Gestione della casella di posta elettronica aziendale

March 11, 2024 by Alberto Bozzo Diritto Rovescio, Il Caffè Del Mattino, Non categorizzato
Home | Diritto Rovescio | Gestione della casella di posta elettronica aziendale

In un’era in cui la digitalizzazione permea ogni aspetto delle nostre vite professionali, la gestione delle caselle di posta elettronica aziendali assume un’importanza cruciale.

Nonostante l’aumento delle piattaforme di comunicazione, l’email rimane il mezzo più efficiente e utilizzato nelle imprese. Accessibile da vari dispositivi (computer, smartphone, tablet), l’email facilita la rapida identificazione delle priorità anche solo leggendo l’oggetto e offre la possibilità di documentare gli scambi di comunicazioni aziendali che possono essere, a volte, complesse.

Questo non solo per garantire l’efficienza operativa, ma anche per conformarsi a rigorosi standard di privacy e protezione dei dati.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, insieme alla normativa nazionale in materia di privacy, stabilisce chiare direttive su come le aziende dovrebbero trattare i dati personali, inclusi quelli contenuti nelle email aziendali.

Definizione di Account Aziendale: Cosa Bisogna Sapere?

Gli account aziendali sono solitamente impostati direttamente dall’impresa.

L’azienda ha accesso al database che archivia le email inviate, ricevute, eliminate o salvate come bozze. Il proprietario dell’azienda, attraverso il dipartimento IT o un consulente esterno di IT agendo come amministratore di sistema, ha la potenzialità di leggere queste email accedendo con un account amministratore.

Gli indirizzi email dei dipendenti possono essere formati sia dal loro nome e cognome (esempio: nome.cognome@azienda.com) sia dalla loro funzione all’interno dell’azienda (come direzione@azienda.com, risorseumane@azienda.com, ecc.).

Natura dei Dati in un Account Aziendale: Personali o Aziendali?

È un errore pensare che i dati presenti in un account aziendale siano esclusivamente di proprietà dell’azienda.

Già dalle “Linee Guida per posta elettronica e internet” del 1 marzo 2007, l’Autorità Garante per la Protezione dei Dati Personali ha chiarito che le email aziendali contengono dati personali.

Secondo il Garante, il contenuto delle email, le informazioni visibili all’esterno delle comunicazioni e i file allegati sono considerati forme di corrispondenza protette da garanzie di riservatezza, riconosciute anche dalla Costituzione, essenziali per la dignità umana e lo sviluppo personale all’interno della società. Questo significa che, nel contesto lavorativo, sia i lavoratori che i terzi coinvolti hanno il diritto di aspettarsi una certa riservatezza riguardo ai loro dati.

Tuttavia, è possibile che negli account email si trovino segreti commerciali o altre informazioni che devono rimanere confidenziali per garantire il successo delle strategie aziendali o per altre ragioni.

L’account di un ex dipendente può essere cruciale per preservare le relazioni commerciali che stava sviluppando, come potenziali nuovi partner, clienti in fase di acquisizione o fornitori con condizioni vantaggiose.

Importanza della Conformità al GDPR

La gestione delle email aziendali, sia durante il rapporto di lavoro che dopo la sua cessazione, rappresenta una sfida significativa in termini di conformità al GDPR.

Nell’ambito della sua organizzazione interna, il datore di lavoro fornisce al dipendente uno o più account da usare, optando per: account email personali (ad esempio, mario.rossi@azienda.it) o account generici talvolta condivisi tra più impiegati di uno stesso ufficio o reparto (come info@azienda.it o privacy@azienda.it).

Se la gestione degli account generici solitamente non solleva particolari questioni, un indirizzo email personale è considerato un dato personale e, pertanto, deve aderire alle disposizioni del Regolamento EU 679/2016 (GDPR) e del D.lgs. n.101/2018 (Codice della privacy).

Le caselle email dei dipendenti, infatti, non sono semplici contenitori di messaggi di lavoro, ma racchiudono dati personali che possono variare dalle informazioni di contatto a dettagli più sensibili.

Pertanto, ogni azienda deve trattare questi dati con la massima cura, adottando politiche e procedure che ne garantiscano la sicurezza e la privacy.

Principi Fondamentali per la Gestione delle Email Aziendali

  1. Limitazione della Finalità e Minimizzazione dei Dati: Le email aziendali dovrebbero essere utilizzate esclusivamente per scopi lavorativi, e ogni raccolta di dati personali attraverso queste dovrebbe essere limitata al necessario.
  2. Trasparenza e Informazione: I dipendenti devono essere informati su come le loro email aziendali vengono gestite, compreso il trattamento dei dati personali contenuti in esse.
  3. Sicurezza dei Dati: È imperativo implementare misure tecniche e organizzative adeguate per proteggere le caselle email da accessi non autorizzati, perdite o distruzioni accidentali.
  4. Gestione della Cessazione del Rapporto di Lavoro: Al termine del rapporto di lavoro, l’azienda deve definire procedure chiare per la gestione dell’account email del dipendente, bilanciando tra la necessità di conservare informazioni rilevanti per scopi aziendali e il diritto alla privacy dell’ex dipendente.

Il trattamento dei dati personali attraverso le email aziendali implica la necessità di adottare pratiche che rispettino i principi di liceità, correttezza e trasparenza.

Questo include la gestione delle email non solo durante il rapporto di lavoro ma anche al suo termine, per prevenire accessi non autorizzati e assicurare la protezione dei dati.

