Con la newsletter del 6 febbraio 2024 il Garante per la Protezione dei dati personali ha pubblicato il documento di indirizzo per le aziende per la gestione degli account di posta elettronica nel contesto lavorativo, fornendo precisi orientamenti in merito alla tematica, già analizzata e sempre spinosa, della doppia natura di dato personale e di strumento di lavoro per gli indirizzi di posta elettronica aziendale.
Internet Live Stats, il portale che monitora in tempo reale i numeri della rete, mostra che in totale, nel mondo, vengono inviate all’incirca 2,7 milioni di mail al secondo, 227 miliardi ogni giorno. Si tratta di un numero imponente, che ci fa capire, se ancora ce ne fosse bisogno, quanto la e-mail non solo sia entrata nel nostro vivere quotidiano come un normale strumento di comunicazione, ma sia altresì uno dei nostri principali strumenti di lavoro.
Non a caso, quando un nuovo dipendente viene assunto da un’azienda, gli o le viene attivato un account di posta elettronica aziendale come seconda cosa in assoluto (la prima è la firma del contratto di assunzione), mentre viceversa, in caso di licenziamento, la disattivazione dell’account è altrettanto immediata. Ancora, la messa a disposizione di un account di posta aziendale costituisce spesso uno degli elementi probatori a disposizione di chi voglia far valere in giudizio un rapporto di lavoro subordinato al posto di un contratto di collaborazione. Per approfondimenti sulla privacy delle mail consigliamo “Compendio breve sulla privacy -Guida alla lettura del GDPR con esempi e casi pratici”, che dedica alla definizione di dato personale un accurato approfondimento.
Indice
- 1. La mail di lavoro: disciplina del dato personale
- 2. Pratiche consigliate e strategie per la gestione delle caselle di posta
- 3. Redazione di una policy interna
- 4. Protezione della corrispondenza elettronica e questioni legali
- 5. Gestione degli account in caso di risoluzione del rapporto di lavoro
- 6. Il documento del Garante
- Vuoi ricevere aggiornamenti costanti?
1. La mail di lavoro: disciplina del dato personale
Dunque, avere o non avere una e-mail aziendale non è fattore privo di conseguenze, da un punto di vista giuslavoristico e, da qualche anno, anche dal punto di vista della gestione e trattamento dei dati personali.
Se è vero, infatti, che le e-mail sono uno strumento di lavoro, è altrettanto vero che gli indirizzi formati nella modalità nome.cognome sono classificate, senza alcun dubbio, come “dati personali” ai sensi dell’articolo 4 del GDPR, il regolamento europeo 679/2016 sulla protezione dei dati personali.
Questa precisazione non è di poco conto, poiché implica che i datori di lavoro devono esercitare la massima cautela nella loro gestione, per garantire la protezione dei dati personali, come richiesto dal Regolamento UE 2016/679 e dal Codice Privacy aggiornato dal D.lgs. 101/2018. Senza una normativa specifica che regoli il loro uso, le e-mail in un account nominativo sono considerate come parte della corrispondenza privata del lavoratore, con tutte le implicazioni legali che ne derivano.
Recentemente, una persona si è rivolta a me per sottopormi un caso ormai classico: licenziata dalla sua azienda, la sua casella di posta nome.cognome è stata immediatamente disattivata, privandola dell’accesso, senza che alcuna policy a riguardo le fosse mai stata fatta formare e senza alcun preavviso da parte sua. È legittimo questo comportamento del datore di lavoro? O invece la lavoratrice in questo caso ha la possibilità di fare valere i suoi diritti su uno strumento di lavoro che non può più usare, ma che in passato ha utilizzato anche per ragioni personali (in assenza di disciplinare) e che soprattutto costituisce suo dato personale?
Vediamolo insieme.
