Posta elettronica di un ex dipendente

Nell’ambito del rapporto di lavoro, una delle problematiche più serie per le aziende è quella della gestione della casella mail di un dipendente/lavoratore che se ne va. In questo articolo illustreremo i principali aspetti della privacy da tenere in considerazione per una corretta gestione della posta.

Introduzione alla Problematica

Fermo restando il principio di inviolabilità della corrispondenza, e quindi della relativa inaccessibilità in mancanza di un provvedimento motivato dell’autorità giudiziaria (ex Artt. 2 e 15 Cost.), la questione dell’accesso all’indirizzo email del dipendente può presentare problemi di interpretazione. Infatti, spesso ci chiediamo se la posta aziendale sia di proprietà dell’azienda, e quindi accessibile al datore di lavoro in qualsiasi momento, oppure se sia uno strumento personale, che deve essere protetto in conformità con i principi della legge privacy.

Non mancano le decisioni in materia, sia a livello internazionale che nazionale, che mantengono il dibattito aperto e in costante evoluzione.

La prima questione da affrontare per chiarire le principali problematiche derivanti dall’uso (e dalla disattivazione) della posta elettronica aziendale riguarda la sua proprietà: la mail è del datore di lavoro o del dipendente?

La mail corporativa è del datore di lavoro ed è stata creata per essere utilizzata ai fini del rapporto lavorativo. Infatti – come esporremo di seguito – dovrebbe porre in essere una policy datoriale relativa alla gestione della posta elettronica in quanto costituente di uno strumento di lavoro. Tuttavia, il fatto che la proprietà appartenga al datore di lavoro non toglie che si debba garantire il principio di segretezza; poiché, come indica la Corte di cassazione penale nella sentenza 13057 del 31 marzo 2016, queste caselle a nome di uno specifico dipendente rappresentano il domicilio informatico del proprio dipendente e quindi, “[lo] spazio a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza”.

La mail aziendale è un dato personale?

Come non si possono ignorare le norme sulla riservatezza delle comunicazioni, così non si possono trascurare quelle sulla privacy dei dati personali. A questo punto la seconda domanda che ci poniamo è: La posta aziendale è un dato personale?

Alla luce della normativa europea e nazionale, le e-mail aziendali corporative nominative, cioè composte di nome e cognome più dominio aziendale (ad esempio, m.navas@azienda.it, navas@azienda.it; maria.navas@azienda.it) sono intrinsecamente dati personali ai sensi dell’articolo 4, paragrafo 1, del Regolamento europeo sulla protezione dei dati (di seguito GDPR), in quanto riguardano dati relativi a una persona fisica identificata o identificabile, e di conseguenza necessitano di essere tutelate secondo il GPDR.

Infatti, molti sono i provvedimenti in tema di corretto trattamento della posta elettronica sia da parte del datore di lavoro che del dipendente a livello di privacy. Una delle più note sono le linee guida del Garante per posta elettronica e internet di marzo di 2007, all’interno delle quali l’autorità ha consigliato al datore di lavoro di rendere disponibili indirizzi di posta elettronica generici condivisi tra più lavoratori (ad. esempio info@azienda.it; ufficioreclami@azienda.it; commerciale@azienda.it) al fine di minimizzare le problematiche legate alla tutela della riservatezza.

Tuttavia, il fatto che si tratti di dati personali di un dipendente, non comporta che questi possa conservare l’indirizzo e-mail per sempre. Come già detto, la posta aziendale è legata al rapporto tra l’azienda e il dipendente. Infatti, come ha indicato l’Autorità Privacy spagnola (Agencia Española de Protección de Datos -AEPD) nella sua risoluzione n. 447 del 28 aprile 2023, una volta terminato il rapporto di lavoro, mantenere l’accesso all’indirizzo e-mail aziendale di un lavoratore dopo la fine del rapporto di lavoro costituisce una violazione della sicurezza, nella misura in cui l’ex dipendente potrebbe accedere ai dati personali e ad altre informazioni riservate senza essere autorizzato a farlo.

Indicazioni per l’accesso alle caselle di posta elettronica aziendale di un dipendente

Le Linee Guida del Garante per posta elettronica e internet di marzo di 2007 e la Raccomandazione CM/REC (2015) 5 del Comitato dei Ministri degli Stati membri sul trattamento dei dati personali in ambito lavorativo, nonché i vari provvedimenti dei Garanti, ci offrono una panoramica completa della gestione della posta.

In termini generali, il datore di lavoro deve comunicare preventivamente l’esistenza della possibilità di accedere alla posta del dipendente nonché le principali regole per il suo corretto trattamento, attraverso strumenti quali un Disciplinare (qui una versione gratuita da scaricare) o una Policy aziendale. Ciò nonostante, l’accesso può essere consentito solo in caso di necessità e per motivi legittimi, nel rispetto del suddetto principio di segretezza. Inoltre, l’accesso da parte dell’azienda deve essere il meno invasivo possibile, essendo vietato l’utilizzo di sistemi audiovisivi e di altre apparecchiature allo scopo di monitorare a distanza l’attività dei lavoratori. Pertanto, il contenuto, l’invio e la ricezione di e-mail non possono essere oggetto di monitoraggio.

Come indicato nelle Linee Guida, è anche consigliato l’inserimento nei messaggi di posta elettronica di avvertimento circa il carattere non personale del loro contenuto, così come della possibile conoscenza del contenuto dei messaggi da parte dell’organizzazione ed un rinvio alla policy datoriale in tema di posta elettronica.