Strategie Efficaci per la Gestione delle Email Aziendali al Termine del Rapporto di Lavoro

Nella “policy” di cui parlerà più avanti va sicuramente comunicato al dipendente cosa succederà alla sua casella di posta quando cesserà dal suo ruolo, sempre per i principi di trasparenza e liceità di cui si accennava.

Gestione dell’Account di un Ex Dipendente: Procedura Post-Dimissioni o Licenziamento

Al termine del rapporto lavorativo, è una buona norma disattivare l’indirizzo email del collaboratore che lascia l’azienda.

Ciò serve a prevenire l’accesso da parte di soggetti non autorizzati e a mantenere l’efficienza delle operazioni aziendali.

Prima, però, di eliminare definitivamente l’account, è opportuno adottare alcune precauzioni:

  • Prima di tutto, deve essere disattivato l’account email dell’ex dipendente;
  • È necessario impostare un messaggio di risposta automatica per informare il mittente che la consegna non è stata possibile o che l’email non verrà recapitata;
  • In aggiunta, è importante implementare sistemi automatici che notifichino i terzi di tale cambiamento e forniscano loro nuovi contatti relativi all’attività professionale del responsabile del trattamento dei dati. Nel messaggio di risposta automatica, occorre indicare alternative contatti email aziendali a cui i mittenti possono rivolgersi;
  • È inoltre essenziale adottare misure tecniche che prevengano l’accesso ai messaggi in arrivo durante il periodo di attesa prima dell’eliminazione effettiva dell’account.
  • Infine, l’account email dell’ex dipendente deve essere eliminato. E’ necessario eliminare gli account associati a persone che possono essere identificate o riconosciute, dopo averli disattivati.

Queste sono le direttive stabilite dall’Autorità Garante per la protezione dei dati personali, che sono state ribadite più volte e confermate nell’ultimo aggiornamento di luglio 2020.

L’ente raccomanda l’implementazione di “misure adeguate per prevenire l’accesso ai messaggi in arrivo mentre è attiva la risposta automatica” (decisione del 4 dicembre 2019).

Le pratiche consigliate includono la disattivazione dell’account email in presenza del dipendente nel suo ultimo giorno di lavoro, permettendo così al dipendente di salvare messaggi di lavoro di carattere più personale o legati a piattaforme professionali (come LinkedIn).

Questo processo aiuta anche l’azienda a prevenire future contestazioni relative alla lettura delle email dopo la fine del rapporto di lavoro.

Se si prevedono contenziosi, è consigliabile che queste operazioni siano supervisionate da un consulente del lavoro o un avvocato, invitando il lavoratore a essere assistito da un proprio consulente tramite comunicazione scritta.

il provvedimento del 2019

  • L’autorità garante ha stabilito che le informazioni fornite verbalmente ai dipendenti riguardo al monitoraggio dell’account email aziendale dopo la cessazione del rapporto di lavoro non soddisfano l’obbligo di informazione che incombe sul datore di lavoro.

Il controllo dei messaggi inviati o ricevuti tramite un account email assegnato individualmente a un dipendente, sia che si tratti di comunicazioni legate all’attività lavorativa sia di quelle personali, può rivelare dati personali.

Questo perché anche senza aprire i messaggi, le informazioni visibili (come la data, l’oggetto e il nome del mittente) possono rivelare dettagli personali non legati al lavoro del dipendente.

Nel caso specifico, da un’analisi dell’elenco delle email ricevute sull’account aziendale del reclamante, sono emersi elementi quali inviti a eventi culturali e pubblicità dirette ai clienti di una banca, dimostrando così la raccolta di informazioni di carattere personale.

  • Il Garante per la Protezione dei Dati Personali ha evidenziato, attraverso le linee guida emesse nel 2007 riguardanti l’uso della posta elettronica, che la corrispondenza via email è soggetta a una tutela della privacy riconosciuta anche a livello costituzionale, in quanto contribuisce alla salvaguardia della dignità umana e allo sviluppo dell’individuo.

Questo principio, applicato al contesto lavorativo, assicura al lavoratore il diritto alla riservatezza dei propri messaggi email, un diritto che continua a essere valido anche dopo la conclusione del rapporto di lavoro.

  • L’autorità garante ha stabilito che, una volta terminato il rapporto di lavoro, il datore di lavoro ha la responsabilità di eliminare l’account email aziendale associato all’ex dipendente entro un periodo di tempo considerato ragionevole. Questo tempo deve essere sufficiente per permettere al datore di lavoro di adottare le misure necessarie per comunicare ai terzi i nuovi recapiti email a cui indirizzare le comunicazioni d’interesse aziendale e di implementare precauzioni per evitare la visualizzazione dei messaggi in arrivo sull’account nel frattempo. Di conseguenza, è compito del datore di lavoro informare i terzi sui nuovi contatti e non spetta all’ex dipendente questa responsabilità.

riassumendo

Pertanto, al termine del rapporto lavorativo, è necessario procedere con la disattivazione dell’indirizzo email del dipendente. È importante informare i terzi mediante sistemi automatizzati che l’account è stato disattivato e comunicare loro i nuovi contatti email per inviare future comunicazioni destinate all’azienda.

È importante sottolineare che la disattivazione deve avvenire in maniera tale da bloccare definitivamente l’arrivo di messaggi destinati all’account in questione, oltre a impedire la loro memorizzazione sui server aziendali, come indicato nella disposizione del 5 marzo 2015, n. 136, documento web n. 3985524.

