi particolari possono arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Tali regole si applicheranno anche al trattamento dei dati nell’ambito del rapporto di lavoro.
Nei prossimi due anni il Garante per la protezione dei dati personali avrà il compito di armonizzare la normativa nazionale oggi vigente e i propri precedenti provvedimenti generali con i nuovi principi, regole ed istituti e dal Regolamento.
Frattanto è importante ricordare quali sono gli obblighi già vigenti e previsti dalla normativa italiana (Decreto legislativo n. 196 del 2013) per la corretta gestione dei dati personali all’interno dell’azienda.
Tra l’altro, a titolo puramente esemplificativo e non esaustivo, con riferimento al tema qui oggetto di esame, si ricorda la necessità di redigere il “disciplinare interno” per il corretto utilizzo della posta elettronica dei dipendenti/collaboratori.
Ed ancora, si pone l’attenzione sulla necessità di ottemperare, senza più alcuna dilazione, alle prescrizioni di cui all’art. 4 dello Statuto dei Lavoratori in materia di controlli a distanza, recentemente novellato da parte del Jobs Act ed ispirato ai principi generali in materia di Privacy sottesi anche al nuovo Regolamento Europeo.
Con la predetta riforma il Legislatore ha legittimato il datore di lavoro ad utilizzare i dati raccolti tramite gli “strumenti di lavoro” per “tutti i fini connessi al rapporto” (ivi compresi a fini disciplinari), alla sola condizione che sia data al dipendente adeguata informazione delle modalità d’uso e di effettuazione dei controlli e che venga rispettato il Codice della Privacy.
La compliance con la normativa in tema di Privacy diviene, dunque, condizione legittimante per i “controlli” sull’attività dei lavoratori.
Il Garante per la Protezione dei Dati Personali ha affrontato il tema dell’individuazione di cosa possa e cosa non possa essere qualificato come “strumento di lavoro”; tra l’altro, ha annoverato in tale categoria l’account email assegnato in uso al dipendete (Provvedimento del Garante del 13 luglio 2016).
Tale inclusione non significa, tuttavia, che qualunque forma di controllo da parte del datore di lavoro sulla posta elettronica aziendale possa ritenersi lecito.
Il contenuto dei messaggi di posta elettronica, i dati esteriori delle comunicazioni e i file allegati, costituiscono forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali. A ciò si aggiunge l’ulteriore garanzia derivante dalle norme penali a tutela dell’inviolabilità dei segreti (artt. 2 e 15 Cost.;; art. 616, 4^ comma, c.p.; art. 49 Codice dell’amministrazione digitale).
In termini generali, è stato espresso il seguente principio: la raccolta sistematica e massiva delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti e la loro memorizzazione per un lungo periodo è un’attività in contrasto con la disciplina di settore in materia di controlli a distanza di cui all’art. 4 dello Statuto dei Lavoratori (provv. Garante del 22 dicembre 2016).
Fatta tale premessa, tra gli altri casi operativi connessi con la gestione della posta elettronica risultano meritevoli di attenzione le regole attinenti agli account dei lavoratori “assenti” (temporaneamente) dal servizio (perché in congedo, ferie, malattia, etc.) e dei dipendenti che hanno cessato il rapporto di lavoro (“ex dipendenti”)
Quanto ai lavoratori “assenti”. Nelle Linee Giuda per posta elettronica e internet il Garante ha suggerito accorgimenti tecnici che possono risultare utili al datore di lavoro per contemperare le proprie esigenze organizzative e produttive con la necessità di prevenire illecite intrusioni nella sfera personale dei lavoratori e, quindi, violazioni della disciplina sulla segretezza della corrispondenza:
· mettere a disposizione dei lavoratori (e prescrivere loro di avvalersene) apposite funzionalità di sistema che consentano l’invio automatico, in caso di assenze programmate (per ferie o attività di lavoro fuori sede, etc.), di messaggi di risposta contenenti le coordinate di un altro soggetto o altre utili modalità di contatto della struttura;
· in caso di eventuali assenze non programmate (ad esempio per malattia), qualora il lavoratore non possa autonomamente attivare la predetta procedura (anche avvalendosi di servizi webmail) prevedere la possibilità di intervento del titolare del trattamento mediante personale appositamente incaricato (ad esempio, l’Amministratore di sistema).
Quanto agli ex dipendenti. Con il provvedimento del 22 dicembre 2016, il Garante ha affermato che risulta non conforme ai principi di necessità, pertinenza e non eccedenza (in relazione agli artt. 3 e 11, comma 1, lett. d) ed e) del Codice) la conservazione per dieci anni su server aziendali sia dei dati esterni (c.d. envelope) che dei contenuti delle comunicazioni elettroniche. Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi.