Ulteriormente, se il dipendente è temporaneamente assente dall’azienda, si raccomanda di prevedere la possibilità di delegare un altro dipendente al controllo del suo indirizzo e-mail e, se necessario, alla trasmissione di quelle mail considerate rilevanti per l’azienda.

E se il dipendente lascia l’azienda?

Se il dipendente lascia l’azienda, essa dovrà apportare ancora più cautele. Di seguito sono elencate le principali accortezze:

• L’account dell’ex dipendente deve essere disattivato automaticamente dopo la sua partenza e devono esser introdotti accorgimenti tecnici per impedire la ricezione e visualizzazione dei messaggi in arrivo. Se l’azienda ha bisogno di recuperare il contenuto dell’account di un ex-dipendente, per inderogabili ragioni di business dell’organizzazione, ciò deve essere fatto prima della partenza del dipendente e, se possibile, in presenza del dipendente stesso.
• Sarà necessario adottare sistemi automatici di risposta che indichino al mittente un indirizzo alternativo cui rivolgersi a chi contatta la casella di posta, tale come un messaggio di risposta automatica per informare i terzi dell’avvenuta disattivazione dell’account, fornendo i nuovi indirizzi di posta elettronica a cui inviare le nuove comunicazioni indirizzate alla società. Non è ammissibile creare un “reindirizzamento automatico” delle mail che arrivano all’indirizzo di un ex dipendente: si tratterebbe, infatti, di un trattamento effettuato attraverso sistemi hardware preordinati al controllo a distanza e in grado di ricostruire l’intera attività dei lavoratori.
• L’account dell’ex dipendente deve essere cancellato in un tempo definito e ragionevole, Il garante ha indicato un termine massimo di tre mesi dopo la sua partenza. Un suo mantenimento per un periodo più prolungato non è consentito in quanto, come già chiarito dal Garante, il trattamento sarebbe illecito

La casella di posta elettronica non è un archivio

La posta elettronica non deve rappresentare uno strumento di archiviazione, ma solo di comunicazione. Questa premessa deve essere nota al dipendente, così come all’azienda stessa, fin dall’inizio del rapporto di lavoro, poiché la posta elettronica non consente, per sua natura, una conservazione sicura. Allo stesso modo, non risulta conforme alla legge l’archiviazione massiva dei contenuti delle comunicazioni sui server elettronici dell’azienda poiché, essendo un sistema di conservazione esteso e sistematico, si ritiene non necessaria e sproporzionata.

Per di più, non è nemmeno consentita la raccolta indiscriminata di tutte le email  in previsione di futuri ed eventuali contenziosi, come è stato ribadito dal Garante nel Provv. n. 53 del 1° febbraio 2018. Quindi, l’eventuale conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate.

Per comprendere il modo corretto di agire, bisogna fare riferimento alla Raccomandazione CM/REC (2015) 5 in cui si stabilisce, tra altre premesse, che l’archiviazione dei contenuto della mail di un dipendente deve essere svolta prima della sua partenza e, se possibile, in presenza del dipendente; che i dati archiviati devono essere solo quelli rilevanti e solo per il tempo necessario.

Per quanto riguarda i sistemi di conservazione idonei, il Garante ha disposto la necessità di adottare “sistemi di gestione documentale specifici in grado di individuare selettivamente i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere  via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile” (cfr. Provv. n. 214 del 29 ottobre 2020), non consentendo, la posta elettronica, di assicurare tali caratteristiche.

Le accortezze sopraindicate non solo sono applicabili ai computer aziendali, ma anche a qualsiasi altro device come smartphone e tablet aziendali, su cui possono essere presenti dati personali, ivi compresa la posta elettronica.

Il ruolo del disciplinare e dell’informativa

Per poter regolamentare correttamente l’utilizzo della posta elettronica, diviene indispensabile consegnare al dipendente un disciplinare (qui una versione gratuita da scaricare) interno sin dall’inizio del rapporto lavorativo.

Questo documento è il mezzo aziendale più idoneo a contenere tutte le regole che i dipendenti devono seguire durante tutti i momenti del rapporto contrattuale, dall’assunzione al termine dello stesso. Sono proprio le best practice di cui abbiamo parlato precedentemente, come le modalità di utilizzo degli strumenti messi a disposizione del lavoratore, le prassi aziendali e i possibili controlli che il datore di lavoro può effettuare. Per questa ragione, il disciplinare dovrà essere adeguatamente diffuso all’interno dell’organizzazione (ad. esempio, nella intranet aziendale, mediante affissione nei luoghi comuni, etc.), nonché sottoposto ad aggiornamenti periodici in base alla propria gestione aziendale e ai provvedimenti delle autorità in materia.

Inoltre, il Garante ritiene più che necessaria l’elaborazione e la distribuzione dell’informativa privacy ai dipendenti, contenente l’elenco di tutti i dati personali che saranno trattati, le finalità e la base giuridica del trattamento, i possibili destinatari e il periodo di conservazione dei dati, così come altre informazioni richieste dagli artt. 13 e 14 del GDPR, al fine di informare correttamente il dipendente sull’uso che sarà fatto dei suoi dati personali. Questa informativa dovrà essere fornita al dipendente prima che avvenga la raccolta dei dati, cioè all’inizio del rapporto di lavoro, o anche quando si verifica una modifica o un’integrazione delle stesse. Inoltre, il datore di lavoro deve richiedere il consenso esplicito del dipendente per le finalità di trattamento per cui è necessario, altrimenti tratterebbe i dati in modo illegittimo.

Infine, allo scopo di rafforzare le politiche previste dal codice disciplinare, nonché di chiarire eventuali dubbi sorti in merito allo stesso, l’azienda potrà valutare di svolgere attività formative per i propri dipendenti.