Successivamente, è necessario eliminare l’account, poiché il suo mantenimento sarebbe considerato illegale, come precedentemente specificato dall’Autorità Garante per la protezione dei dati personali.

Equilibrio tra Accesso alle Email di Ex Dipendenti e Rispetto della Privacy: Una Sfida per le Aziende”

Una questione emerge quando il Responsabile necessita di accedere alle email dei dipendenti che hanno lasciato l’azienda per trovare informazioni rilevanti per la gestione efficace dell’attività.

È evidente che, in tali circostanze, questa necessità deve essere bilanciata con l’aspettativa legittima di privacy sulla corrispondenza da parte sia dei dipendenti che dei terzi.

Se l’account viene semplicemente disattivato senza essere eliminato, l’azienda mantiene i dati precedentemente raccolti tramite la posta elettronica, portando a un trattamento di dati ulteriore non permesso, “eccetto che per la conservazione con lo scopo esclusivo di difendere i diritti in ambito legale, entro i confini stabiliti dalla legge”.

L’account email non deve essere utilizzato come un sistema di archiviazione permanente, ma piuttosto come uno strumento di comunicazione.

Questo principio deve essere chiaro sia ai dipendenti che alle aziende fin dall’inizio del rapporto lavorativo, poiché la natura stessa dell’email non garantisce una conservazione dei dati sicura e affidabile. Inoltre, è illegale conservare in modo massivo i contenuti delle comunicazioni sui server elettronici aziendali, dato che tale pratica di archiviazione estensiva e sistematica è considerata non necessaria e sproporzionata.

La raccolta di email in vista di possibili litigi futuri è altresì proibita, come sottolineato dal Garante nella disposizione n. 53 del 1° febbraio 2018, indicando che eventuali conservazioni devono essere limitate a contenziosi già in corso o a situazioni che preannunciano un litigio, escludendo così le ipotesi generiche e indefinite.

Per adottare un approccio corretto alla conservazione delle email, è utile fare riferimento alla Raccomandazione CM/REC (2015) , che tra l’altro suggerisce di effettuare l’archiviazione dei contenuti delle email prima della partenza del dipendente e, se possibile, alla sua presenza. I dati conservati devono essere strettamente pertinenti e mantenuti solo per il periodo strettamente necessario.

Queste precauzioni si applicano non solo ai computer aziendali ma anche ad altri dispositivi come smartphone e tablet di proprietà dell’azienda, che possono contenere dati personali, inclusi quelli relativi alle email.

Riguardo alle strategie di backup delle email, non è adeguato mantenere una conservazione indiscriminata dei contenuti delle comunicazioni elettroniche sui server aziendali (ad esempio, per dieci anni dopo la fine del rapporto di lavoro).

Un periodo di conservazione così prolungato, applicato uniformemente a tutte le email scambiate senza motivazioni specifiche che lo giustifichino, non sembra proporzionato alle normali necessità legate alla gestione dei servizi di posta elettronica, inclusa la sicurezza dei sistemi.

Strategie di Gestione Documentale per la Continuità Operativa: Normative e Prassi Aziendale

D’altra parte, per quanto riguarda l’obbligo del Responsabile di garantire la continuità operativa dell’impresa, è necessario che adotti sistemi specifici di gestione documentale.

Questi sistemi devono essere capaci di selezionare in modo mirato i documenti che necessitano di essere archiviati secondo criteri che assicurino autenticità, integrità, affidabilità, leggibilità e facilità di accesso, come richiesto dalle normative di settore

D.P.C.M. del 3 dicembre 2013, che definisce le Regole tecniche relative ai sistemi di conservazione secondo gli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale, decreto legislativo n. 82 del 2005.

Analogamente, i documenti che costituiscono “scritture contabili” devono essere archiviati e conservati seguendo modalità specifiche stabilite dagli articoli 2214 del codice civile; articoli 43 e 44 del decreto legislativo 7 marzo 2005, n. 82, “Codice dell’amministrazione digitale”).

Dunque, l’obiettivo di sviluppare metodi per una gestione ordinaria ed efficiente dei documenti aziendali può essere raggiunto, in modo conforme alle normative vigenti e più efficace, attraverso l’utilizzo di strumenti che impattino meno sul diritto alla privacy dei dipendenti e di terzi.

Questo si contrappone all’attività di conservazione estesa e sistematica delle comunicazioni elettroniche, che si rivela quindi non essenziale e non adeguata rispetto all’intento perseguito.

Limiti alla Conservazione delle Email Aziendali: Indicazioni dell’Autorità Garante

È importante sottolineare anche che non è giustificabile la raccolta preventiva di tutte le email in previsione di possibili litigi futuri: l’Autorità Garante per la protezione dei dati personali ha chiarito che qualsiasi conservazione dovrebbe essere limitata a casi di contenziosi esistenti o a circostanze che preannunciano un contenzioso, escludendo quindi le situazioni ipotetiche e non specificate.


La pratica di conservare le email in modo estensivo e sistematico, archiviandole per un periodo molto lungo e indefinito, e dando al datore di lavoro la facoltà di accedervi per scopi genericamente definiti (come, ad esempio, la difesa legale o il perseguimento di un interesse legittimo), comporta un controllo generale sull’attività dei dipendenti che non rispetta nemmeno le leggi riguardanti lo Statuto dei Lavoratori.

Tale controllo, inoltre, è proibito dalle norme specifiche del settore, che escludono ispezioni massicce, estese nel tempo e senza distinzione. Il datore di lavoro, sebbene abbia il diritto di verificare il corretto svolgimento dei compiti lavorativi e l’uso appropriato degli strumenti di lavoro, deve comunque garantire il rispetto della libertà e della dignità dei propri dipendenti.

