La corretta gestione degli account di posta elettronica aziendali di tipo individualizzato è fondamentale e come tale deve essere adeguatamente disciplinata dalle singole società.
Nello specifico, la regolamentazione dell’accesso ai predetti account da parte dei singoli datori di lavoro è da sempre uno degli aspetti più critici e discussi, su cui si pronunciano periodicamente sia il Garante per la protezione dei dati personali, sia la giurisprudenza.
Facciamo, quindi, un po’ di chiarezza e cerchiamo di capire quali sono gli accorgimenti da adottare per una gestione degli account conforme alla vigente normativa.
Indice degli argomenti
E-mail aziendale assegnata al lavoratore: premesse
La digitalizzazione dei processi ha consentito alla posta elettronica di diventare uno degli strumenti più utilizzati per comunicare all’interno e all’esterno delle realtà aziendali. Come tale, l’art. 4, comma 2, della L. 300/1970 (Statuto dei Lavoratori) lo ha annoverato tra quegli strumenti necessari a rendere la prestazione lavorativa e per cui l’eventuale attività di controllo è possibile alla sola condizione che al lavoratore venga resa un’adeguata informazione sia circa le modalità d’uso dello stesso strumento, sia rispetto alle finalità e modalità di effettuazione dei predetti controlli da parte del datore di lavoro.
Ciò, anche e soprattutto al fine di garantire il rispetto dei principi sanciti dalla normativa in materia di protezione di dati personali e dall’Autorità Garante nelle sue “Linee Guida per posta elettronica e internet” e nei suoi numerosi provvedimenti.
L’Autorità Garante è, infatti, da sempre ferma nel sostenere che l’uso improprio della posta elettronica da parte del lavoratore possa comportare una serie di rischi al datore di lavoro, sia in termini di sicurezza dei dati trattati, sia della stessa struttura informatica e che è, quindi, necessario che il datore di lavoro si doti di una policy interna, che definisca chiaramente le modalità di:
- utilizzo degli strumenti informatici aziendali (tra cui rientra anche la posta elettronica) da parte del lavoratore;
- controllo dei predetti strumenti da parte del datore di lavoro, con conseguente indicazione delle eventuali sanzioni in caso di violazione.
Ma non solo. L’Autorità Garante continua prescrivendo al datore di lavoro l’obbligo di rendere al lavoratore un’idonea informativa sul trattamento dei dati personali ai sensi dell´art. 13 del Regolamento UE 679/2016, all’interno della quale vengano dettagliatamente indicati i dati trattati relativamente all’utilizzo dell’account di posta elettronica aziendale e, più in generale, della strumentazione informatica aziendale.
Policy interna: contenuto minimo
Come detto, la predisposizione di una policy interna che disciplini – tra gli altri strumenti informatici aziendali – la posta elettronica è fondamentale per consentire al datore di lavoro di portare a conoscenza del lavoratore sia i comportamenti consentiti con tale strumento, sia le eventuali modalità di controllo.
Tale procedura, quindi, non solo deve essere redattain modo chiaro e senza formule generiche, ma deve altresì essere mantenuta costantemente aggiornata e pubblicizzata all’interno della realtà aziendale: come? Mediante l’affissione in bacheca, la consegna a mani, la messa a disposizione nella intranet aziendale, ecc.
Quanto al suo contenuto, invece, deve contenere:
- le regole per il corretto utilizzo della posta elettronica per fini lavorativi, prevedendo specifici divieti;
- se e in quale misura è consentito al lavoratore di utilizzare – anche per motivi personali – l’account di posta elettronica assegnato;
- le modalità di archiviazione delle comunicazioni importanti e di eventuali file allegati alle stesse;
- se e in quale misura il datore di lavoro si riserva la facoltà di effettuare controlli, con previsione delle ragioni legittime e specifiche sulla base delle quali questi verrebbero effettuati e con indicazione delle relative modalità;
- le soluzioni prefigurate per garantire – con la cooperazione del lavoratore – la continuità dell’attività lavorativa in caso di assenze programmate e non dello stesso;
- le conseguenze – anche di tipo disciplinare – che il datore di lavoro si riserva di applicare qualora verifichi un uso contrario alla procedura della posta elettronica da parte del lavoratore;
- le modalità di gestione della posta elettronica in caso di cessazione del rapporto di lavoro con il lavoratore.
Legittimità dei controlli sull’e-mail aziendale assegnata al lavoratore
I controlli sulla casella di posta elettronica assegnata al lavoratore sono legittimi se vengono:
- rispettate una serie di condizioni specifiche;
- attuati nel rispetto dei principi di necessità, correttezza, pertinenza e non eccedenza. Al riguardo, sono numerosi i provvedimenti emanati dall’Autorità Garante e contenenti importanti spunti riferiti proprio alle modalità tramite le quali i controlli possono ritenersi leciti. Vediamoli insieme.
Quali sono, quindi, le condizioni che il datore di lavoro deve soddisfare per poter dar corso ai controlli? Eccole di seguito riassunte:
Comunicazione
Come già evidenziato, il lavoratore deve essere informato – in modo chiaro e dettagliato – della possibilità per il datore di lavoro di effettuare controlli sulla posta elettronica.
Tale aspetto è molto importante ed è costantemente attenzionato dall’Autorità Garante; si veda tra i tanti il provvedimento n. 171 del 17.03.2023 con cui l’Autorità ha applicato una sanzione pecuniaria di € 40.000,00 ad una società per aver utilizzato l’e-mail del lavoratore nell’ambito di un procedimento giudiziario senza averlo prima informato circa le modalità e le finalità di effettuazione dei controlli.
