Privacy ed Email Aziendale: cosa deve sapere il Titolare

La gestione corretta degli account e-mail aziendali in conformità alla normativa sulla privacy richiede attenzione a diversi aspetti. Il datore di lavoro deve considerare i dati personali come il “nome e cognome” presenti negli indirizzi e-mail, garantendo la tutela prevista dal GDPR e dal Codice Privacy. Inoltre, l’utilizzo di caselle di posta nominative senza una regolamentazione adeguata può comportare la considerazione di tali e-mail come corrispondenza privata del dipendente. La compliance richiede soluzioni per affrontare queste criticità e garantire la protezione dei dati personali.

Analizziamo le criticità

La gestione corretta delle e-mail aziendali richiede attenzione alle normative sulla privacy. Secondo il Garante Privacy, è consigliabile utilizzare indirizzi e-mail condivisi tra più lavoratori, affiancati a quelli individuali, per ridurre le problematiche legate alla riservatezza dei dati personali. La scelta di assegnare account nominativi deve essere regolamentata tramite una policy interna che stabilisca l’uso esclusivamente per fini aziendali. Un utilizzo promiscuo può generare dati personali estranei al rapporto di lavoro, aumentando i rischi di violazione della privacy e possibili sanzioni. La regolamentazione rappresenta la migliore tutela sia per l’azienda che per la riservatezza del lavoratore. Inoltre, è importante redigere regolamenti per gli strumenti aziendali, compresi PC, telefoni, tablet e auto con GPS, per ridurre le sanzioni privacy in caso di accertamenti. I contenuti delle e-mail, compresi i file allegati, sono forme di corrispondenza soggette a garanzie di segretezza a vari livelli,
inclusi aspetti costituzionali, legislativi e regolamentari.

In via generale il contenuto dei messaggi di posta elettronica, compresi i cosiddetti dati “esteriori” e i “file allegati”, sono forme di corrispondenza assistite da garanzie di segretezza tutelate a più livelli: costituzionale, legislativo, anche penale, regolamentare, etc. (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.).

La gestione degli account di posta aziendale solleva questioni che vanno al di là della privacy. Il datore di lavoro deve garantire la continuità aziendale tramite funzionalità di sistema che consentano l’invio automatico di risposte in caso di assenza del lavoratore, fornendo i contatti di un altro soggetto o modalità alternative di contatto. In caso di assenze non programmate, il titolare del trattamento può attivare misure simili attraverso personale incaricato, avvisando gli interessati. È possibile anche delegare un lavoratore fiduciario per verificare i messaggi e inoltrare quelli rilevanti al titolare del trattamento. Questa pratica rappresenta una best practice che un consulente esperto può suggerire all’imprenditore, accompagnata dalla redazione di un verbale apposito. I messaggi di posta elettronica devono includere un avvertimento ai destinatari riguardo alla possibile natura non personale dei messaggi stessi e al fatto che le risposte potrebbero essere conosciute nell’organizzazione di appartenenza del mittente, facendo riferimento alla policy aziendale.

Affinché il datore di lavoro si conformi al principio di accountability previsto dal GDPR, è opportuno affrontare le questioni sollevate riguardo all’assegnazione degli indirizzi email aziendali nominativi. È necessario chiarire al lavoratore i limiti di utilizzo dell’account e le forme di controllo che possono essere eseguite, nonché richiedere la delega di un soggetto fiduciario in caso di assenza. Queste informazioni devono essere fornite al lavoratore per rispettare sia le disposizioni sulla privacy previste dall’articolo 13, sia le norme di diritto del lavoro che richiedono la comunicazione di determinate informazioni relative agli strumenti di controllo a distanza assegnati al lavoratore. È importante sottolineare che l’adozione di una policy aziendale che informi il lavoratore sui limiti e i controlli dal punto di vista del diritto del lavoro assume il valore di una direttiva aziendale, a cui il dipendente deve conformarsi per evitare sanzioni disciplinari. L’introduzione di un disciplinare interno che regoli l’utilizzo dell’account di posta aziendale è pertanto altamente raccomandata. La sua corretta stesura è fondamentale per affrontare adeguatamente il conflitto tra la necessità di controllo del datore di lavoro, anche in caso di assenze improvvise e prolungate che richiedono la riorganizzazione del lavoro, e il diritto alla riservatezza del lavoratore. Affrontando questa tematica, sorge inevitabilmente un ulteriore aspetto legato alla privacy e all’utilizzo delle informazioni contenute nella corrispondenza email a fini disciplinari da parte del datore di lavoro. Spesso, il datore di lavoro può trovare attraverso il controllo delle email del lavoratore gli elementi necessari per avviare una procedura disciplinare. Tuttavia, è importante ricordare che tale controllo può avvenire solo nei limiti previsti dall’articolo 4 dello Statuto dei Lavoratori e che qualsiasi informazione raccolta risulta inutilizzabile se non è stata fornita al lavoratore un’adeguata informativa privacy in conformità all’articolo 13 del GDPR riguardante il trattamento dei suoi dati personali nell’ambito del rapporto di lavoro.