Strategie Aziendali per la Gestione Efficace delle Email: Privacy e Collaborazione

Dal punto di vista pratico, è consigliabile che l’impresa adotti le seguenti misure:

  • Fornire indirizzi email utilizzati da più dipendenti (ad esempio, info@dominioazienda.it; urp@dominioazienda.it; ufficioreclami@dominioazienda.it), evidenziando in tal modo che la corrispondenza non è di natura privata;
  • Impostare, in caso di assenza del lavoratore, messaggi di risposta automatici che indichino i contatti di altri dipendenti a cui rivolgersi;
  • Consentire al dipendente di autorizzare un collega a controllare i messaggi che gli sono destinati e a segnalare al Responsabile quelli importanti per l’ufficio, facilitando così la gestione delle comunicazioni.

Responsabilità nell’Uso delle Email Aziendali: Regole e Condotte da Seguire

Ogni dipendente o collaboratore, sia durante il periodo di impiego che dopo la sua conclusione, è tenuto a rispettare le norme sull’utilizzo dell’email stabilite dal regolamento aziendale relativo all’uso delle tecnologie informatiche.

Questo perché, come precedentemente osservato, l’indirizzo email fornito dall’azienda all’utente rappresenta uno strumento di lavoro, e l’individuo a cui è stato assegnato ha la responsabilità di usarlo in maniera appropriata.

Specificatamente, è vietato configurare l’invio automatico di email verso un indirizzo email personale (ad esempio, attivando un’instradamento automatico delle email in arrivo), sia nei periodi in cui si è assenti (come durante le vacanze, malattia, infortuni, ecc.) sia al termine del rapporto lavorativo.

Gestione dell’Email Aziendale Durante l’Assenza Prolungata del Dipendente

Durante i periodi di assenza, è necessario impostare un messaggio di notifica “Fuori sede”, specificando il collega che si occuperà delle responsabilità del dipendente assente o fornendo un indirizzo email alternativo, preferibilmente appartenente a un gruppo, come ufficio…@dominioazienda.it.

Nel caso un dipendente sia assente per un lungo periodo a causa di malattia, congedo per maternità, aspettativa, ecc., è importante fornire la possibilità di configurare messaggi di risposta automatica. Questi dovrebbero includere informazioni per contattare un’altra persona all’interno dell’azienda o altre indicazioni utili per mantenere i contatti con l’organizzazione.

Inoltre, seguendo le Linee Guida stabilite dal Garante il 1° marzo 2007, se emergono esigenze lavorative urgenti, il dipendente dovrebbe avere l’opzione di nominare un collega di fiducia che possa accedere alla sua casella email per leggere e, se necessario, inoltrare al responsabile del trattamento dei dati le comunicazioni importanti per l’attività lavorativa.

Al termine del rapporto di lavoro

Questo processo dovrebbe essere formalizzato attraverso un verbale e il dipendente assente dovrebbe essere informato di questa procedura non appena possibile.

Allo stesso modo, al termine del rapporto di lavoro, si deve impostare una risposta automatica che fornisca i contatti di altri dipendenti a cui rivolgersi.

Se le misure preventive adottate durante il rapporto di lavoro non dovessero bastare a prevenire comportamenti irregolari, qualsiasi ispezione da parte del datore di lavoro dovrebbe essere introdotta gradualmente.

Inizialmente, si dovrebbero condurre verifiche a livello di reparto, ufficio o team, per identificare la zona che necessita di maggiore attenzione alle norme. Solo in caso di persistenza delle irregolarità, si potrebbe considerare l’opzione di procedere con controlli su singoli individui.

Alla conclusione del rapporto lavorativo, come precedentemente menzionato, è necessario inizialmente disattivare l’indirizzo email del dipendente, avvisando le parti terze mediante sistemi automatizzati della disattivazione e comunicando loro i nuovi contatti email per le future corrispondenze destinate all’azienda.

Successivamente, è indispensabile procedere con l’eliminazione dell’account, la cui manutenzione sarebbe considerata illegale a causa della violazione delle leggi relative al trattamento dei dati personali.

Accesso alla Casella Email Aziendale dopo la Cessazione del Rapporto di Lavoro: Considerazioni

il datore di lavoro

Il Garante della privacy afferma chiaramente che NON è permesso continuare a controllare l’account email di un ex dipendente.

Le aziende che hanno mantenuto attivi gli account di ex dipendenti per quattro mesi o anche periodi più estesi dopo la fine del rapporto lavorativo sono state sanzionate in più occasioni.

Alcune di queste aziende hanno argomentato di aver esaminato solamente le email legate al lavoro, evitando quelle di natura personale presenti nell’account.

Tuttavia, anche i dettagli apparentemente neutri delle comunicazioni, come data, ora, oggetto e i nomi di mittenti e destinatari, possono svelare informazioni personali.

Questi elementi, anche quando combinati tra loro, possono rivelare dettagli personali oltre a quelli professionali, come evidenziato dall’Autorità Garante. Infatti, non è sempre semplice distinguere nettamente tra ciò che appartiene alla sfera lavorativa e ciò che rientra nel privato.

il dipendente

È necessario considerare attentamente se consentire o meno a un dipendente che ha terminato il suo rapporto di lavoro di accedere alla sua precedente casella email aziendale.

