Casella di posta del dipendente, fonte di questioni

Mar 16, 2023 | Data Protection, Diritto Commerciale, Nuove Tecnologie

 

Casella posta aziendale nominativa: leggerla durante il rapporto e anche dopo, non si può.

 

A meno che…

 

 

 

Un recente provvedimento sanzionatorio del Garante Privacy torna su una questione sempre attuale: la gestione della posta aziendale assegnata al dipendente, al collaboratore o anche ad un possibile futuro dipendente.

Nello specifico la società in questione è stata sanzionata per “soli” 5.000 euro, ma i principi espressi dall’Autorità, pur non nuovi, sono interessanti.

 

Informare prima, sempre e documentare

 

Tra gli aspetti rilevanti che hanno portato alla sanzione, ci sono, innanzitutto, da un lato,

  • l’incapacità dell’azienda di provare di avere adeguatamente informato l’interessato, prima del trattamento, con una specifica informativa, come sarebbero stati trattati i dati e, dall’altro, 
  • il non essere stata in grado dimostrare di avere consegnato, o messo a disposizione, con prova certa, nemmeno il regolamento aziendale sull’utilizzo dei sistemi informatici ed elettronici, come nello specifico la casella di posta.

Il primo aspetto è da tenere in considerazione anche quando si tratta di soggetti non ancora formalmente assunti*, oppure di esterni che collaborano in varie vesti (come gli agenti cui sia stato fornito un indirizzo aziendale per comunicare con i clienti o i possibili futuri clienti): le Informazioni sul trattamento dei dati, ai sensi dell’art. 13 del Gdpr, devono infatti essere fornite anche in sede precontrattuale e, ovviamente, prima di raccogliere i dati personali**.

Il secondo punto, ossia la mancata prova di avere fornito o messo a disposizione dell’interessato lo specifico regolamento aziendale, soprattutto laddove questo per esempio vieti l’utilizzo di strumenti aziendali per finalità extra lavorative, è importante, credo, per rammentare a tutte le organizzazioni di documentare con precisione gli adempimenti necessari al rispetto delle regole privacy: rendere l’informativa e consegnare il regolamento informatico, dunque, sono momenti che devono poter essere provati, non solo allegati o variamente “dichiarati” in sede di ispezioni.

 

 

*Nella specifica vicenda la reclamante era solo in procinto di essere assunta dall’azienda, che stava trattando l’acquisizione di un’altra realtà nella quale l’interessata prestava servizio; l’acquisizione, peraltro, non è successivamente andata a buon fine.

**Come avviene, ad esempio, anche in caso di candidati: questi ultimi devono ricevere l’informativa, anche in qualità di (solo) possibili futuri lavoratori, in occasione del primo colloquio che sia eventualmente fissato. Ovviamente si tratterà di informativa specifica per i candidati; successivamente, nell’ipotesi di assunzione, dovrà essere loro messa a disposizione quella, invece, valevole per la specifica posizione ricoperta.

 

 

Leggere la posta personale

 

L’accesso alla posta personale del collaboratore, in mancanza di precise condizioni, costituisce una violazione del diritto alla riservatezza dell’interessato.

Nello specifico l’azienda ha ritenuto di essersi comportata legittimamente per due ragioni:

  • la necessità di non perdere e mantenere i rapporti con la clientela contattata in precedenza dalla reclamante e
  • l’ulteriore necessità di conservare il contenuto dei messaggi per tutelare i propri diritti nel contesto di un contenzioso nel frattempo instaurato con la reclamante stessa in sede civile.

L’Autorità contesta tale posizione sulla base dei propri consueti orientamenti.

 

Account dell’ex dipendente: come continuare gli affari senza violare le norme 

 

L’esigenza di mantenere i contatti e i rapporti commerciali e lavorativi può essere agevolmente mantenuta semplicemente con “l’attivazione di un sistema di risposta automatico con il quale vengono forniti indirizzi alternativi ai quali contattare il titolare”.

 

Come tutelare i propri diritti?

 

ll contenuto dei messaggi di posta elettronica, come pure i dati esteriori delle comunicazioni e i file allegati, costituiscono corrispondenza personale segreta tutelata non solo dalla Costituzione ma anche da norme penali.

Il provvedimento in esame si ferma qui, rilevando la non conformità del comportamento della Società sanzionata.

Richiama, però, precedenti suoi provvedimenti e in particolare le Linee Guida per la posta elettronica e internet del lontano 2007 ma che, in quanto compatibili, vale la pena esaminare.

