Posta Elettronica Aziendale: chiarezza dei ruoli

Posta Elettronica Aziendale: chiarezza dei ruoli
Con riferimento alle kinee guida del Garante Privacy in materia di utilizzo della posta elettronica aziendale vediamo di affrontare i punti di attenzione e i relativi suggerimenti:
- Chiarezza dei ruoli e delle responsabilità
- È importante specificare chi è il “Responsabile” designato (ad esempio, un responsabile dell’area IT o altra figura aziendale).
- I dipendenti devono sapere a chi rivolgersi in caso di dubbi (per esempio, se ricevono catene telematiche o messaggi sospetti).
- Aspetti di consenso e informativa
- Il regolamento aziendale interno (o policy) deve essere consegnato ai dipendenti (idealmente anche ai collaboratori e stagisti), e andrebbe firmato per presa visione. In questo modo, l’azienda può dimostrare di aver comunicato in anticipo le modalità di gestione della posta elettronica e di aver ottenuto il consenso informato da parte del lavoratore, o comunque di averli avvertiti della natura “aziendale” dell’account.
- Questo aspetto risponde all’esigenza di trasparenza imposta dal GDPR (art. 13 e 14) e dall’art. 4 dello Statuto dei Lavoratori (nel caso di possibili controlli su email o dispositivi di lavoro).
- Distinzione tra uso professionale e uso personale
- Il regolamento aziendale interno chiarisce che la casella di posta è “strumento aziendale” e che è vietato usarla per scopi personali. Questa impostazione è legittima, purché comunicata in anticipo e rispettosa dei principi di proporzionalità (non si possono fare controlli invasivi senza un fondato motivo).
- È consigliabile, però, specificare in modo più netto che il dipendente dovrebbe evitare (o comunque limitare) l’uso personale, e che l’azienda si riserva la facoltà di accedere alle comunicazioni, ma soltanto con procedure mirate e rispettose della dignità del lavoratore (seguendo le regole del Garante, ad esempio la “linea guida su e-mail e internet” del 2007).
- Cessazione del rapporto di lavoro
- La procedura di indicare in 180 giorni il mantenimento della casella per la sola ricezione, con inoltro al responsabile è spesso ritenuta una best practice, a patto che venga informato prima il dipendente.
- È consigliabile ribadire che il contenuto delle email sarà consultato esclusivamente per ragioni legate alla continuità dell’attività lavorativa e non per finalità ulteriori.
- Conformità alle disposizioni di sicurezza (art. 32 GDPR)
- Il regolamento interno dovrà indica varie cautele sull’apertura degli allegati, la gestione dei link, il divieto di catene telematiche, ecc. Queste indicazioni sono conformi al principio di sicurezza dei dati (art. 32 GDPR).
- Sarebbe utile indicare anche il soggetto cge effettua la “manutenzione” tecnica (ad es. un responsabile IT interno o un fornitore esterno) e se ci sono procedure di backup.
- Aspetti di legittimo interesse vs. Statuto dei Lavoratori
- L’azienda deve evitare controlli massivi e ingiustificati sulle caselle (per non violare l’art. 4 dello Statuto dei Lavoratori). La policy aiuta a dimostrare la liceità di eventuali controlli, ma questi devono essere sempre limitati a esigenze specifiche (sicurezza, continuità del servizio, motivi organizzativi).
- Può essere consigliabile, inoltre, un breve paragrafo nel regolamento che illustri le procedure interne in caso di controllo e i criteri con cui si effettua (necessità, proporzionalità, previa informativa al lavoratore, ecc.).
- Possibilità di un canale “privato”
- A volte, in rari e particolari casi, le aziende concedono una casella di posta personale, separata e definita come “libera”, oppure consentono l’uso della webmail privata su tempo e mezzi personali. Questo aspetto potrebbe rassicurare chi avesse reali esigenze personali. Ovviamente, se la policy aziendale lo vieta del tutto, basta esserne consapevoli e comunicarlo bene.
Conclusioni
Il regolamento interno fornirà indicazioni sulla titolarità delle caselle di posta, sulla natura lavorativa dello strumento e sui divieti di uso privato. Integrare riferimenti chiari al GDPR e allo Statuto dei Lavoratori (dove necessario) aiuta a rafforzare la legittimità dell’azienda nel voler controllare o accedere alle email, senza incorrere in violazioni di legge.
In sintesi, la policy sarà in linea con le prescrizioni del Garante Privacy, ma consigliamo di inserirla nel contesto di una più ampia documentazione GDPR (informativa completa ai lavoratori, registro dei trattamenti, ecc.) e di farla firmare una presa visione, in modo da rispettare tutte le regole di trasparenza e correttezza previste dalla normativa sulla privacy.