La risposta a questa questione è chiaramente negativa: a partire dal momento in cui si conclude il rapporto di lavoro, qualora l’ex dipendente tentasse di accedere o effettivamente accedesse alla propria casella email, si renderebbe colpevole di un reato.

Questa azione potrebbe portare a una denuncia per violazione del sistema informatico, come previsto dall’articolo 615 ter del codice penale, il quale stabilisce che

“Chiunque senza autorizzazione entra in un sistema informatico o telematico protetto da misure di sicurezza […] è soggetto a una pena detentiva fino a tre anni”.

Tuttavia, nel caso in cui il dipendente venga improvvisamente licenziato e gli venga richiesto di restituire gli strumenti di lavoro (come computer e telefono) o sia comunque allontanato dal suo posto di lavoro, si trova subito privato dell’accesso ai propri dati e documenti, “a tutto ciò che fino a un istante prima costituiva il suo equipaggiamento, il valore del suo lavoro.”

In questa situazione, come potrebbe il lavoratore licenziato fornire prova e contestare le motivazioni addotte dal datore di lavoro per giustificare il licenziamento come infondate?

Per contestare il licenziamento, il lavoratore può organizzare, insieme al proprio avvocato, una richiesta di visione e/o di presentazione delle email direttamente legate al suo diritto di difesa, ad esempio per attestare il lavoro svolto per l’azienda.

Sarà compito del giudice determinare se ordinare la mostra dei documenti e l’accesso ai dati: la giurisprudenza tende generalmente a favorire la richiesta del lavoratore per assicurare il suo diritto di difesa, specialmente quando esiste un legame causale con la documentazione richiesta.

In questi contesti, il diritto di difesa del lavoratore prevale sulle necessità di privacy del datore di lavoro.

La Riservatezza dell’Email Aziendale e le Implicazioni Legali dell’Accesso Non Autorizzato

L’account email, protetto da una password personale, può ancora essere considerato come il domicilio digitale del lavoratore, tutelato dall’articolo 14 della Costituzione e dagli articoli 614 e 615 del codice penale.

In base a questa interpretazione, la Corte di Cassazione ha stabilito che l’accesso non autorizzato da parte di un superiore alle email di un dipendente, salvaguardate da password, costituisce un illecito penale (sentenza numero 13057 del 2015).

Il dipendente ha la possibilità di inoltrare un reclamo all’Autorità Garante per la protezione dei dati personali per ottenere l’accesso a tutti i suoi dati personali.

Al contrario, non è considerata un’opzione valida quella di trasferire la propria posta lavorativa su un dispositivo di memoria digitale per poi conservarla su un supporto esterno. Questa pratica è da considerarsi decisamente illegale anche durante il rapporto di lavoro e diventa ancor più proibita dopo la sua conclusione. Per tale motivo, nelle politiche aziendali dovrebbe essere esplicitamente proibito creare e mantenere copie individuali dei dati dal proprio computer personale.

Gestione della posta durante il rapporto di lavoro: consigli operativi

Riassumendo, possiamo identificare alcune infrazioni sottolineate nelle decisioni dell’Autorità Garante che le aziende dovrebbero considerare nella gestione delle email dei dipendenti durante il rapporto di lavoro.

Non è conforme alle norme:

  • L’assenza di una comunicazione preventiva e appropriata ai dipendenti riguardo alla politica aziendale di conservazione delle email, la durata di tale conservazione, le finalità e i metodi di accesso e supervisione;

  • La pratica di conservare tutte le email in modo sistematico e prolungato, senza avere un sistema che permetta di selezionare i documenti da archiviare progressivamente;

  • La possibilità per il responsabile del trattamento dei dati e per le persone da lui occasionalmente autorizzate di accedere alle email senza distinzioni;

  • L’uso difensivo delle email per motivi vaghi e non specifici, dato che le azioni intraprese per la protezione dei propri diritti dovrebbero riguardare contenziosi esistenti o situazioni che potrebbero portare a un litigio;

  • La conservazione delle email per l’intera durata del rapporto di lavoro e anche dopo la sua conclusione. Su quest’ultimo punto, l’Autorità Garante ha chiarito che, con la fine del rapporto di lavoro, l’account email dovrebbe essere

Principi e Procedure per la Gestione delle Email Aziendali alla Conclusione del Rapporto di Lavoro: Orientamenti del Garante per la Privacy e Giurisprudenza

Come già menzionato, in occasione di un licenziamento o delle dimissioni, l’email aziendale del dipendente deve essere disattivata, e il datore di lavoro è tenuto a informare i contatti esterni con cui il dipendente interagiva della chiusura del suo indirizzo email, fornendo un nuovo account aziendale per le future comunicazioni (come specificato dal Garante per la Protezione dei Dati Personali nel provvedimento del 4 dicembre 2019).

L’Autorità Garante per la Protezione dei Dati Personali ha ripetutamente considerato illegale il mantenimento attivo dell’account email aziendale per un periodo prolungato successivo alla conclusione del rapporto di lavoro, inclusa la possibilità di accedere ai messaggi ricevuti.

Come precedentemente menzionato, in linea con i principi sulla protezione dei dati personali, il datore di lavoro, al termine del rapporto lavorativo, deve:

1) eliminare l’account email del dipendente che ha lasciato l’azienda;

2) notificare automaticamente ai contatti esterni la disattivazione dell’account e fornire indirizzi email alternativi per le future comunicazioni;

3) implementare soluzioni adeguate per prevenire l’accesso ai messaggi in arrivo mentre il sistema di notifica automatica è attivo.

