E-mail aziendali, diritti e doveri del datore di lavoro

La posta elettronica aziendale è divenuta una imprescindibile risorsa per la comunicazione interna ed esterna dell’impresa. Tuttavia, il suo utilizzo è spesso causa di incertezze e perplessità riguardo alla protezione della sfera personale e dei dati dei lavoratori. I dubbi, in particolare, sono legati alla possibilità da parte del datore di lavoro di accedere all’account di posta elettronica dei dipendenti e di leggere le e-mail. La questione, nel tempo, è stata oggetto di aperto dibattito, di opinioni controverse, di interventi legislativi e anche la Corte di Cassazione è dovuta intervenire più volte per affrontare il tema della legittimità del controllo.

Allo stato, in seguito agli interventi della Corte europea dei diritti dell’uomo¹ del Garante per la protezione dei dati personali² e dei giudici nazionali pare ora pacifico che la casella di posta elettronica aziendale possa essere oggetto di verifiche da parte del datore di lavoro. I controlli, però, per non essere in contrasto con l’art. 4, co. 3, della L. 300/70, possono essere effettuati solo qualora il lavoratore sia stato adeguatamente informato sulle concrete modalità degli accertamenti sulla e-mail aziendale e sia rispettata la disciplina in materia di tutela dei dati personali³.

1. Le condizioni che consentono il controllo

I problemi in materia nascono dal fatto che spesso, all’interno delle imprese, manca l’esplicita indicazione del fatto che la posta elettronica rappresenta uno strumento aziendale e non è di proprietà del dipendente. La mancanza di chiarezza può creare confusione sull’argomento e portare il lavoratore, o terze parti, a nutrire legittime aspettative di riservatezza riguardo a questa forma di comunicazione⁴. È necessario, pertanto, da parte delle imprese, prestare particolare attenzione alla questione per non ledere i diritti dei lavoratori e commettere illeciti che possono avere conseguenze di rilievo.
Fermo restando che il datore di lavoro non può mai leggere le e-mail personali dei dipendenti, pena la possibile commissione del reato di violazione di corrispondenza, il controllo della e-mail aziendale⁵ è legittimo, solo in presenza di una serie di condizioni:

– il lavoratore deve essere avvisato che la sua corrispondenza può essere letta tramite specifiche operazioni, dettagliate da una specifica policy aziendale. E’, pertanto, esclusa la possibilità di un controllo informatico all’insaputa del lavoratore interessato;
– il controllo non può superare i limiti imposti dalla finalità del trattamento; pertanto, possono essere lette e-mail aziendali attinenti solo a questioni lavorative;
– il datore deve consentire la tracciabilità dei controlli, in modo da rendere trasparente quante e quali e-mail sono state monitorate, per quanto tempo e quante persone hanno avuto accesso ai relativi dati;
– deve essere rispettata la proporzione tra finalità e invasione della privacy.

In ogni caso, alla cessazione del rapporto di lavoro, il datore di lavoro è tenuto a disattivare l’account dell’e-mail aziendale del dipendente. Ciò implica la predisposizione di un sistema automatico di risposta che segnali al mittente che l’indirizzo di posta non è più attivo e indichi a chi poter scrivere in alternativa. È vietato il semplice reindirizzamento automatico delle e-mail del dipendente cessato⁶.

2. La Privacy Policy

Il datore, per governare il problema adeguatamente, deve allestire, nell’ambito della Privacy Policy aziendale, una sezione dedicata alla gestione delle e-mail.

Nel documento è opportuno siano presenti le seguenti disposizioni:

– utilizzo delle e-mail: occorre specificare come i lavoratori possono utilizzare le e-mail aziendali, se possono o meno utilizzarle per scopi personali e stabilire limitazioni e regole;
– monitoraggio delle e-mail: si deve specificare se l’azienda si riserva il diritto per determinate ragioni (ad esempio, per garantire la sicurezza informatica, per rispettare le normative sulla privacy o per investigare eventuali  violazioni della politica aziendale) di monitorare le e-mail dei lavoratori e, in caso affermativo, come questo verrà esercitato. I controlli in ogni caso non potranno mai essere sistematici e illimitati⁷;
– conservazione delle e-mail: deve essere indicato per quanto tempo le e-mail vengono conservate e come verranno gestite quando non saranno più necessarie⁸;
– accesso alle e-mail: deve essere indicato chi può aver accesso alle e-mail dei collaboratori e come questo viene controllato. Dovrà essere disciplinata la procedura per garantire la funzionalità del servizio in caso di assenza dell’utente aziendale dell’account;
– sicurezza delle e-mail: devono essere prescritte le cautele necessarie per prevenire attacchi informatici o accessi non autorizzati;
– procedura di off-boarding: si devono far conoscere le modalità di revoca dell’accesso all’account di posta elettronica, della sua cancellazione e di come avverrà la comunicazione della circostanza ai colleghi.

