Visita la pagina dedicata o utilizza il nostro strumento interattivo.
Calcola il preventivo
Debora Teruggia
Nell’ambito del rapporto di lavoro tra dipendenti e datore di lavoro, una questione controversa riguarda il controllo dell’account di posta elettronica del dipendente. L’accesso alla casella email del dipendente, sia durante il rapporto di lavoro che dopo la cessazione dell’impiego, è un tema delicato che richiede un bilanciamento attento tra i diritti del lavoratore e gli interessi del datore di lavoro.
La casella email aziendale è senza ombra di dubbio uno strumento di lavoro che il datore mette a disposizione del lavoratore. Ricordiamo, infatti, che il dipendente in procinto di cambiare lavoro, non può scaricare la sua posta né conservarla in supporti esterni. Non può nemmeno accedere alla sua “vecchia” casella di posta poiché commetterebbe un illecito e sarebbe passibile di denuncia per accesso abusivo a sistema informatico ai sensi dell’art. 615 ter c.p., secondo cui “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza […] è punito con la reclusione sino a tre anni”.
È altrettanto vero, però, che le email aziendali contengono anche dati sensibili e strettamente personali e sono protette da garanzie costituzionali. Infatti, il lavoratore ha diritto alla sua privacy, alla segretezza della corrispondenza e alla tutela dei propri dati personali.
Pertanto, sia il lavoratore sia i terzi coinvolti possono vantare una legittima aspettativa di confidenzialità rispetto ad alcune forme di comunicazione, soprattutto in mancanza di un’apposita policy. Dall’altro lato, il datore di lavoro ha l’interesse legittimo di garantire una gestione aziendale efficace, proteggere la sicurezza delle informazioni aziendali e assicurarsi la continuità operativa dell’azienda in caso di assenza del lavoratore e/o in caso di cessazione del rapporto di lavoro.
Per evitare controversie e rispettare la normativa sulla privacy, è essenziale che il datore di lavoro adotti alcune prassi riguardo all’account di posta elettronica del dipendente:
1.- Policy Interna: Fin dall’inizio del rapporto di lavoro, è fondamentale prefigurare e pubblicizzare una policy interna riguardante l’uso corretto degli strumenti aziendali e gli eventuali controlli. La casella di posta aziendale deve essere utilizzata esclusivamente per scopi professionali, essendo di fatto uno strumento aziendale a disposizione del dipendente. Sensibilizzare i dipendenti riguardo ai potenziali rischi e alle conseguenze dell’abuso di tali strumenti è sempre buona cosa.
Oltre ad informare preventivamente il dipendente e a raccogliere il suo consenso scritto, il datore di lavoro dovrebbe comunicare la possibilità di controlli a campione o calendarizzati. Il controllo deve essere mirato sull’area di rischio e deve tenere conto della normativa sulla protezione dei dati e del principio di segretezza della corrispondenza.
2.- Informativa ai Dipendenti: Oltre a questo onere, il datore di lavoro deve anche informare gli interessati ai sensi dell’art. 13 del Codice, consegnando al dipendente l’informativa relativa al trattamento dei dati personali, tra cui anche l’utilizzo della casella e-mail. Detta informativa, per essere completa e in linea con la normativa, dovrà chiarire – innanzitutto – l’utilizzo che il dipendente può fare della casella e-mail e informarlo su quali sono le politiche di conservazione e di accesso.
In particolare, è importante inserire nell’informativa la durata del periodo di conservazione nonché le finalità e le modalità di accesso/di controllo durante il rapporto.
3.- Rispetto dei Principi di Privacy: Il datore di lavoro deve attenersi ai principi di necessità e pertinenza nella gestione dei dati personali dei dipendenti. Il trattamento e il conseguente ed eventuale controllo dei dati deve essere limitato a finalità determinate, esplicite e legittime.
Il datore di lavoro ha il diritto di controllare le email dei lavoratori per verificare il regolare svolgimento delle mansioni, ma il controllo deve riguardare solo l’indirizzo di posta elettronica aziendale e solo in determinati casi e secondo precise regole, stabilite nelle Linee Guida del Garante della privacy. Nelle Linee guida del 2007 vengono infatti sanciti alcuni importanti principi:
a) il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite (art. 3 del Codice; par. 5.2 );
b) i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (art. 11, comma 1, lett. b), del Codice: par. 4 e 5), osservando il principio di pertinenza e non eccedenza (par. 6). Il datore di lavoro deve trattare i dati “nella misura meno invasiva possibile” e le attività di monitoraggio devono essere svolte solamenti da soggetti autorizzati e preposti a detta attività (par. 8). Inoltre devono tenere conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza (Parere n. 8/2001, cit., punti 5 e 12 ).
I medesimi principi sono stati ribaditi nel 2019 sempre dal Garante della Privacy, con il provvedimento n. 216 del 04 dicembre 2019: un intervento che ribadisce come la protezione della vita privata si estende anche all’ambito lavorativo.
Nel caso affrontato dal Garante, un ex dipendente ha presentato un reclamo perché il suo precedente datore di lavoro aveva avuto accesso alla sua casella di posta elettronica aziendale un anno dopo la sua cessazione dal servizio.
Mantenendo attivo il suo account di posta per oltre un anno dopo la fine del rapporto di lavoro, l’azienda aveva di fatto accesso alle comunicazioni a lui pervenute durante quel periodo, ponendo in essere una violazione della normativa sulla privacy.
Il Garante ha ritenuto illegittime le modalità adottate dalla società, poiché non erano conformi ai principi di protezione dei dati. Ha sottolineato che il datore di lavoro deve proteggere la riservatezza anche dell’ex lavoratore e informare preventivamente i dipendenti riguardo alle modalità di trattamento dei dati personali, compreso l’uso degli strumenti di posta elettronica aziendale durante il rapporto di lavoro e alla sua cessazione.
Il Garante, sin dal 2019, evidenzia come il lavoratore abbia una legittima aspettativa di riservatezza su alcune forme di comunicazione, e il datore di lavoro al momento della cessazione del rapporto di lavoro deve chiudere l’account dell’email aziendale affidato al dipendente e non può mantenerlo attivo o affidarlo ad un altro dipendente. Ovviamente dovrà informare – tramite l’utilizzo di sistemi automatici – che l’account è stato disattivato nonché fornire un account aziendale alternativo a cui indirizzare le nuove comunicazioni.
Tuttavia, non è consentito al datore di lavoro attuare un sistema di redirect automatico, ovvero un meccanismo di inoltro immediato della posta ricevuta dall’ex dipendente a un altro account poiché sarebbe equiparabile a lasciare attivo l’account.
Riassumendo, la conservazione dell’account e delle e-mail a esso associate dopo la cessazione del rapporto di lavoro costituirebbe una violazione della normativa sulla privacy e potrebbe essere sanzionata. Infatti, l’ex dipendente in caso di mancata disattivazione dell’account di posta elettronica può proporre un reclamo al Garante che può ordinare sanzioni o anche visite ispettive della Guardia di finanza per verificare tutti i dettagli della doglianza.
Il controllo dell’account di posta elettronica del dipendente è una questione delicata che richiede una gestione attenta da parte dei datori di lavoro. Rispettare la normativa sulla privacy, informare adeguatamente i dipendenti e adottare politiche interne chiare sono passi fondamentali per evitare controversie e sanzioni. I datori di lavoro dovrebbero trattare con la massima cautela e rispetto i dati personali dei propri dipendenti, riconoscendo e tutelando i loro diritti alla privacy e alla riservatezza delle comunicazioni.
Debora Teruggia
