Un contesto normativo trasversale

La posta elettronica è uno strumento indispensabile di lavoro, e sovente accade che ogni dipendente abbia il proprio personale indirizzo email aziendale. Uno strumento tanto semplice, quanto rilevante nelle implicazioni giuridiche.
Come noto, la segretezza dei contenuti della posta elettronica, così come ogni altra forma di comunicazione, è tutelata dall’art. 15 della Costituzione. Ma non solo: la gestione della posta elettronica aziendale ha importanti sviluppi anche in ambito giuslavoristico ed in materia di protezione dei dati personali.
Il D.Lgs. 151/2015 (Jobs Act) ha riformato l’art. 4 della L. 300/1970 (Statuto dei Lavoratori), introducendo al secondo comma la possibilità di controllare, per tutti i fini connessi al rapporto di lavoro, gli strumenti aziendali utilizzati dal lavoratore per rendere la prestazione lavorativa, tra cui figura chiaramente anche la posta elettronica.
La maggior libertà di controllo del datore, tuttavia, non va di pari passo con una più tenue tutela della riservatezza dei lavoratori. Il terzo comma del modificato art. 4 dispone che le informazioni raccolte sono utilizzabili solo a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli nel rispetto di quanto disposto dal D.Lgs. 196/2003 (Codice PDP).

Il controllo della posta elettronica alla luce della normativa privacy

Il riferimento al Codice in materia di protezione dei dati personali ha importanti e profonde implicazioni, che non si limitano a quanto disposto dal terzo comma. Innanzitutto, adesso deve intendersi integralmente richiamato anche il Reg. UE 2016/679 ed i principi in esso riportati, quale parametro di legittimità costituzionale del D.Lgs. 196/2003.
Il controllo dell’account email fornito al dipendente, che spesso comporta un vero e proprio trattamento di dati personali, deve essere svolto con modalità che rispettino i principi di cui all’art. 5 del GDPR, e cioè:

L’utilizzo dei dati eventualmente raccolti a seguito del controllo deve avvenire in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, legittime ed esplicite. Ma soprattutto, il controllo deve rispettare il principio di proporzionalità: il controllo deve essere il meno invasivo possibile, e limitarsi a quanto necessario. Il datore è tenuto ad attuare misure alternative e meno invasive del controllo dell’account e dei contenuti delle comunicazioni email, ove possibile.
Il lavoratore, in parole povere, deve essere preventivamente ed adeguatamente avvertito circa la facoltà di controllo delle email, la portata, durata ed estensione del controllo, la finalità. Inoltre, il lavoratore ha il diritto di conoscere le eventuali conseguenze, anche disciplinari, di un controllo. Oltre a questo, il lavoratore ha il diritto e l’onere di conoscere l’uso consentito degli strumenti aziendali e della posta elettronica.

L’importanza delle policy aziendali sull’uso della posta elettronica

Poiché in molti casi è consentito, seppur limitatamente, un uso promiscuo degli strumenti e delle email aziendali, è naturale che i lavoratori abbiano una certa aspettativa sulla riservatezza delle proprie comunicazioni, seppur in ambito aziendale.
Per questo motivo è utile, ed in alcuni casi doveroso, dotarsi di una policy aziendale in cui definire l’uso consentito degli strumenti aziendali e della posta elettronica. Tale policy, oltre a definire le modalità ed i limiti d’uso, dovrebbe anche prevedere come affrontare tutte le situazioni in cui il lavoratore è assente per periodi prolungati di tempo.
È possibile infatti che per garantire la business continuity si debba accedere ad informazioni contenute nell’account di posta elettronica del lavoratore assente. In questo caso sarebbe opportuno attuare misure tali per cui non sia necessario accedere direttamente all’account dell’utente. Ad esempio, in caso di assenza preventivata, come in caso di ferie, si potrebbe istruire il lavoratore a trasferire tutte le informazioni rilevanti per il periodo di assenza in una cartella temporanea condivisa con i colleghi autorizzati. Una misura del genere non solo risulterebbe proporzionale, ma anche lungimirante dal punto di vista della sicurezza delle informazioni. Condividere account personali, seppur all’interno dell’azienda, è sempre sconsigliabile, poiché può portare ad una perdita di controllo delle credenziali di accesso.
Alternativamente, è possibile delegare un altro dipendente ad accedere all’account email, purché il lavoratore a cui appartiene l’account sia preventivamente ed adeguatamente informato, ed a patto che la delega e la condivisione delle credenziali sia temporanea e che il dipendente incaricato sia informato circa il rispetto dei principi di proporzionalità, minimizzazione, e di limitazione delle finalità.
Infine, vale la pena notare che una policy aziendale sull’uso della posta elettronica dovrebbe anche prevedere le misure da attuare in caso di dimissioni o licenziamento di un dipendente. La posta elettronica spesso contiene dati personali ed informazioni aziendali di particolare valore, ed è doveroso proteggere questi asset da possibili rischi di data breach causati dal mantenimento in vita per un tempo indefinito di credenziali di lavoratori che non fanno più parte della realtà aziendale.

Matteo Navacci, consulente legale Net Patrol