La casella di posta elettronica del dipendente rappresenta uno strumento attraverso il quale il lavoratore presta la propria attività lavorativa; tuttavia, le informazioni ivi contenute possono riguardare anche la sfera personale e la vita privata dei lavoratori e di terzi. Cerchiamo di capire entro quali limiti il datore di lavoro può avervi accesso.
La casella di posta elettronica aziendale
Per casella di posta elettronica aziendale si intende esclusivamente l’indirizzo e-mail con dominio aziendale (__@denominazioneazienda.it) utilizzata dal dipendente per lo svolgimento delle proprie attività lavorative - il cui account è di titolarità del datore di lavoro - e non il suo account personale di posta.
Nonostante il lavoratore possa accedere alla propria casella di posta personale attraverso gli strumenti aziendali offerti dal datore di lavoro (ad esempio, il pc aziendale) quest’ultima rimane infatti assolutamente inaccessibile al datore di lavoro, nel rispetto del principio di inviolabilità del diritto alla segretezza della corrispondenza di cui all’art. 15 della Costituzione. Diversamente, la casella di posta aziendale è “accessibile” al datore di lavoro in alcune specifiche circostanze mediante l’adozione di dovute e necessarie cautele.
Le previsioni normative e le Linee guida del Garante
Nelle Linee guida per la posta elettronica e internet pubblicate dal Garante privacy italiano nel 2007 – ma ancora attualissime - l’autorità italiana ha sostenuto che “il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati- riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali" (punto 5.2 lett. b) e che ciò, trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati), possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione; rilevato che tali esigenze di tutela devono essere tenute in considerazione anche nell´ipotesi in cui venga a cessare il rapporto di lavoro tra le parti”.
A ciò si aggiunga che anche il Regolamento UE 2016/679 (“GDPR”), all’articolo 88 riconosce, in capo al titolare del trattamento, l’obbligo “di protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.
L’articolo 4 della Legge n. 300/1970 (“Statuto dei Lavoratori”), come modificato dal D. Lgs. 22/2015 c.d. “Jobs Act”, al comma 2 introduce una deroga al divieto generale di controllo a distanza della prestazione lavorativa mediante controlli a distanza effettuati mediante strumenti di lavoro o di rilevazione degli accessi e delle presenze. È bene tuttavia specificare che la deroga di cui al comma 2 dell’art. 4 riguarda esclusivamente i controlli effettuati tramite gli strumenti utilizzati per rendere la prestazione lavorativa (dispositivi e/o software) secondo un’accezione molto restrittiva.
A tal riguardo, con provvedimento n. 409 del 1 dicembre 2022, il Garante privacy italiano ha sanzionato la Regione Lazio per aver effettuato attività di controllo sui metadati della posta elettronica dei dipendenti senza aver predisposto le adeguate tutele privacy in favore dei lavoratori e, in particolare, per aver violato i limiti di cui all’articolo 4 dello Statuto dei lavoratori, ritenendo che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica non sono strumentali allo “svolgimento della prestazione” del dipendente.
Condizioni per l’accesso alla posta elettronica aziendale dei dipendenti
In via preliminare è bene sottolineare che, in ottemperanza alla normativa vigente in materia di protezione dei dati personali, il datore di lavoro, in qualità di titolare del trattamento, ha l’onere di adottare tutte le misure tecnologiche volte a minimizzare l’uso di dati identificativi dei dipendenti (c.d. privacy enhancing technologies–PETs) - che possono essere differenziate a seconda della tecnologia impiegata – e di implementare misure di sicurezza adeguate a garantire la tutela dei dati del lavoratore.
Il datore di lavoro che intenda accedere alla casella di posta elettronica del dipendente, nelle ipotesi di cui al paragrafo 2 dell’articolo 4 dello Statuto dei lavoratori (dunque, controllo indiretto tramite strumenti necessari per lo svolgimento delle attività lavorative), sarà tenuto a rendere ai propri dipendenti una informativa adeguata ai sensi dell’articolo 13 GDPR che tenga conto delle modalità operative e delle finalità di tale trattamento e a formalizzare una procedura aziendale – adeguatamente pubblicizzata nella compagine aziendale e sottoposta a periodico aggiornamento - che preveda espressamente la possibilità del datore di lavoro di accedere alla casella di posta dei dipendenti e che riporti le casistiche in cui ciò è consentito in relazione alle finalità. Sarebbe inoltre necessario garantire la “tracciabilità dei controlli”, in modo da rendere documentabile l’entità dei controlli effettuati (quante e quali e-mail del dipendente, per quanto tempo, chi ha avuto accesso ai dati del dipendente).
Le attività di controllo, come sostenuto dal Garante privacy nelle su menzionate Linee guida, devono essere svolte nel rispetto del principio di proporzionalità e limitazione del trattamento rispetto alle finalità perseguite: la necessità di controllo del datore di lavoro deve pertanto essere bilanciata e proporzionata rispetto alle esigenze di tutela della riservatezza e dignità del lavoratore. Per questi motivi non è possibile, per esempio, effettuare controlli che consistono nella sorveglianza continua e capillare della cronologia delle pagine web visualizzate dal lavoratore o dei messaggi della posta elettronica.
A ciò si aggiunga che, nella Nota del 18 giugno 2015, il Ministero del Lavoro ha chiarito che qualsiasi modifica sugli strumenti indispensabili per il lavoratore per svolgere la propria prestazione per attuare un controllo a distanza comporta un’automatica declassificazione di questi a strumenti di controllo (per esempio, l’installazione di un software di registrazione della navigazione o di localizzazione sui computer dei lavoratori) per i quali sono richieste le ulteriori condizioni di cui al paragrafo 1 dell’art. 4 dello Statuto dei lavoratori (accordi sindacali, eventuale svolgimento di una valutazione d’impatto ex art. 35 GDPR).
Accesso alla casella di posta del dipendente successiva al termine del rapporto di lavoro
Quali adempimenti sono invece richiesti al datore di lavoro nel caso in cui sia avvenuta la cessazione del rapporto di lavoro con il dipendente? È consentito, in tali casi accedere alla casella di posta aziendale? Fermo restando gli obblighi a cui si è già fatto riferimento, e non prendendo in considerazione, al momento, le necessità legate ad esigenze difensive, il datore di lavoro potrà accedere alla casella di posta dell’ex dipendente entro i limiti di cui al disciplinare interno adottato dall’azienda, sempre nel rispetto principi di liceità e minimizzazione dei dati previsti dal GDPR e dalle condizioni di legittimità di cui allo Statuto dei lavoratori e del Codice Penale.
In termini di accountability del titolare, inoltre, al fine di non incorrere in sanzioni da parte del Garante privacy italiano – lungi dal considerare, in tale sede, gli aspetti di matrice penalistica -, è preferibile che, a seguito della cessazione del rapporto di lavoro, il datore di lavoro provveda a: i) rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili in un tempo ragionevole (commisurato ai tempi tecnici di predisposizione delle misure), procedendo preliminarmente alla loro tempestiva disattivazione; ii) adottare sistemi di risposta automatici volti ad informarne i terzi della cessazione del rapporto di lavora e a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento; iii) adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione (come chiarito più volte dallo stesso Garante privacy italiano).
L’adozione di tali misure consente al titolare di contemperare il proprio interesse ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantire la business continuity aziendale con la legittima aspettativa di riservatezza sulla corrispondenza dei propri (ex) lavoratori.