Accesso alla posta elettronica dei dipendenti e privacy

Accesso email dipendenti
Massimo Bacci

Scritto da Massimo Bacci

Avvocato esperto in materia di proprietà intellettuale, diritto delle nuove tecnologie e protezione dei dati.

19 Marzo 2023

Accedere alle email dei dipendenti: come farlo nel rispetto della normativa privacy

Se siete a capo di un’azienda, probabilmente vi sarà capitato di dover accedere alla posta elettronica di un dipendente. Le ragioni possono essere molteplici, ad esempio: il lavoratore è assente da tempo e dovete intercettare i messaggi di potenziali clienti, oppure avete il sospetto che stia facendo qualcosa di sbagliato e volete controllare.

Prima di fare qualcosa di avventato, ricordate che i messaggi di posta elettronica, anche se inviati dalla casella aziendale, rientrano nel concetto di corrispondenza e sono protetti dalla Costituzione, prima ancora che dalla normativa privacy.

E-mail aziendale personale e condivisa

Le caselle di posta elettronica date ai dipendenti possono essere di due tipi: personali o condivise.

Sono email personali quelle assegnate al singolo lavoratore, che normalmente contengono il suo nome o le sue iniziali, ad esempio: mario.rossi@nomeazienda.it, m.rossi@nomeazienda.it, o anche soltanto mario@nomeazienda.it.

Questi indirizzi e-mail ed il loro contenuto devono considerarsi dati personali e sono protetti dalla normativa privacy.

Invece, sono email condivise quelle riferite all’azienda in generale o a un reparto, alle quali più dipendenti possono accedere, ad esempio: info@nomeazienda.it oppure commerciale@nomeazienda.it.

Gli indirizzi email condivisi non sono dati personali, perché non sono riferibili ad individui.

Un semplice consiglio: il datore di lavoro può risparmiarsi notevoli grattacapi mediante l’adozione di una politica di gestione delle email, che imponga di ricevere messaggi importanti (es. contratti, preventivi, fatture, documenti contabili etc.) su caselle di posta elettronica condivise anziché su e-mail assegnate a singoli dipendenti.

Attenzione però! Se è vero che gli indirizzi email condivisi non sono dati personali, non si può sempre dire lo stesso del contenuto dei messaggi. Quindi, l’utilizzo di email condivise non esonera il datore di lavoro dall’obbligo di adottare determinati accorgimenti prima di accedere ai messaggi di posta elettronica dei dipendenti. In modo particolare, non lo esonera dal fornire un’adeguata informativa.

L’accesso alla posta elettronica del dipendente

Anche se si tratta di un dato personale, la casella di posta elettronica aziendale resta pur sempre uno strumento di lavoro. Pertanto, vi sono casi in cui la giurisprudenza ha ammesso la legittimità dell’accesso alle email da parte del datore di lavoro, seppur con determinati accorgimenti.

Nel caso Bārbulescu vs Romania, la Corte Europea dei Diritti dell’Uomo (CEDU) ha riconosciuto la legittimità del monitoraggio delle e-mail dei dipendenti da parte del datore di lavoro, a condizione che:

  1. vi sia stata un’informazione preventiva adeguata;
  2. esistano gravi motivi che legittimano il controllo;
  3. sia impossibile ricorrere a misure meno intrusive.

Soltanto la presenza contemporanea di questi tre requisiti può legittimare un accesso del datore di lavoro alla posta elettronica del dipendente.

Seppur con parole diverse, gli stessi concetti sono stati ripresi anche dal Garante Italiano, il quale ritiene i controlli ammissibili solo se:

  • proporzionati allo scopo di verifica dell’adempimento contrattuale del dipendenti;
  • limitati nel tempo e nell’oggetto (quindi non generali);
  • mirati (e quindi non massivi e generalizzati);
  • giustificati da presupposti specifici;
  • previsti dalla policy aziendale.

Con un provvedimento un po’ risalente (n. 13 del 1 marzo 2007) ma ancora attuale, il Garante ha fornito ai datori di lavoro delle linee guida per l’uso della posta elettronica e di internet, che contengono indicazioni importanti.

La necessità di un regolamento aziendale per l’uso della posta elettronica

Il primo ed indispensabile requisito è che il datore di lavoro abbia informato adeguatamente il dipendente. Il modo migliore per farlo è mediante un regolamento aziendale che disciplini l’uso della posta elettronica.

Il regolamento deve istruire i dipendenti sul corretto uso delle email, ricordandogli che si tratta di strumenti aziendali, che devono essere utilizzati esclusivamente per rendere la prestazione lavorativa e non per usi privati.

Il regolamento deve informare i dipendenti della possibilità per il datore di lavoro di accedere alla loro posta elettronica, specificando quando ciò è possibile e con quali modalità.

Non basta redigere il regolamento. Il datore di lavoro deve poter dimostrare di averlo consegnato al dipendente. La prova può essere raggiunta in vari modi, ad esempio facendo firmare al dipendente una copia del regolamento per ricevuta, oppure conservando l’email di invio. Infine, il regolamento deve essere reso sempre disponibile per tutti i dipendenti, mediante affissione in bacheca o pubblicazione sulla intranet aziendale.

L’ultimo ma fondamentale tassello di questo processo è provvedere ad un’adeguata formazione dei dipendenti in materia di privacy. Se le policy e i regolamenti aziendali restano soltanto sulla carta ma non vengono compresi ed applicati dai dipendenti, essi divengono lettera morta e sono privi di valore reale.