L’ex dipendente, di fronte alla mancata disattivazione del proprio account email, ha la possibilità di presentare un reclamo all’Autorità Garante per la Protezione dei Dati Personali.

Se, anche dopo il reclamo, il datore di lavoro non interviene, verrà effettuata un’ispezione da parte della Guardia di Finanza per esaminare in dettaglio la situazione, il che potrebbe aggravare le sanzioni finali.

Questo procedimento è stato precisato dal Garante in un’ordinanza ingiunzione datata 16 dicembre 2021, in seguito alla richiesta infruttuosa di un dipendente, che aveva lasciato l’incarico, di disattivare la sua casella email.

Il Garante ha quindi avviato un’indagine, ma non ha ottenuto le necessarie informazioni dall’azienda.

Di conseguenza, l’Autorità ha ritenuto opportuno delegare il Nucleo speciale per la tutela della privacy e le frodi tecnologiche della Guardia di Finanza a condurre un’ispezione, che ha rivelato un uso improprio dei dati personali da parte dell’azienda, culminato nell’imposizione di una multa amministrativa.

L’ordinanza chiarisce che il datore di lavoro è obbligato a informare chiaramente il proprio dipendente su come gestire correttamente l’account email personale, attraverso cui passano sicuramente dati e informazioni personali.

E’ raccomandato che il datore di lavoro informi il dipendente, mediante l’implementazione di una specifica “policy”, sulle regole di condotta riguardanti l’uso dell’email aziendale (ad esempio, il divieto di utilizzarla per scopi personali o le corrette modalità di archiviazione di documenti e corrispondenza), nonché sulle politiche di conservazione e le eventuali procedure di accesso alla casella email.

L’assenza di tale informativa, come richiesto dall’articolo 13 del regolamento europeo, insieme alla violazione dei principi di minimizzazione dei dati, necessità e limitazione del tempo di conservazione, hanno portato alla decisione punitiva da parte dell’Autorità Garante.

Elementi Essenziali di una Policy Aziendale sull’Uso dell’Email

Una policy aziendale efficace e un’avvertenza sulla privacy per i dipendenti sono cruciali per salvaguardare l’impresa da eventuali sanzioni e richieste di risarcimento, sia durante l’impiego del lavoratore sia dopo la cessazione del rapporto di lavoro per l’uso dell’account email dell’ex dipendente. Queste direttive dovrebbero includere specificazioni su:

  • L’uso degli account email esclusivamente per fini lavorativi;
  • I periodi di conservazione dei dati all’interno degli account (politiche di data retention);
  • Le modalità e gli obiettivi della raccolta e conservazione dei dati;
  • Le strategie e gli scopi del monitoraggio da parte del datore di lavoro (inclusi, ad esempio, gli scopi disciplinari);
  • Le procedure per l’accesso al sistema da parte dell’amministratore di sistema, che dovrebbero essere documentate attraverso un registro di log, secondo le indicazioni del Garante;
  • I protocolli per la gestione degli account di ex dipendenti;
  • Le politiche per la gestione degli account in caso di assenze prolungate.

Non è sufficiente limitarsi a dichiarare che verranno effettuati controlli sull’uso improprio delle risorse aziendali e che verranno applicate sanzioni in caso di violazioni.

La comunicazione dovrebbe anche suggerire di effettuare periodicamente una revisione e cancellazione dei messaggi salvati per prevenire il sovraccarico del sistema di gestione delle email.

È fondamentale che il datore di lavoro possa dimostrare di aver fornito queste informazioni e policy al dipendente.

 La Corte di Cassazione ha stabilito che, in un sistema informatico utilizzato da un ente pubblico, le caselle email assegnate ai dipendenti e protette da password personali costituiscono il domicilio digitale del dipendente stesso.

Di conseguenza, qualsiasi accesso non autorizzato a queste caselle, inclusi quelli da parte dei superiori gerarchici, costituisce una violazione penale secondo l’articolo 615/ter del codice penale.

Questo perché l’istituzione di una barriera di accesso, concordata con il proprietario del sistema, implica un diritto esclusivo di accesso che deve essere rispettato anche dai superiori (sentenza della Cassazione penale, Sezione V, del 28 ottobre 2015, n.13057).

Inoltre, per quanto riguarda l’accesso abusivo ai sistemi informatici, una sentenza delle Sezioni Unite Penali della Cassazione del 27 ottobre 2011 (pubblicata il 7 febbraio 2012), n. 4694, chiarisce che si configura come reato di accesso abusivo a un sistema informatico o telematico protetto l’azione di accedere o mantenere l’accesso al sistema da parte di chi, pur avendo l’autorizzazione, supera le condizioni e i limiti stabiliti dalle regole del sistema per definire chiaramente chi può accedere.

Un caso pratico

Il Garante per la protezione dei dati personali ha chiarito, tramite il provvedimento n. 547/2016, che la casella email di un dipendente deve essere disattivata dal datore di lavoro una volta terminato il rapporto di lavoro, e tutti i dati personali associati al lavoratore devono essere eliminati.

Questa decisione è emersa da un caso in cui un ex dipendente ha denunciato l’azienda all’Autorità per aver violato la sua privacy, mantenendo attiva la sua casella di posta elettronica dopo il suo licenziamento e conservando per dieci anni tutta la sua corrispondenza, inclusi contenuti personali. Il lavoratore ha inoltre rivelato di non essere stato informato che le email e i file di vario tipo (come foto e video) salvati sul cellulare aziendale fossero soggetti a monitoraggio e conservati su server aziendali attraverso backup.