Accesso condizionato
È onere del datore di lavoro precisare le motivazioni – specifiche e non generiche – per cui il controllo potrebbe essere effettuato. Tra queste, ad esempio, potrebbero esserci ragioni di tutela del patrimonio aziendale, necessità di esercitare un diritto in sede giudiziale, verificare la funzionalità dell’account e testarne la sicurezza, ma è comunque necessario che dette motivazioni vengano indicate.
Al riguardo si segnala che lasezione 14 della Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale prevede chiaramente che “Il datore di lavoro può accedere alle comunicazioni elettroniche di natura professionale dei dipendenti, informati preventivamente dell’esistenza di tale possibilità, soltanto se ciò risulti necessario per finalità di sicurezza o per altre finalità comunque legittime”.
Modalità
Devono essere rese note al lavoratore le modalità attraverso cui verranno effettuati i controlli da parte del datore di lavoro, che non devono essere invasive. Il datore di lavoro deve, quindi, preferire un controllo preliminare e casuale su dati anonimi o aggregati che si riferiscano all’intera struttura aziendale o ad alcune delle sue aree. Solo successivamente e in caso di persistenza dell’anomalia, il datore di lavoro potrà procedere con controlli nominativi o su singoli dispositivi e postazioni, avvisando preventivamente il lavoratore e ad eccezione del caso in cui sussistano particolari circostanze.
Non possono, invece, in nessun caso essere compiuti controlli sistematici, ossia prolungati, costanti e indiscriminati.
Controlli “difensivi” alla luce della recente giurisprudenza
Il tema dei controlli e, in particolare, quello dei cd. controlli difensivi è fonte di grande interesse anche per la giurisprudenza. Sono, infatti, numerose le sentenze in cui la Suprema Corte (tra le altre, Cass. Civ., Sez. Lavoro, n. 25732 del 2021, Cass. Civ., Sez. Lavoro, n. 18168 del 2023 e Cass. Civ., Sez. Lavoro, n. 2398506 del 2024) ha ribadito la necessità di tenere distinti i:
- controlli a difesa del patrimonio aziendale, ovvero quelli che riguardano tutti i lavoratori nell’ambito dello svolgimento della propria prestazione lavorativa e che devono essere attuati nel rispetto delle previsioni dell’art. 4 dello Statuto dei Lavoratori; dai
- controlli difensivi in senso stretto, ovvero quellifinalizzati ad accertare precise condotte illecite ascrivibili -in base a concreti indizi – ai singoli lavoratori e che esulano dal perimetro applicativo dell’art. 4 dello Statuto dei Lavoratori. Tali controlli per considerarsi leciti devono, però, essere mirati ed essere attuati ex post, ossia a seguito del comportamento illecito “del cui avvenuto compimento il datore abbia avuto il fondato sospetto”.
Oltre a ciò, altro aspetto su cui la giurisprudenza pone la sua attenzione è la necessità dell’attuazione di un corretto bilanciamento tra le esigenze di protezione degli interessi e dei beni aziendali da un lato e la tutela della dignità e della riservatezza del lavoratore dall’altro.
Dalla lettura delle varie pronunce si rileva, infatti, il principio di diritto secondo cui “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”
Il tutto, infine, deve essere attuato nel rispetto della normativa in materia di protezione dei dati personali, che non può essere disattesa a prescindere dalla tipologia di controllo attuato.
Assenza o cessazione del rapporto di lavoro
Come deve comportarsi il datore di lavoro in caso di assenza del lavoratore e al momento della cessazione del rapporto di lavoro? Quali sono gli accorgimenti da adottare?
Sul punto ci vengono ancora una volta in aiuto le “Linee Guida per posta elettronica e internet” emanate dall’Autorità Garante in cui è chiaro il comportamento che il datore di lavoro deve tenere in caso di assenza del lavoratore. Nello specifico, in caso di:
- assenze programmate (ad esempio, ferie) e per garantire la continuità operativa, il datore di lavoro deve mettere a disposizione di ciascun lavoratore delle funzionalità di sistema – di agevole utilizzo – che consentano di inviare automaticamente messaggi di risposta contenenti le “coordinate” di contatto di un altro soggetto operante presso la società o altre modalità di contatto della società presso la quale opera il lavoratore assente;
- assenze non programmate (ad esempio, malattia) e qualora il lavoratore non possa attivare la procedura sopra richiamata, il datore di lavoro può prevedere lecitamente – e sempre che sia necessario – che l’Amministratore di Sistema attivi un risponditore automatico, dandone però previo avviso al dipendente.
Potrebbe, inoltre, essere utile che il lavoratore deleghi un collega (cd. fiduciario) ad accedere alla propria casella di posta elettronica, in caso di assenza improvvisa o prolungata o per improrogabili necessità legate all’attività lavorativa, così che quest’ultimo possa inoltrare al datore di lavoro quei messaggi ritenuti rilevanti per lo svolgimento dell’attività. Si rammenta che tale operazione dovrà, in ogni caso, essere oggetto di apposito verbale e dovrà essere comunicata al lavoratore assente.
Anche rispetto alla gestione della casella di posta elettronica del lavoratore in caso di cessazione del rapporto, l’Autorità Garante è costante nel ritenere che, una volta concluso il rapporto, il datore di lavoro debba procedere con la cancellazione dalla casella entro un tempo ragionevole, previa disattivazione della stessa e contestuale adozione di sistemi automatici volti ad informare i soggetti terzi della cessazione ed a fornire loro indirizzi alternativi ai quali rivolgersi.
Non è, inoltre, possibile:
visualizzare i messaggi in arrivo nelle more del periodo di tempo necessario alla cancellazione della casella.
attivare il reindirizzamento automatico dei messaggi in arrivo alla casella del lavoratore cessato alla casella di un altro lavoratore;