Un aspetto delicato riguarda gli effetti delle risoluzioni contrattuali tra lavoratore e datore di lavoro sulla gestione degli account, in particolare nei casi in cui il rapporto di lavoro si interrompe improvvisamente, come nel caso di dimissioni o licenziamento per giusta causa. In tali situazioni, la risoluzione comporta la rottura dei rapporti senza possibilità di passaggio di consegne, il che spesso crea difficoltà per l’azienda dal punto di vista della continuità lavorativa, che fino a quel momento era svolta dall’ex dipendente. In questo contesto, l’accesso all’account email, se non regolamentato correttamente e tempestivamente, diventa una fonte di conflitto o motivo di potenziali controlli e sanzioni tra le parti. Seguendo le linee guida suggerite dal Garante, il datore di lavoro dovrebbe disattivare l’account email nominativo aziendale, informando i destinatari tramite un messaggio automatico che le comunicazioni lavorative, e non personali, indirizzate a quell’account saranno inoltrate a un nuovo indirizzo. Naturalmente, nel rispetto dei principi di proporzionalità e limitazione del trattamento, il datore di lavoro potrebbe mantenere attivo l’account precedente per un periodo limitato, ma potrà accedervi solo se esiste una policy aziendale preventiva che regoli tale situazione o previo consenso del lavoratore (difficile da ottenere in tali circostanze). Tuttavia, spesso il datore di lavoro non si rende conto di commettere il reato di violazione di corrispondenza quando accede all’account email nominativo aziendale senza il consenso dell’interessato licenziato o dimissionario per giusta causa, poiché crede di accedere alla sua casella di posta elettronica personale e non a quella del lavoratore. In realtà, se l’account nominativo non è esplicitamente dichiarato aziendale dall’imprenditore con un divieto di utilizzo personale, sussiste una presunzione secondo la quale le email che arrivano a tale indirizzo sono lette in via confidenziale solo dal lavoratore il cui nome è incluso nell’indirizzo.

Per garantire una corretta gestione degli account nominativi aziendali da parte del datore di lavoro, sono necessari i seguenti adempimenti:

Limitare l’utilizzo degli account nominativi preferendo, per alcune funzioni, l’utilizzo di account collettivi come “segreteria@…”, “info@…”, “amministrazione@…”, eccetera.
Implementare un regolamento interno che informi i lavoratori sull’uso corretto degli account loro assegnati, specificando esplicitamente che non devono essere utilizzati per scopi personali.
Stabilire una procedura interna per delegare l’accesso agli account in caso di assenze prolungate, che includa anche l’impostazione di messaggi automatici per i destinatari.
Gestire la risoluzione improvvisa del rapporto di lavoro seguendo procedure predefinite che rispettino le norme sulla privacy e le indicazioni fornite dal Garante.
Questi adempimenti consentiranno al datore di lavoro di gestire in modo adeguato gli account nominativi aziendali, garantendo la conformità alle normative sulla privacy e promuovendo un uso appropriato degli account da parte dei dipendenti.

Lo “Ius Excludendi

Lo “Ius Excludendi” è un termine latino che significa “diritto di escludere” e trova applicazione nelle caselle di posta elettronica protette da password personalizzate. Se tali caselle sono modificate a nome di uno specifico dipendente, diventano il suo domicilio informatico e non possono essere consultate senza autorizzazione.

La questione legata alla modifica delle password delle caselle di posta elettronica dipende dalle leggi locali, dalle politiche aziendali e dai contratti di lavoro. Spesso, queste caselle sono considerate proprietà aziendale e l’uso è disciplinato da regole aziendali.

In molte organizzazioni, modificare la password senza autorizzazione potrebbe violare le politiche aziendali, con conseguenze disciplinari previste nel contratto di lavoro. È consigliabile stabilire chiaramente nelle policy aziendali che le password delle email aziendali sono gestite internamente e non possono essere modificate autonomamente dai dipendenti.

Approfondisci qui https://bit.ly/3vIf9yt e qui https://bit.ly/3r8kvB2

Altri Articoli

Furto d’identità digitale? Reato punito da due a sei anni

GPDP: vietato il riconoscimento facciale per il controllo presenze

DPO e relazioni con Data Controller e Data Processor

Padova IT – 35129

Via della Navigazione Interna, 51/B padova(AT)kairo.srl REA PD-464257

Attestazione Professionale ASSODPO
Data Protection Officer no.DPO100574

Milano IT – 20024

S.Maria Rossa di Garbagnate milano(AT)kairo.srl REA MI-2629185