Privacy ed email dei dipendenti: quando possono essere utilizzate?

Nella quotidiana attività di consulenza alle imprese, soprattutto in ambito giuslavoristico, ci viene spesso formulata la domanda: “Possiamo utilizzare come prova le email estratte dall’indirizzo aziendale del dipendente”?

La risposta fornita è mutata nel tempo, ma con l’intervento del Garante della Privacy nel 2017 e, ancor più in dettaglio, nel 2019 e con i successivi arresti giurisprudenziali, la questione ha oggi assunto contorni più netti, per quanto comunque ancora delicati.

Il datore di lavoro può leggere e controllare le email dei dipendenti anche senza darne comunicazione o chiedere il permesso ai sindacati, ma per tutelare la privacy dei lavoratori la legge stabilisce che il datore possa controllare la posta solo a due con condizioni:

  • che i dipendenti siano stati avvisati di questa possibilità;
  • che il controllo dei messaggi di posta avvenga nelle modalità e nelle forme dichiarate dal datore.

Occorre comunque distinguere tra le email inviate e ricevute sull’account aziendale e quelle strettamente personali, che mai possono essere lette e controllate.

Il Garante della privacy vieta il controllo massivo e la conservazione illimitata delle email aziendali e, se il dipendente si dimette o viene licenziato, la sua casella di posta deve essere disattivata immediatamente.

Tra le facoltà del datore di lavoro c’è anche quella di controllare le email dei lavoratori subordinati, degli apprendisti e dei tirocinanti impiegati nella sua azienda, ma il controllo può riguardare solo ed esclusivamente l’indirizzo di posta elettronica aziendale e quindi il computer fornito in dotazione dal datore di lavoro e utilizzato a casa o in ufficio.

Come è facile intuire, il datore può leggere le email per verificare il regolare svolgimento delle mansioni da parte del dipendente, scorgere incongruità e provvedere in caso di errori, tuttavia -trattandosi di una violazione della privacy- la legge impone precise regole a cui ogni datore deve attenersi, stabilite nelle Linee Guida del 2017 del Garante della privacy dove è sancito il “principio di pertinenza” e di “non eccedenza”, il che significa che il controllo delle email non deve essere eccessivamente invasivo e non può essere generalizzato e massivo.

In sintesi, il datore di lavoro può leggere le email dei dipendenti solo se:

  • ha preventivamente informato i lavoratori del corretto uso della posta aziendale e ha comunicato la possibilità che vi siano dei controlli a campione o calendarizzati;
  • adotta tutti gli accorgimenti previsti in materia di conservazione e trattamento dei dati ricavabili dalle email;
  • informa i dipendenti sulle modalità del controllo della posta elettronica, ad esempio indirizzi in condivisione o messaggi di avvertimento.

I medesimi principi sono stati ribaditi nel 2019 sempre dal Garante della Privacy, con il provvedimento n. 216 del 04\12\2019: un intervento che ribadisce come la protezione della vita privata si estende anche all’ambito lavorativo.

Il caso affrontato dal Garante nel 2019

Nel corso di un giudizio davanti al giudice del lavoro promosso nei confronti di un ex dipendente, il precedente datore ha depositato agli atti una email giunta sulla casella di posta aziendale del lavoratore. L’email era giunta però un anno dopo la cessazione dal servizio dell’ex dipendente. Venuto pertanto a sapere dell’accesso postumo alla propria email, il dipendente ha presentato reclamo ai sensi del GDPR al Garante Privacy, contestando al precedente datore di lavoro di aver violato la normativa privacy per via della persistente attivazione dell’account di posta elettronica aziendale dopo l’interruzione del rapporto di lavoro.

Il reclamante ha inoltre contestato di non aver ricevuto alcuna informativa relativa alla possibilità per il datore di lavoro di accedere ai messaggi pervenuti all’indirizzo di posta elettronica aziendale successivamente alla cessazione del rapporto di lavoro ed ha pertanto inviato formale diffida alla società affinché l’account venisse disattivato e, nel contempo, si provvedesse a trasmettere copia di tutte le comunicazioni pervenute sulla casella di posta elettronica dalla cessazione del rapporto di lavoro sino al momento della disattivazione dell’account.

