privacy

Email aziendali, nuova stretta del Garante: più incertezza per le aziende



Indirizzo copiato

Una decisione del Garante Privacy rivoluziona la gestione delle email aziendali, estendendo le tutele anche ai rapporti di collaborazione. Vietata la conservazione massiva delle comunicazioni e l’uso di sistemi di archiviazione tradizionali. Aziende chiamate a ripensare le policy

Pubblicato il 5 nov 2024



email lavoratori (1)

Con il provvedimento del 17.07.24 (doc web n. 10053224, pubblicato sulla Newsletter del 22.10.24), il Garante torna sul tema dell’uso della posta elettronica sul luogo di lavoro, fissando un focus particolare sulle modalità ed i tempi di conservazione del contenuto delle e-mail (oltre che dei relativi log).

Si tratta, è appena il caso di dirlo, di una problematica di eccezionale importanza, sulla quale, accanto alle posizioni espresse dall’Autorità, convivono letture diverse, testimoniate non solo dalle voci di molti commentatori (soprattutto giuslavoristi) ma anche da alcune pronunce della Corte di Cassazione (Sezione Lavoro, e Penale).

È in questo complicato scenario che emerge l’aspetto davvero originale del provvedimento: accanto a principi ritenuti ormai consolidati che l’Autorità ribadisce, questo ultimo arresto contiene infatti un elemento esegetico nuovo, di rilevantissima criticità.

Il caso: il controllo delle mail aziendali in caso di rapporti para-subordinati

Un agente di commercio che presta la sua attività in favore di un’azienda, viene dotato in costanza del rapporto di un account di posta elettronica aziendale “di tipo individualizzato”. Come espressamente previsto da una informativa e da una policy consegnata all’interessato in costanza di rapporto, l’azienda conserva sia il contenuto delle e-mail (anche per un periodo successivo alla cessazione del rapporto, nel caso di specie fissato in tre anni) sia i file di log di accesso al gestionale ed alle mail medesime (per 6 mesi) sulla base di dichiarate esigenze di sicurezza informatica e di continuità organizzativa.

Il rapporto cessa, e la committente/titolare del trattamento, mediante una indagine forense gestita da un soggetto terzo, scopre che la mail aziendale sarebbe stata usata dall’agente per “sottrarre dati segreti” e svolgere “attività di concorrenza sleale”. Sulla base di queste evidenze, l’azienda avvia un’azione nei confronti dell’agente, che reagisce presentando un reclamo al Garante nel quale lamenta l’utilizzazione in giudizio delle e-mail, indebita in ragione della assunta illiceità della relativa conservazione.

Chiariamolo subito, allora: siamo in un’area, quella della cosiddetta para-subordinazione, contigua ma completamente diversa rispetto a quella del rapporto di lavoro dipendente: nei rapporti di agenzia, così come in qualsiasi altra forma di collaborazione coordinata e continuativa, non trovano applicazione le disposizioni disegnate dal Legislatore a tutela dei lavoratori dipendenti. Fermi ovviamente i principi generali in termini di tutela della dignità e riservatezza del collaboratore, quello che è certo è che non è nemmeno immaginabile (e come si dirà, a ben guardare non sembra immaginarlo nemmeno il Garante) la applicazione diretta ai rapporti di agenzia delle norme contenute nello Statuto dei Lavoratori e nello specifico dell’art. 4 sui cd. controlli a distanza: se infatti, come noto, in esito alle modifiche introdotte dal Jobs Act, la legittimità di qualsiasi apparecchiatura che consenta indirettamente il controllo sull’attività dei lavoratori dipendenti e che non sia qualificabile come strumento di lavoro è subordinata al previo accordo sindacale con le rappresentanze sindacali aziendali (o, in subordine, all’autorizzazione dell’Ispettorato del Lavoro), questa stessa dinamica appare già a prima vista strutturalmente incompatibile con la para-subordinazione. Ed il fatto che si tratti di una disposizione la cui violazione comporta anche una sanzione penale (cfr. art.171 Codice Privacy e relativo rinvio all’art. 38 L. 300/70), inibisce qualsiasi forma di estensione analogica in virtù del principio di stretta legalità.

Così delineato il campo, vediamo innanzitutto la parte del provvedimento che richiama tesi già note dell’Autorità sul tema generale dell’uso delle e-mail sul posto di lavoro.

Il vademecum delle attività vietate secondo il Garante

Mettendo insieme quanto ribadito nel provvedimento in commento, e nei precedenti citati nello stesso, lo scenario si può così sintetizzare.