E’ quindi opportuno rammentare che il datore di lavoro può, a certe condizioni, effettuare dei controlli.

 

Le Linee Guida, una checklist

 

Fermo restando, innanzitutto, che i trattamenti relativi ai dati personali dei lavoratori devono essere improntati ai classici principi oggi espressi nell’art. 5 del Gdpr, ossia liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione e integrità e riservatezza, è necessario predisporre aziendalmente alcune attività.

Vediamole come una sorta di check list, tenendo presente che grava sul datore di lavoro l’onere di indicare chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli

 

  • Disciplinare interno.

Adottare un disciplinare redatto in modo chiaro e senza formule generiche, pubblicizzarlo adeguatamente e aggiornarlo periodicamente.

  • Specificare quali comportamenti sono vietati;
  • indicare in quale misura è consentito utilizzare per ragioni personali servizi di posta elettronica o di rete, precisando se solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicando modalità e arco temporale di possibile utilizzo;
  • precisare quali informazioni sono eventualmente conservate per un periodo più lungo (es. copie backup up, gestione tecnica della rete o file di log);
  • se, e in quale misura, il datore di lavoro si riserva di effettuare controlli anche saltuari o occasionali, indicando le ragioni (non generiche; per esempio verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità;
  • precisare se, in caso di abusi singoli o reiterati, vengano inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni;
  • quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
  • prevedere le soluzioni per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
  • indicare se sono utilizzabili modalità di uso personale di mezzi o strumenti con eventuale pagamento a carico dell’interessato;
  • precisare quali misure siano adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
  • indicare le prescrizioni interne sulla sicurezza dei dati e dei sistemi.

 

  • Informativa.

Oltre a pubblicizzare correttamente il disciplinare, il datore deve rendere idonee, adeguate e complete informazioni sul trattamento dei dati personali.

Rispetto a eventuali controlli gli interessati hanno infatti il diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli.

 

  • Controlli a distanza

Il datore può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento delle prestazioni e, se necessario, il corretto utilizzo degli strumenti di lavoro, ma questa prerogativa deve rispettare la libertà e la dignità dei lavoratori e, quanto previsto, in particolare, dall’Art. 4 dello Statuto dei Lavoratori in relazione al divieto di installare “apparecchiature per finalità di controllo a distanza”, compresi strumenti mirati al controllo dell’utente di un sistema di comunicazione elettronica.

In caso di violazione di questo articolo, il trattamento è illecito, anche quando i lavoratori ne siano consapevoli: non è consentito un trattamento che renda possibile ricostruire l’attività di lavoratori.

 

  • Controlli indiretti

Determinate esigenze produttive o lavorative (per es. rilevazione anomalie o gestione manutentiva o di sicurezza), legittime, possono indirettamente comportare un controllo a distanza, anche se discontinuo.

Intervengono qui necessità, oltre che di trasparenza, informazione e consultazione di lavoratori e sindacati, di esecuzione di valutazioni di impatto in relazione ai rischi che tali processi e procedure potrebbero avere sui diritti e le libertà dei lavoratori, ai sensi dell’art. 35 del Gdpr (diversi trattamenti dei dati dei lavoratori necessitano di essere sottoposti, previamente al loro inizio, a tale valutazione, come previsto ormai “graniticamente” sia dai Garanti europei, sia dall’Autorità italiana).

 

  • Il Decreto Trasparenza. I sistemi decisionali o di monitoraggio automatizzati

Bisogna inoltre tener presente che, recentemente, le disposizioni del c.d. Decreto Trasparenza (D. Lgs. n. 104/2022), stabiliscono che, oltre ad alcune (non poche) informazioni sulle condizioni del rapporto di lavoro, il datore deve altresì chiarire se siano utilizzati sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti in relazione a diversi stadi del rapporto di lavoro.

Poiché le relative disposizioni si applicano anche agli strumenti utilizzati dal lavoratore per rendere la prestazione (cfr. art. 4 St. Lav.) laddove presentino le caratteristiche di automazione previste dal Decreto, è opportuno valutare se siano da integrare le Informazioni rese al personale.