Banner corso GDPR
Clicca sul banner per maggiori informazioni sul Corso Privacy di IPRights

L’esistenza di gravi motivi

L’accesso alla posta elettronica del dipendente deve essere giustificato da gravi motivi, come: esigenze di cybersecurity, prevenzione o repressione di reati, protezione del patrimonio aziendale, difesa dei diritti del datore di lavoro in giudizio etc.

La motivazione all’accesso deve basarsi su presupposti concreti e non astratti. Ad esempio, il datore di lavoro non può accedere ai messaggi del dipendente soltanto per fare dei controlli a campione. Diversamente, se esiste il fondato sospetto che il dipendente stia illegittimamente trasferendo informazioni riservate ad un competitor, l’accesso potrebbe essere giustificato.

Allo stesso modo, non si può fondare l’accesso sulla possibilità astratta di doversi difendersi in un futuro giudizio. In un recente provvedimento sanzionatorio, il Garante ha ribadito che il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non comporta un annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati (Prov. n. 8 del 11 gennaio 2023)1.

Deve realmente esserci un contenzioso in essere o in procinto di avverarsi e l’accesso alla posta elettronica deve essere rilevante. Soltanto in questo caso il diritto costituzionale alla segretezza della corrispondenza potrà bilanciarsi con il diritto costituzionale alla difesa in giudizio.

Necessità e proporzionalità: le modalità di accesso

Una volta accertata la presenza di un’adeguata informazione e di un grave motivo, bisogna anche verificare che l’accesso alla posta elettronica sia indispensabile allo scopo, ovvero che non esistano soluzioni alternative più rispettose dei diritti del dipendente.

Ad esempio, quando un lavoratore è momentaneamente assente, non è corretto accedere alla sua posta elettronica per rispondere ai messaggi dei clienti, né tantomeno reindirizzare automaticamente le email verso un diverso indirizzo. Piuttosto, occorre impostare una email di risposta automatica, che avvisa i mittenti sull’assenza del lavoratore e li invita ad inoltrare i loro messaggi ad un diverso indirizzo.

Quando l’accesso alla posta elettronica è indispensabile, allora bisognerà adottare degli accorgimenti che lo rendano il meno invasivo possibile. Una prassi consigliata è quella di invitare i dipendenti a nominare un collega di fiducia, che in loro assenza ed in casi di necessità possa leggere i loro messaggi e selezionare quelli da trasmettere al datore di lavoro. L’accesso vero e proprio potrà essere effettuato dall’amministratore di sistema ed è opportuno redigere un verbale delle operazioni compiute.

Cosa fare in caso di cessazione del rapporto di lavoro

Una volta cessato il rapporto di lavoro, l’account di posta elettronica del dipendente deve essere cancellato e i messaggi devono essere rimossi in tempi ragionevoli. Si considerano “ragionevoli” i tempi tecnici necessari a provvedere, ovvero pochi giorni al massimo.

La conservazione dell’account di posta elettronica dell’ex dipendente per periodi più lunghi è possibile solo vi sono i requisiti visti sopra per l’accesso: 1. adeguata informazione del dipendente; 2. esistenza di gravi motivi; 3. assenza di soluzioni meno invasive.

Come accennato sopra, non è corretto prevedere il reindirizzamento automatico dei messaggi verso diversi indirizzi email. Piuttosto, occorre impostare una risposta automatica che avvisi i mittenti della chiusura dell’account, invitandoli ad inoltrare i loro messaggi ad un diverso indirizzo.

Non bisogna però dimenticare che le società sono tenute a conservare per 10 anni alcuni messaggi email a contenuto giuridico, commerciale o rilevanza fiscale (art. 2214 c.c.). È opportuno che questo tipo di messaggi vengano gestiti mediante l’indirizzo pec della società o con caselle di posta elettronica condivise. Nel caso in cui queste comunicazioni si trovino all’interno della casella di posta elettronica di un ex dipendente, l’accesso dovrà avvenire con le modalità viste sopra, i messaggi dovranno essere selezionati e separati dagli altri, dopodiché l’account dovrà essere rimosso senza ulteriori ritardi.

Conclusioni

La riservatezza delle email dei dipendenti è protetta a livello costituzionale, dalla normativa privacy, dalle norme giuslavoristiche e persino da norme penali.

Infatti, con sentenza n. 18284 del 2019, la Corte di Cassazione ha stabilito che l’accesso illegittimo ad una casella di posta elettronica protetta da password può configurare il reato di accesso abusivo ad un sistema informatico (art. 615 ter c.p.)2.

Per non trovarsi in spiacevoli situazioni e non rischiare di subire cause civili, penali e pesanti sanzioni amministrative, ciascun datore di lavoro dovrebbe dotarsi preventivamente di un buon regolamento aziendale per l’uso della posta elettronica, assicurandone il rispetto. Come al solito, prevenire è molto meglio che curare.

Licenza Creative Commons

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Italia.

  1. Si veda Garante Privacy: la difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore, su Federprivacy.
  2. Si veda Anna Larussa, Email: accesso abusivo concorre con violazione di corrispondenza e danneggiamento dati, su Altalex.

Potrebbe interessarti anche…

Chiedi una consulenza

1 + 4 =