2. Pratiche consigliate e strategie per la gestione delle caselle di posta
Una prassi raccomandata dal Garante (Provvedimento generale 1° marzo 2007 n. 13) per la protezione dei dati personali include l’implementazione di indirizzi e-mail condivisi tra più dipendenti, come info@ente.it o ufficiovendite@ente.it. Questi indirizzi, se affiancati da quelli individuali, riducono i problemi legati alla privacy del singolo lavoratore, in quanto non contengono dati personali e non si presume che siano utilizzati per scopi personali. Tuttavia, resta fondamentale fornire linee guida chiare sull’uso di queste e-mail come strumento di lavoro.
3. Redazione di una policy interna
La creazione di una policy interna è cruciale per regolare l’uso delle e-mail aziendali. Questa policy dovrebbe delineare regole chiare sull’uso esclusivamente aziendale delle e-mail, proibendo usi personali e garantendo conformità alle normative sulla privacy e al diritto del lavoro. In mancanza, si può invece presumere che il lavoratore possa utilizzare la mail in modo “misto” ossia sia per lavoro, sia per motivi personali e (sebbene sia sconsigliato in ogni caso ai lavoratori questa prassi, una e-mail su gmail o simili sarebbe comunque bene averla, per gestire i servizi online personali) e dunque al momento della cessazione, per qualsiasi causa, del rapporto di lavoro si porrà il problema del periodo di transizione: una situazione in cui sarebbe meglio non doversi trovare. Per approfondimenti sulla privacy delle mail consigliamo “Compendio breve sulla privacy -Guida alla lettura del GDPR con esempi e casi pratici”, che , con un taglio pratico, affronta
Compendio breve sulla privacy
L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.
Jean Louis a Beccara | Maggioli Editore 2021
24.00 €
4. Protezione della corrispondenza elettronica e questioni legali
Le e-mail aziendali sono protette da diverse normative che garantiscono la segretezza della corrispondenza. Questo aspetto ha implicazioni non solo in termini di privacy ma anche dal punto di vista penale (art. 616 c.p. violazione, sottrazione o sospensione della corrispondenza) soprattutto quando si tratta di accedere ai contenuti delle e-mail in assenza del dipendente. Ricordiamo poi che alle e-mail di lavoro si applica, ovviamente, l’art. 15 della Costituzione sulla libertà e segretezza della corrispondenza, e non possiamo non citare l’art. 4 della legge 300/1970 (Statuto dei lavoratori) che vieta il controllo dei lavoratori a distanza, per finire con diversi provvedimenti del Garante che hanno sanzionato proprio una fattispecie analoga a quella presentata dalla mia cliente.
5. Gestione degli account in caso di risoluzione del rapporto di lavoro
Un aspetto particolarmente delicato riguarda la gestione degli account e-mail in situazioni di risoluzione improvvisa del rapporto di lavoro. In tali circostanze, i datori di lavoro dovrebbero seguire procedure stabilite per disattivare gli account nominativi e informare i destinatari tramite messaggi automatici, mantenendo attivo l’account solo per un periodo limitato e secondo procedure ben definite.
Ecco qui un brevissimo vademecum che tocca i punti principali che dovrebbero essere affrontati dalle aziende per una corretta gestione degli indirizzi e-mail a prova di Garante.
Limitare l’uso di account nominativi: dove possibile, è preferibile utilizzare account collettivi per determinate funzioni, riducendo così i rischi legati alla gestione di dati personali.
Stilare un regolamento interno chiaro: è fondamentale informare i lavoratori sul corretto utilizzo degli account assegnati, escludendo esplicitamente l’uso per scopi personali. Questo regolamento deve essere ben comunicato e compreso da tutti i dipendenti. Una policy ben redatta e comunicata è essenziale per gestire correttamente l’uso delle e-mail aziendali e per prevenire potenziali conflitti tra la necessità di controllo del datore di lavoro e il diritto alla riservatezza del lavoratore. Essenziale informare i dipendenti anche in merito a eventuali controlli che possono essere eseguiti, per assicurare la trasparenza e il rispetto delle normative.
Implementare procedure per le assenze prolungate: prevedere sistemi di delega e messaggi automatici per garantire la continuità del lavoro e la protezione delle informazioni sensibili in caso di assenze.