Di conseguenza, l’ex dipendente ha richiesto all’Autorità di vietare all’azienda il trattamento dei suoi dati personali e di ordinare la loro completa eliminazione.

Dall’altra parte, l’azienda argomentava che la decisione di mantenere attiva la casella email era stata presa per assicurare la continuità operativa e per informare i terzi della conclusione del rapporto di lavoro con il dipendente.

Inoltre, l’azienda aveva affermato di aver eliminato definitivamente l’account email del dipendente entro sei mesi dal suo licenziamento, limitandosi a conservare i messaggi email sul server aziendale.

Al termine dell’indagine, il Garante per la protezione dei dati personali ha giudicato non in linea con i principi di necessità, pertinenza e proporzionalità nel trattamento dei dati personali sia la pratica di mantenere attiva la casella email del dipendente per sei mesi dopo la fine del rapporto di lavoro, sia quella di conservare tutte le email del dipendente sul server aziendale per dieci anni.

Per il Garante, tali periodi di tempo non sono adeguati alle esigenze di gestione dei servizi email né possono essere giustificati da necessità di sicurezza dei sistemi, motivazioni che comunque l’azienda non aveva fornito.

Il principio del Garante è chiaro: il datore di lavoro deve limitare la conservazione delle mail, adottando sistemi di cancellazione automatica e la loro conservazione deve risultare indispensabile ed essere supportata da valide motivazioni e non risultare eccedente. Quindi ad esempio l’eventuale conservazione per esigenze di tutela o sicurezza deve essere concreta e attuale e non solo ipotetica. “Bocciato” quindi dal Garante l’applicazione del termine decennale del Codice civile di 10 anni, arrivando invece a considerare congruo il termine di 1 anno, come nel caso Gaypa.

Inoltre, l’accumulo e la conservazione dei dati passati attraverso l’account aziendale per un decennio violano le norme sui controlli a distanza dei lavoratori, che vietano una sorveglianza prolungata e indiscriminata delle attività del dipendente.

Il Garante ha evidenziato l’importanza per il datore di lavoro di proteggere la libertà e la dignità dei propri dipendenti.

Questo include l’obbligo di comunicare chiaramente, attraverso una policy adeguata, le regole sull’uso degli strumenti di lavoro forniti dall’azienda e sulla possibilità che i dati personali dei lavoratori possano essere monitorati, purché tale sorveglianza rimanga nei confini stabiliti dalla legge.

Violazione della Privacy in Azienda: Il Caso Sicily By Car S.p.a. e la Decisione del Garante

Riguardo al caso della Sicily By Car S.p.a., trattato dal Garante, è emerso che il datore di lavoro, dopo alcune indagini condotte dal responsabile amministrativo, ha scoperto email inviate da un dipendente che sembravano mirate a creare scompiglio nell’ufficio, sminuire il lavoro svolto e criticare duramente l’azienda, portando a gravi errori nella compilazione dei bilanci.

L’Autorità ha giudicato illegale l’uso dei dati personali presenti nelle email raccolte dall’azienda per formulare un’accusa disciplinare al dipendente, data la mancanza di una comunicazione preventiva sulle politiche specifiche adottate dall’azienda in materia.

La posizione dell’Autorità Garante è netta: il datore di lavoro deve ridurre al minimo il tempo di conservazione delle email, implementando meccanismi di cancellazione automatica. La permanenza delle email deve essere strettamente necessaria, giustificata da motivi validi e non deve eccedere il necessario.

Pertanto, la conservazione delle email per ragioni di protezione o sicurezza deve essere basata su esigenze reali e immediate, non meramente ipotetiche.

Di conseguenza, il Garante ha respinto l’uso del termine di conservazione di dieci anni previsto dal Codice civile, ritenendo invece adeguato un periodo di un anno, come stabilito nel caso Gaypa.

Limiti al Monitoraggio della Posta Elettronica Aziendale: Indicazioni dal Garante della Privacy

Il datore di lavoro ha il diritto di monitorare le email inviate e ricevute dai propri dipendenti, inclusi apprendisti e stagisti, purché questo controllo si limiti esclusivamente all’account email aziendale e al computer fornito dall’azienda, sia che venga utilizzato in ufficio che a casa.

Questo monitoraggio è permesso allo scopo di assicurarsi che il lavoro venga svolto correttamente, identificare eventuali discrepanze e correggere gli errori. Tuttavia, considerata la potenziale intrusione nella sfera privata del dipendente, esistono delle normative specifiche che regolamentano questa pratica.

Le Linee Guida del 2017 del Garante per la Protezione dei Dati Personali introducono i concetti di “pertinenza” e “non eccedenza”, indicando che il controllo non deve essere invadente oltre il necessario e non deve assumere la forma di una sorveglianza indiscriminata e generalizzata.

La raccolta estensiva e sistematica delle email in transito negli account aziendali, unita alla loro conservazione e, in particolare, all’analisi dettagliata e senza distinzioni, rappresenta una forma di sorveglianza a distanza.

Questa pratica rimane vietata anche alla luce delle modifiche introdotte dal decreto legislativo 151/2015 all’articolo dell’Statuto dei lavoratori (Legge n. 300/1970), che esclude la possibilità di esercitare un “controllo capillare, esteso nel tempo e non selettivo sulle attività dei dipendenti” (decisione del Garante per la Protezione dei Dati Personali del 1° febbraio 2018).