Secondo il Garante:

  • non è mai legittima la assegnazione ad un lavoratore di un account di posta aziendale personalizzato, senza che siano chiarite in apposite policies ed informative le regole d’uso di questo strumento: la “personalità” dell’account, ingenera in sé una aspettativa di riservatezza che il datore di lavoro è tenuto a tutelare mediante una analitica regolamentazione di quello che si può fare, e che non si può fare, tramite quell’account. E’ indubbio che questo principio (anche perché declinato quasi venti anni fa, nelle mitiche Linee Guida adottate dal Garante il 01.03.2007 – doc web n. 1387522) sia ormai pienamente condiviso e recepito nella operatività delle aziende del nostro Paese;
  • anche in presenza di regole chiare e stringenti, che senza ambiguità qualificano la posta elettronica come uno strumento di lavoro messo a disposizione dell’azienda, e riconducono i messaggi inviati e ricevuti alla natura di “corrispondenza aziendale”, secondo l’Autorità il datore di lavoro non può conservare massivamente il contenuto delle e-mail, e tantomeno può farlo tramite i gestionali del servizio di posta elettronica, o altri sistemi di storage della medesima natura (come l’applicativo Mail Store, utilizzato nel caso oggetto del provvedimento in esame).
    • Questa è una posizione che continua ad essere davvero critica! C’è da chiedersi, infatti se abbia un fondamento così solido la ritenuta illegittimità della conservazione completa del traffico mail, anche nei casi in cui il datore di lavoro abbia fissato regole chiare che escludono qualsiasi uso a fini diversi da quelli professionali dell’account di posta, ed in costanza di policies che riconducano espressamente la corrispondenza elettronica che viaggia sugli account aziendali alla medesima natura delle “lettere e telegrammi” che ogni imprenditore è obbligato per legge a conservare per 10 anni (art. 2220 c.c.);
    • Domande alle quali il Garante ribadisce la sua risposta tranchant: conservare tutto, e farlo utilizzando i servizi di posta, viola sempre e comunque “i principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del Regolamento)”;
  • l’eventuale conservazione, secondo l’Autorità, deve semmai esser effettuata in modo selettivo, e con strumenti specifici, in particolare mediante “sistemi di gestione documentale con i quali attraverso l´adozione di appropriate misure organizzative e tecnologiche individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile”. A parere del Garante, quindi, posto il divieto di conservazione massiva delle e-mail in uso ai lavoratori, da un lato, “i sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche”; dall’altro, sarebbero in sé idonei a consentire il controllo indiretto a distanza dei lavoratori, ciò che comporterebbe comunque la violazione dell’art. 4 dello Statuto dei Lavoratori in assenza di accordo sindacale o autorizzazione ministeriale: conservare il contenuto delle e-mail con tali strumenti, quindi, presenterebbe sempre un duplice profilo di illiceità.
    • Anche in questo passaggio, siamo di fronte ad una posizione ben lungi dal potersi considerare consolidata al di fuori del punto di prospettiva dal quale si pone il Garante: il giuslavorista, infatti, non può non rilevare come: a) nella contemporaneità, è difficile negare che l’account di posta sia qualificabile come uno “strumento di lavoro” necessario a rendere la prestazione, in quanto tale per sua natura estraneo al percorso procedimentale previsto dall’art. 4; b) proprio in ragione di ciò, continuare a ritenere che la conservazione integrale della corrispondenza telematica violi sempre e comunque i principi di liceità, minimizzazione e limitazione è quantomeno discutibile. Ma, è un dato: questo è quello che il Garante continua a sostenere senza alcun tentennamento!
  • I log (o metadati, o dati esteriori delle e-mail) possono esser conservati per esigenze tecniche soltanto per archi temporali minimali (misurabili in 21 giorni, o giù di lì): se si decide di conservarli per più tempo, deve esistere una finalità legittima e deve esser rispettato l’art. 4, di tal che la conservazione è inibita a monte se non si procede ad un accordo sindacale (o, in mancanza, all’autorizzazione dell’Ispettorato del lavoro).
    • Una posizione anche questa per nulla stabile, come peraltro dimostrato dalla originale dinamica che ha accompagnato il noto provvedimento sui metadati delle e-mail (21.12.23 doc. web n.9978728), ed il successivo eloquente “chiarimento” adottato in esito alla consultazione pubblica il 06.06.24 (doc web n. 10026277);
  • quali che siano le scelte dell’Autorità, resta fermo un principio di fondamentale importanza, che nel provvedimento viene richiamato in coda: quello fissato dall’art. 160 bis del Codice Privacy (l’originario art. 160 nella versione iniziale del Codice), a tenore del quale “La validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”. Nel giudizio promosso dall’azienda nei confronti dell’agente asseritamente infedele, dunque, era e resta prerogativa del Giudice decidere se ed in che termini siano utilizzabili le prove portate alla sua cognizione (nel caso di specie, le e-mail che attesterebbero la esfiltrazione di dati segreti, e la cui conservazione il Garante ha ritenuto illegittima).