Dagli accertamenti svolti dall’Autorità del Garante è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusione del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore.

In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, di cui alcune, in base a quanto si evince dall’indicazione del mittente e dell’oggetto, non erano riferibili all’attività professionale dell’ex dipendente (ad es. inviti ricevuti sul social Linkedin, inviti ad iniziative culturali, pubblicità di un istituto bancario alla clientela).

In risposta all’interpello presentato dall’ex dipendente, la società ha inviato una nota difensiva rappresentando che:

  • la mancata disattivazione dell’account e contestuale inoltro delle email in arrivo sull’account del responsabile della funzione di Information Technology era stata disposta sia perché il reclamante non aveva provveduto ad inviare ai clienti della società una comunicazione con i nuovi riferimenti aziendali sia perché “il ricevimento delle email indirizzate all’ex dipendente era indispensabile alla corretta gestione dei rapporti commerciali della società”;
  • la società aveva “aperto e letto solo le mail provenienti dalla propria clientela, non anche mail personali”;
  • la disattivazione dell’account sarebbe stata disposta solo nel momento in cui il reclamante avesse comunicato “a tutti i clienti […] con cui era in contatto” che le comunicazioni alla società dovevano essere inviate a diverso account riferito all’azienda.

A seguito di una ulteriore richiesta di chiarimenti ricevuta da parte del Garante, la società ha inoltre chiarito che:

  • il reclamante era consapevole che in base alla “prassi aziendale” il suo indirizzo di posta elettronica “sarebbe stato girato – alla cessazione del rapporto di lavoro − […] al responsabile dell’Information Technology” e che pertanto “il datore di lavoro (dopo la cessazione del rapporto di lavoro) avrebbe controllato la corrispondenza commerciale a lui diretta”;
  • la società ha aperto “una e-mail proveniente da un cliente [della società medesima] e con stupore si è accertato che [il reclamante] proponeva prodotti […] in diretta concorrenza con [la società]”;

Infine la società ha richiesto audizione presso l’Autorità precisando di aver chiuso l’account email, allegando la comunicazione del gestore della posta elettronica aziendale, e sottolineando che i fatti oggetto del reclamo si sono svolti in periodo antecedente all’entrata in vigore del GDPR e, di conseguenza, l’informativa circa la prassi adottata dalla società in materia di posta elettronica aziendale “veniva resa oralmente ai propri dipendenti”.

La decisione del Garante

A seguito dell’istruttoria, il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore.

L’Autorità ha precisato che, in applicazione del principio di correttezza, il titolare è tenuto ad informare preventivamente i dipendenti circa le caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.

Secondo l’Autorità l’aver comunicato verbalmente al reclamante il trattamento connesso al suo indirizzo di posta elettronica, non costituisce elemento idoneo a documentare l’avvenuto adempimento da parte della società dell’obbligo informativo che l’ordinamento pone in capo al titolare del trattamento.

In aggiunta, il Garante ha rilevato che il lavoratore vanta una legittima aspettativa di riservatezza su talune forme di comunicazione e che il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali e alle già citate “Linee guida del Garante per posta elettronica e Internet”, deve rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

Quali sono le indicazioni operative per i datori di lavoro?

Alla luce dei principi ribaditi dal Garante, è necessario suggerire alle Aziende di adottare delle procedure interne affinché:

  • il lavoratore venga preventivamente informato del corretto uso della posta aziendale e gli venga comunicato la possibilità che vi siano dei controlli a campione o calendarizzati
  • vengano adottati tutti gli accorgimenti previsti in materia di conservazione e trattamento dei dati ricavabili dalle email;
  • i dipendenti vengano informati sulle modalità del controllo della posta elettronica, ad esempio indirizzi in condivisione o messaggi di avvertimento.
  • subito dopo la cessazione del rapporto vengano rimossi gli account di posta elettronica riconducibili all’ex dipendente, adottando però al contempo sistemi automatici volti ad informare i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale,
  • provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione e limitando l’accesso alle informazioni necessarie a garantire la continuità della gestione della propria attività.

Come chiarito dal Garante l’adozione di tali misure tecnologiche consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che dei terzi.