In breve, un datore di lavoro ha il diritto di accedere e leggere le email dei propri impiegati solo se sono state soddisfatte le seguenti condizioni:

  • I lavoratori sono stati adeguatamente informati sull’utilizzo appropriato dell’email aziendale e sul fatto che potrebbero essere effettuati controlli casuali o programmati;
  • Sono state prese tutte le misure necessarie per la conservazione e il trattamento dei dati ottenibili dalle email, conformemente alla normativa vigente;
  • I dipendenti sono stati informati sulle procedure specifiche di monitoraggio dell’email, come l’uso di indirizzi condivisi o l’emissione di notifiche di avviso.

Limitazioni sull’Uso della Posta Elettronica Aziendale per Fini Privati

L’uso dell’email aziendale da parte dei dipendenti per inviare messaggi privati è permesso? La Corte di Cassazione chiarisce che i dipendenti non sono autorizzati a utilizzare l’email aziendale per scopi personali qualora il regolamento interno o il contratto collettivo lo vietino espressamente. Violare questa disposizione può portare a sanzioni disciplinari. In circostanze estreme, l’uso inappropriato dell’email aziendale che causa danni gravi e diretti all’azienda, come l’impiego dell’email per attività illecite, può giustificare un licenziamento per giusta causa.

Regole sulla Disattivazione dell’Email Aziendale da Parte dei Dipendenti

Un dipendente ha il permesso di disattivare autonomamente il proprio account email aziendale? Se un datore di lavoro omette di disattivare l’account email di un dipendente che ha terminato il proprio incarico, può essere ritenuto responsabile per danni legati alla violazione della privacy. Il dipendente, di fronte a tale situazione, può appellarsi al Garante per la Protezione dei Dati Personali per richiedere che venga ordinata all’azienda la disattivazione dell’account.

Tuttavia, il dipendente non è autorizzato ad agire autonomamente accedendo e disattivando l’account senza l’esplicita autorizzazione del datore di lavoro; fare altrimenti potrebbe configurarsi come un reato di accesso abusivo ai sistemi informatici.

Diritti dei Dipendenti sulla Gestione delle Email Post-Licenziamento

La Corte di Cassazione stabilisce che un dipendente, al termine del proprio rapporto lavorativo, sia per licenziamento che per dimissioni, ha la facoltà di eliminare le email presenti nel proprio account, anche se queste contengono dati aziendali o si riferiscono a relazioni lavorative.

Tuttavia, non è autorizzato a eliminare completamente l’account di posta elettronica.

Di conseguenza, l’azienda non ha diritto di richiedere un risarcimento per la cancellazione di email che riguardano l’attività lavorativa e sono conservate nell’account del dipendente.

La protezione delle email tramite password, nota solo al titolare dell’account, implica che i dati contenuti appartengano, almeno in parte, al dipendente; quindi, la cancellazione di tali messaggi non costituisce un danno ai sensi del Codice penale, il quale assume che le alterazioni dei sistemi informatici riguardino beni “altrui”.

Se un datore di lavoro tenta di accedere all’account email protetto da password di un ex dipendente per recuperare documenti o comunicazioni, commette il reato di accesso abusivo a sistema informatico.

Ricordarsi dei metadati

Il Garante per la Protezione dei Dati Personali ha stabilito che le aziende devono cancellare i “metadati” delle email aziendali, utili per tracciare i messaggi dei dipendenti, entro 7 giorni dalla loro ricezione per evitare il trattamento illecito di dati personali, rischiando altrimenti sanzioni severe. Questo provvedimento, pubblicato il 6 febbraio e datato 21 dicembre, sembra voler riportare le aziende a un’epoca precedente all’uso diffuso della posta elettronica, limitando la conservazione dei metadati a soli 7 giorni, estendibili di ulteriori 48 ore solo in casi giustificati.

Per mantenere più a lungo i metadati nel cloud, le aziende sono obbligate a stipulare accordi sindacali, come previsto dall’articolo 4 dello Statuto dei lavoratori, che consente il controllo indiretto a distanza dei lavoratori solo con l’autorizzazione di un accordo sindacale o, in mancanza, con l’autorizzazione dell’Ispettorato nazionale del lavoro. In assenza di tali accordi, i metadati devono essere eliminati entro il termine stabilito.

I metadati sono fondamentali per l’archiviazione e la ricerca delle email, analogamente a come le etichette aiutano a catalogare i libri in una biblioteca. La loro cancellazione dopo 7 giorni impone alle aziende un onere burocratico significativo per adeguarsi alla normativa sulla privacy, richiedendo l’aggiornamento delle informative sulla privacy, la valutazione dell’impatto sui diritti fondamentali, test di bilanciamento e la revisione delle politiche di conservazione dei dati.

Questo provvedimento viene criticato come anacronistico e incompatibile con la realtà della rivoluzione digitale, rappresentando una sfida quasi insormontabile per le aziende che si affidano ai metadati per gestire le comunicazioni elettroniche. La necessità di conservare le email per periodi prolungati per motivi legali si scontra con le restrizioni imposte dal Garante, portando a una situazione in cui le aziende potrebbero trovarsi a rischio di sanzioni amministrative, civili e penali per il trattamento illecito dei dati.

La proposta del Garante di stipulare accordi sindacali individuali appare impraticabile per molti, creando potenzialmente caos senza un chiaro indirizzo da parte degli ispettorati del lavoro. Pur riconoscendo l’importanza del controllo sui dati personali nell’era digitale, questo approccio estremo sembra più un danno autoinflitto che una soluzione praticabile.