2.1 L’onere di dimostrare l’avvenuta conoscenza della Policy Privacy

La Policy aziendale deve essere portata a debita conoscenza dei lavoratori. In sede giudiziaria sarà preciso onere del datore di lavoro dimostrare che il lavoratore ne è stato informato attraverso affissione in bacheca o comunicazione telematica con conferma di lettura. A tal fine molte imprese fanno sottoscrivere la Policy al momento dell’assunzione o richiedono il flag di lettura in occasione della trasmissione del cedolino di retribuzione. La semplice pubblicazione sul portale telematico dell’azienda, che subordina la visibilità dello stesso alla scelta del lavoratore di consultare la relativa pagina, non è sufficiente per l’assolvimento dell’onere.

3. Programmi di monitoraggio

Esistono programmi elettronici di monitoraggio delle e-mail che potrebbero essere utilizzati dal datore di lavoro per diverse finalità, tra cui: sicurezza informatica (es.: per prevenire la perdita di dati sensibili e per proteggere l’azienda da attacchi informatici), controllo della produttività (es.: per controllare se i dipendenti stanno utilizzando il loro tempo di lavoro in modo produttivo), conformità legale (es.: per garantire il rispetto delle regole sulla privacy dei clienti), rilevamento di attività illecite (es.: per identificare comportamenti illegali o fraudolenti da parte dei dipendenti, come lo scambio di informazioni riservate con terze parti non autorizzate).
L’utilizzo di tali programmi per il controllo sistematico delle e-mail è assolutamente vietato. Il monitoraggio incidentale è invece possibile, previo accordo sindacale o, in mancanza, autorizzazione dell’INL competente o ministeriale ex art. 4, co. 1, L. 300/70.

4. Le indicazioni del Garante per la Privacy

Sotto il profilo organizzativo il Garante ritiene opportuno che l’azienda:
– renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
– valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato a un uso personale;
– preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
– metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato o di improrogabili necessità legate all’attività lavorativa.

4.1 Comportamenti anomali

Qualora le misure preventive non fossero sufficienti a evitare comportamenti anomali, il Garante prescrive di effettuare gli eventuali controlli con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si può passare a controlli su base individuale.

5. Conservazione delle e-mail

La questione relativa alla conservazione delle e-mail aziendali non è affatto semplice da risolvere. Da un lato vi sono le regole che disciplinano l’archiviazione della corrispondenza, comprese le e-mail, stabilite dagli articoli 2214 e 2220 del Codice civile e dall’articolo 22 del Dpr 600/1973; dall’altro le norme che tutelano la sfera personale e i dati dei lavoratori. Il Garante⁹, infatti, ritiene che il datore di lavoro abbia l’obbligo di limitare la conservazione delle mail ai soli casi in cui questa risulti indispensabile, e che la stessa debba essere supportata da valide motivazioni e non risulti eccedente¹⁰: il termine decennale previsto dal Codice civile non può conseguentemente essere considerato sempre congruo per la conservazione delle e-mail aziendali¹¹.

In ragione di ciò, si può considerare che solo le e-mail di rilievo commerciale e/o giuridico riferite all’azienda, per le norme innanzi evidenziate, debbano essere tenute in archivio per almeno dieci anni. Tuttavia, non rientra in questo ambito la corrispondenza che non abbia un tale contenuto, come per esempio le newsletter e le comunicazioni ricevute dai dipendenti a titolo personale, quali messaggi ricevuti sul social Linkedin, inviti a iniziative culturali, pubblicità di istituti bancari alla clientela, etc.

Sotto il profilo organizzativo sarebbe, pertanto, opportuno che l’utente di un account aziendale reinoltrasse per la conservazione tutte le e-mail di rilievo commerciale e/o giuridico ad appositi indirizzi aziendali. Se così fosse, nel caso di cessazione del rapporto, il suo account e il relativo archivio potrebbe essere tranquillamente eliminato in aderenza alle prescrizioni del Garante.

¹  Corte Europea dei Diritti dell’Uomo 12 gennaio 2016
²  Provvedimento generale dell’Autorità Garante per la protezione dei dati personali del 1° marzo 2007
³ Art. 4, co. 3, L. 300/70: Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
⁴ Infatti, qualora “siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle «caselle» rappresentano il domicilio informatico proprio del dipendente […] pertanto, la casella rappresenta uno «spazio» a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza”. Cass., V Sez. penale n. 13057 del 31 marzo 2016
⁵ Tribunale di Vicenza, 28.10.2019 n. 356
⁶ Fond. Studi Consulenti del Lavoro, Parere 2 febbraio 2015, n. 4.
⁷ Si veda quanto scritto in proposito al § 3
⁸ Si veda quanto scritto in proposito al § 5
⁹ Ordinanza ingiunzione nei confronti di Gaypa s.r.l. – 29 ottobre 2020 [9518890]. Il Garante ha imposto il divieto del trattamento dei dati estratti dall’account di posta elettronica del dipendente e irrogato una sanzione di € 20.000 all’impresa. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9518890
¹⁰ Ad esempio, l’eventuale conservazione per esigenze di tutela o sicurezza deve essere concreta e attuale e non solo ipotizzata.
¹¹ Risulta parimenti in contrasto con i richiamati principi di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) e di limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento) la prospettata sistematica conservazione sul server aziendale per un esteso periodo di tempo, pari a tre anni, di tutte le e-mail inviate e ricevute dagli account aziendali (v. provv. 1.2.2018, n. 53, doc. web n. 8159221, spec. punto 3.2.). Si veda nota n. 9.