 

 

La casella di posta dopo la cessazione del rapporto

 

Informazioni e accorgimenti tecnici

 

La pratica più semplice che consente di mantenere i contatti con clienti, fornitori e altri soggetti che comunicavano con il dipendente, il collaboratore, il lavoratore, il commerciale o l’agente che era stato dotato di un account aziendale, considerata meno invasiva e tutelante della riservatezza dell’interessato e che realizza un adeguato bilanciamento degli interessi in gioco, è quella di attivare di un sistema di risposta automatico con il quale vengono forniti indirizzi alternativi ai quali contattare il titolare.

 

Ciò perché il contenuto dei messaggi di posta elettronica e, si badi, anche i dati esteriori delle comunicazioni, ossia i metadati, nonché i file allegati al messaggio, riguardano forme di corrispondenza assistite da garanzie di riservatezza e segretezza tutelate anche costituzionalmente.

In altre parole, l’azienda deve innanzi tutto 

  • informare con chiarezza, sulle proprie politiche, in relazione all’utilizzo di tali strumenti, anche per non determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione;
  • adottare accorgimenti tecnici per prevenire eventuali trattamenti in violazione, come ad esempio:
    1. rendere disponibili indirizzi condivisi tra più lavoratori non nominativi (amministrazione@società.it; info@società.it; ufficioclienti@società.it, ecc.),
    2. valutare di affidare indirizzi personali per uso privato,
    3. mettere in atto agili procedure per cui sia previsto un invio automatico, in caso di assenza, di messaggi di risposta contenenti altro indirizzo ove scrivere durante l’assenza, 
    4. prescrivere ai lavoratori di avvalersi di tali modalità, prevenendo così aperture della posta non pertinenti o da parte di altri,
    5. in caso di assenze non programmate (malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), perdurando l’assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad es., l’amministratore di sistema), l’attivazione di un analogo accorgimento, avvertendo gli interessati,
    6. in caso di assenza improvvisa o prolungata e per i casi di necessità improrogabile di accedere al contenuto dei messaggi, l’interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti, possibilmente con verbalizzazione di tale procedura e informazione dell’interessato non appena possibile,
    7. è poi suggeribile l’adozione, ove possibile, di un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale.

 

Pertinenza

 

Sempre le citate Linee Guida ricordano la necessità di pertinenza e non eccedenza dei controlli, che devono essere graduati.

Bisogna quindi:

  • evitare interferenze ingiustificata sui diritti e sulle libertà fondamentali di lavoratori e soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata;
  • in caso di eventi dannosi o di situazioni di pericolo è possibile adottare eventuali misure che consentano la verifica di comportamenti anomali. Ciò va fatto gradualmente, preferendo un controllo preliminare su dati aggregati, riferiti all’intera struttura lavorativa o a sue aree;
  • il controllo anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l’invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. 
  • l’avviso può essere circoscritto a dipendenti afferenti all’area o settore in cui è stata rilevata l’anomalia;
  • in caso di mancanza di successive anomalie non è di regola giustificato effettuare controlli su base individuale;
  • va esclusa l’ammissibilità di controlli prolungati, costanti o indiscriminati.

 

I controlli difensivi

 

Il tema dei controlli difensivi del lavoratore, fermo restando quanto indicato sopra, è delicato ed ha avuto, anche in ragione di diverse modifiche succedutesi nel tempo, soluzioni giurisprudenziali differenti.

Per queste righe, però penso valga la pena sottolineare che una abbastanza recente sentenza della Cassazione (22 settembre 2021), ha confermato che, a certe condizioni, il controllo difensivo del datore di lavoro è legittimo anche quanto effettuato con strumenti tecnologici.

Ribadito che tale controllo deve essere previsto nel Regolamento o disciplinare interno e che debita Informativa sui trattamenti deve essere fornita e che di entrambe le circostanze è necessario poter provare l’adempimento, è possibile mettere in atto verifiche e controlli non della intera prestazione lavorativa del dipendente, bensì di specifiche condotte.

Ciò deve essere fatto:

  • garantendo sempre dignità e riservatezza del lavoratore,
  • bilanciando adeguatamente le esigenze di protezione degli asset aziendali con i diritti dei lavoratori, optando, se possibile, per controlli che non siano esageratamente invasivi,
  • effettuando i controlli in modo mirato e, soprattutto,
  • successivamente all’insorgere di fondati e ragionevoli sospetti sull’attività del lavoratore.

 

Insomma, a certe condizioni è possibile.

Però ci sono molte cose cui pensare e tante cose da fare, prima di dover affrontare situazioni delicate e spesso spiacevoli.