In questo scenario così complicato, un qualsiasi datore di lavoro/titolare del trattamento (o, come si dirà, un committente/titolare) ha solo due strade:

a) ritenere che queste prese di posizione non siano coerenti con una serie di principi consolidati nella tradizione interpretativa giuslavoristica, e distaccarsi da queste indicazioni, nella consapevolezza di non avere alcuna speranza di spuntarla davanti all’Autorità, dovendosi se del caso affidare ad un contenzioso in sede di impugnazione giudiziale dei provvedimenti del Garante medesimo;

b) oppure, più prudentemente, cercare di seguire queste indicazioni, per esempio provando a comprendere a cosa si riferisca l’Autorità quando, nel dettare le condizioni della conservazione selettiva del contenuto delle e-mail, continua a richiamare le non meglio precisate “misure organizzative e tecnologiche” che si dovrebbero adottare per “individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati” mediante sistemi di conservazione diversi dai gestionali del servizio di posta elettronica.

Tutto ciò, nell’uno e nell’altro caso, evitando comunque di prestare l’orecchio ad alcune favole metropolitane, come quella che consiglia la stampa ed archiviazione fisica di tutte le e-mail aziendali, opzione che condurrebbe alla sostanziale deforestazione del pianeta e talmente distorta da non dover esser presa nemmeno in seria considerazione.

Le e mail aziendali dei cococo

Come anticipato, accanto alla lista delle azioni vietate ribadita dal Garante, il provvedimento in commento contiene un principio innovativo, in prima apparenza a dir poco urticante se guardato con gli occhi di un giuslavorista. Il Garante, infatti, ritiene illegittimo il trattamento posto in essere dalla committente/titolare del trattamento non solo con riguardo ai principi generali citati, ma anche perché posto in essere in “in violazione dell’art. 114 del Codice Privacy” che, come noto, richiama l’art. 4 L. 300/70.

Come è possibile? L’Autorità sta forse affermando che l’art. 4 si applica anche alle collaborazioni coordinate e continuative? Sta sostenendo l’insostenibile, e cioè che anche nel rapporto con gli agenti, le aziende committenti (che non sono e non possono essere qualificate come datori di lavoro) siano tenute ad applicare una norma ontologicamente inapplicabile in via diretta, essendo dedicata pacificamente al solo rapporto datore di lavoro/lavoratore dipendente?

Per cercare di capirci qualcosa, bisogna leggere con attenzione il provvedimento, nel quale il percorso logico seguito dal Garante (seppure non esplicitato in modo proprio solare) sembra essere il seguente:

  • nel corso della istruttoria, l’Autorità ha potuto accertare incidentalmente che l’azienda utilizza nel rapporto con i suoi dipendenti l’applicativo Mail store, e conserva massivamente tutte le e-mail degli stessi;
  • questo utilizzo, oltre a violare i principi generali, viola anche l’art. 4 dello Statuto dei Lavoratori, e quindi l’art. 114 del Codice Privacy;
  • se lo strumento è per queste ragioni illegittimo, anche l’uso che l’azienda ne fa al di fuori del perimetro che lo rende viziato non può che essere a sua volta illecito;
  • ai fini della definizione del reclamo dell’interessato/agente, non rileva allora che l’art. 4 sia o meno direttamente applicabile alla fattispecie: quello che conta, è l’aver accertato il fatto che in azienda, nel rapporto con i dipendenti, fosse in uso uno strumento la cui illiceità non può che riflettersi anche sull’utilizzo che il committente ne ha fatto nel pur diverso rapporto con l’agente.

Siamo quindi di fronte ad una sorta di backdoor interpretativa, che percorrendo il passaggio segreto del principio di liceità, permette di applicare nella sostanza una norma che sarebbe inapplicabile al caso portato all’attenzione del Garante. E che concorre alle scelte finali adottate nel provvedimento: il divieto di utilizzo di Mail Store, una sanzione di 80.000,00 euro ed un precedente di grande e criticissimo rilievo: qualsiasi collaboratore cui venga assegnato un account aziendale non gestito secondo gli insegnamenti del Garante, si trova in mano un’arma nuova ed inaspettata, potendo invocare anche, de facto, la violazione dell’art. 4.

Troppa confusione sotto il cielo

Quanto e se, rispetto alla questione generale della conservazione delle e-mail aziendali, questo ultimo intervento del Garante sia qualificabile come un ammirevole virtuosismo esegetico, o come l’ennesimo volano alla confusione ed alla incertezza, sta ad ognuno poterlo e doverlo valutare.

Quello che è certo, è che si sente sempre più forte l’esigenza di un momento di sintesi e di riflessione coordinata, tale da consentire alle aziende di sapere, una volta per tutte, oltre a quello che è vietato, anche quello che è permesso. Diversamente, tanto e tale è il disordine, che le scelte di chi è chiamato a prendere delle decisioni ed a gestire determinati temi all’interno delle aziende continueranno a somigliare ad un disarmante lancio di una monetina.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4