È un tema molto ampio e talvolta sottovalutato, ma tutelare la privacy dell'e-mail aziendale del lavoratore passa dalla consapevolezza di ciò che - per legge - è concesso fare al datore di lavoro (e al dipendente stesso) nell'utilizzo di questo strumento. E cosa invece no.
Se, da un lato, le e-mail personali sono sempre da considerare inaccessibili, per quelle aziendali ci sono diversi aspetti tecnici e organizzativi da tenere presenti.
Lo scambio di e-mail sul posto di lavoro è un'attività quotidiana e frequente, dunque è chiaro che dalle caselle di posta elettronica dei lavoratori passino informazioni importanti ogni giorno. Ma il datore di lavoro può controllarle? E come vengono gestiti questi dati nel momento in cui termina il rapporto lavorativo?
Vediamo alcuni punti importanti da sapere e le linee guida del Garante in ambito e-mail aziendale e privacy.
Privacy e-mail aziendale: cosa può fare il datore di lavoro (e cosa no)
Il datore di lavoro può controllare le e-mail aziendali dei dipendenti? In linea di massima no, ma ci sono delle casistiche in cui ciò può essere previsto.
I motivi per i quali egli potrebbe aver bisogno di accedere alla casella di posta del lavoratore, infatti, sono soprattutto due:
- assicurare la continuità operativa dell'azienda, avendo accesso a informazioni o documentazione di particolare rilevanza per l'impresa, presenti nell’e-mail del dipendente (assente per qualche motivo o il cui rapporto lavorativo sia giunto al termine);
- utilizzare delle e-mail presenti nella casella di posta del lavoratore per fini disciplinari.
In ogni caso, ci sono molti "però" da considerare.
Il primo - e più importante - riguarda la necessità da parte del datore di lavoro di adottare una policy interna e di avvisare preventivamente gli interessati sul trattamento dei loro dati (dal momento dell'assunzione fino al termine del rapporto lavorativo) e sul tipo di controlli che può effettuare sulle e-mail aziendali.
In mancanza di adeguata informazione sulle modalità d'uso degli strumenti e quelle di controllo, le informazioni ottenute in modo illegittimo non solo saranno inutilizzabili ma comporteranno inoltre diverse conseguenze, anche penali, per il datore di lavoro.
Al tempo stesso, è importante che al lavoratore venga ricordato che l'utilizzo dell'account aziendale nominativo debba limitarsi ai soli fini lavorativi e non a quelli privati (ovvero non può usarlo come se fosse un'e-mail personale). Un uso promiscuo, infatti, può rappresentare un rischio per il dipendente (il quale produrrà in quel modo dati strettamente personali e riservati, conservati su server aziendali, backup, ecc.) ma anche un rischio privacy per il titolare, ai sensi del GDPR, Reg. UE 2016/679.
E-mail aziendale e privacy: altri aspetti da considerare
Torniamo un attimo indietro ai due punti citati in precedenza, ovvero i motivi per i quali il datore di lavoro potrebbe dover controllare la posta elettronica aziendale di un dipendente.
Il tema è molto vasto, e le casistiche sono diverse, ma è importante citare qualche altro aspetto da considerare in tema di e-mail aziendale e privacy.
Ad esempio, per quanto riguarda la continuità aziendale, il Garante prevede che il datore di lavoro debba comunque mettere a disposizione di ogni lavoratore apposite funzionalità che permettano di "inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le "coordinate" (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura". Avvalersi di tali modalità può prevenire la necessità di aprire la posta elettronica del lavoratore.
In caso di assenze non programmate (es. malattia) che impediscano al lavoratore di attivare tale procedura automatica, "il titolare del trattamento, perdurando l’assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato [...], l’attivazione di un analogo accorgimento, avvertendo gli interessati".
Altro aspetto da tener presente, nell'ottica di assicurare la continuità operativa, è che la posta elettronica non è comunque idonea a una corretta gestione documentale. Quindi l'azienda dovrà adottare specifici sistemi per una corretta archiviazione dei documenti.
Per il Garante, inoltre, la raccolta a priori di tutte le e-mail - in vista di futuri ed eventuali contenziosi - appare ingiustificata: la conservazione deve riferirsi, infatti, "a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate".
E in caso di interruzione del rapporto di lavoro? Come dovrà essere gestita la casella aziendale del dipendente? Secondo l'Autorità, essa deve essere disattivata e rimossa al cessare del rapporto lavorativo, predisponendo sistemi che prevengano la ricezione dei messaggi e informando i soggetti terzi - con sistemi automatici - che quell'account è stato disattivato (indicando i nuovi recapiti alternativi).
Le linee guida del Garante in tema di posta elettronica aziendale e privacy
Sebbene le Linee guida del Garante per posta elettronica e internet risalgano ancora al 2007, esse sono ancora oggi applicabili.
In tema di privacy e posta elettronica, nello specifico, viene ribadito come la mancata esplicitazione di una policy possa determinare una "legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione".
Queste incertezze possono poi riflettersi "sulla qualificazione, in termini di liceità, del comportamento del datore di lavoro" che voglia apprendere il contenuto delle e-mail inviate e ricevute.
Oltre a quanto già visto nei precedenti paragrafi, dunque, nelle linee guida vengono citati altri accorgimenti che possono prevenire violazioni dei principi di pertinenza e non eccedenza. È quindi opportuno che il datore di lavoro:
- renda disponibili indirizzi di posta elettronica condivisi (ad esempio quelli con info@ +nome aziendale), eventualmente affiancandoli a quelli individuali legati alla singola persona;
- valuti la possibilità di fornire al lavoratore un diverso indirizzo, destinato ad uso privato del lavoratore stesso.
Inoltre, in caso di possibili assenze improvvise o prolungate, e per necessità improrogabili legate all'attività lavorativa, che richiedano di conoscere i contenuti delle e-mail, l'interessato può delegare un altro lavoratore (fiduciario). Egli si occuperà di verificare il contenuto dei messaggi e semmai inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento delle attività. Il titolare, poi, dovrebbe redigere un apposito verbale di quanto avvenuto e informare il lavoratore alla prima occasione utile.
Infine, le e-mail dovrebbero prevedere un avvertimento ai destinatari, dichiarando l'eventuale natura non personale dei messaggi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente ed eventualmente rinviando alla policy datoriale.
Per approfondire, qui trovi un altro articolo collegato a questo argomento: Come proteggersi dagli attacchi phishing, i consigli del Garante.
Vuoi essere certo di tutelare i dati personali di clienti, fornitori e dipendenti? Oppure devi stilare una policy interna per il trattamento dei dati e l’uso delle caselle di posta aziendale? Contattaci senza impegno per richiedere la consulenza di un nostro professionista.
 |
Scritto da: Elena Bonomi Consulente laureata in Scienze dei servizi giuridici e specializzata in sicurezza sul lavoro, appassionata di sport e chitarra. |