Gestire con attenzione le risoluzioni del rapporto di lavoro: in caso di risoluzione per qualsiasi motivo del rapporto di lavoro, seguire procedure che rispettino sia le norme sulla privacy sia le indicazioni del Garante. Questo include la disattivazione degli account e la comunicazione efficace ai destinatari coinvolti.
Adottare un approccio proattivo: l’adozione di un approccio proattivo e l’aggiornamento continuo delle policy in linea con le normative vigenti sono essenziali non solo per garantire una gestione efficace e rispettosa della privacy, ma anche per coinvolgere i dipendenti nelle scelte che li riguardano. A questo proposito è bene ricordare che è necessario svolgere una formazione continua e regolare dei dipendenti, non solo sul GDPR e sulla cybersecurity in generale, ma altresì sulle policy relative all’uso delle e-mail aziendali e sulla loro importanza per la protezione della privacy (soprattutto al fine di evitare contestazioni in caso di risoluzioni burrascose del rapporto di lavoro).
Monitoraggio e valutazione: effettuare controlli periodici e valutazioni delle policy implementate per assicurarsi che siano sempre attuali e in linea con le normative vigenti.
Feedback e comunicazione aperta: creare canali di comunicazione aperti per ricevere feedback dai dipendenti e discutere eventuali dubbi o suggerimenti.
Potrebbero interessarti anche:
6. Il documento del Garante
Vediamo quali sono i punti salienti presi in considerazione.
- Rischi associati alla raccolta di metadati: viene evidenziato il rischio che programmi e servizi di posta elettronica, soprattutto quelli in cloud, raccolgano in modo preventivo e generalizzato metadati dei dipendenti, conservandoli per tempi estesi e limitando la possibilità di modificare le impostazioni per ridurne la raccolta o il periodo di conservazione.
- Normativa sulla protezione dei dati personali: il Garante sottolinea la necessità di rispettare le garanzie di segretezza costituzionalmente tutelate per la corrispondenza, implicando una legittima aspettativa di riservatezza anche nel contesto lavorativo. È richiesto che i datori di lavoro verifichino la liceità del trattamento dei dati personali attraverso questi strumenti, conformemente al Regolamento Generale sulla Protezione dei Dati (GDPR) e alle normative nazionali.
- Presupposti di liceità e responsabilità dei datori di lavoro: vengono delineati i presupposti di liceità per il trattamento dei dati personali e le responsabilità dei datori di lavoro nell’uso di strumenti tecnologici, sottolineando il divieto di trattare informazioni non rilevanti ai fini professionali o che invadano la sfera privata del lavoratore.
- Principi generali del trattamento: i titolari del trattamento sono tenuti a rispettare i principi generali del trattamento, inclusa la necessità di una valutazione di impatto sulla protezione dei dati per i trattamenti che presentano rischi elevati per i diritti e le libertà delle persone fisiche.
- Disciplina di settore sui controlli a distanza: viene richiamata la legislazione specifica sui controlli a distanza, indicando che l’attività di raccolta e conservazione dei metadati necessari per il funzionamento dell’infrastruttura email deve essere limitata nel tempo e giustificata da esigenze tecniche.
- Possibili responsabilità per i datori di lavoro: il documento evidenzia le possibili responsabilità per i datori di lavoro in caso di illiceità del trattamento, violazione del principio di limitazione della conservazione, e non rispetto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.
- Iniziative per assicurare il rispetto della normativa: vengono suggerite iniziative per i datori di lavoro al fine di conformare i trattamenti alla normativa sulla protezione dei dati e alla disciplina sui controlli a distanza, includendo la necessità di adeguare i programmi e servizi informatici per limitare la raccolta e la conservazione dei metadati.
- Trasparenza nei confronti dei lavoratori: è richiesta una specifica informativa ai lavoratori sul trattamento dei loro dati personali, sottolineando l’importanza di una corretta e trasparente comunicazione delle modalità di trattamento prima del suo inizio.
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia.
Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scrivi un commento
Accedi per poter inserire un commento