Provvedimento Garante Registro dei provvedimenti n. 547 del 22 dicembre 2016

Accesso alla casella di posta elettronica del dipendente si o no?

Un argomento molto spinoso e controverso nella maggior parte delle aziende e realtà produttive.

Molti sono i provvedimenti del Garante sull’argomento, da ultimo lo stesso Garante ha avuto occasione di ribadire un concetto già noto: il datore di lavoro non può accedere alla posta elettronica, ai dati ed alle informazioni personali contenute all’interno degli smartphone aziendali dei propri dipendenti. Il Garante, infatti, ha previsto che il compimento di tale gesto integri un comportamento illecito, specificando che i dati ricavabili dalla posta elettronica aziendale e dagli smartphone dei dipendenti possono essere conservati esclusivamente per la eventuale tutela dei diritti dell’azienda in sede giudiziaria.

L’Autorità ha affermato che il datore di lavoro, per la normativa sulla privacy, è tenuto a salvaguardare la libertà e la dignità dei dipendenti, attenendosi ai limiti previsti dal D. Lgs. 196/2003, pur potendo verificare il regolare svolgimento della prestazione professionale e l’adeguato utilizzo degli strumenti di lavoro da parte dei propri dipendenti.

Tale previsione è in linea con la disciplina in materia di controlli a distanza che, infatti, non consente al datore di lavoro di effettuare un’attività idonea a realizzare, anche indirettamente, il controllo generalizzato e prolungato nel tempo sull’attività lavorativa dei propri dipendenti.

Il Garante ribadisce, poi, che i dipendenti devono essere sempre informati in maniera chiara e dettagliata circa le modalità di utilizzo degli strumenti aziendali e sulle modalità di verifica degli stessi. Infatti, nel rispetto degli articoli 11 e 13 del Codice della privacy, il titolare del trattamento dei dati contenuti nei server aziendali è tenuto a fornire una preventiva informativa, al soggetto interessato, sulle caratteristiche dei trattamenti dei propri dati.

Nel provvedimento, poi, viene anche affrontato il problema degli account di posta elettronica riconducibili a dipendenti dimissionari che devono essere disattivati e rimossi e il problema della durata della conservazione dei dati sul server aziendale, che, ex artt. 3 e 11 del D. Lgs. 196/2003, deve essere commisurata alle ordinarie attività di gestione dei servizi di posta elettronica e indicando precise motivazioni che rendano necessaria la conservazione di tali dati.

In conclusione, l’Autorità specifica che il fondamento di tutto ciò che sin qui si è esposto risiede nel bilanciamento di due interessi in gioco uguali e contrari: da un lato, l’interesse del titolare dei dati ad accedere agli stessi e alle informazioni in essi contenuti necessarie alla efficiente gestione della propria attività, dall’altro l’aspettativa, più che legittima, dei dipendenti e dei terzi in merito alla riservatezza della corrispondenza.

Ecco quindi tre buoni consigli per bilanciare suddetti interessi:

  1. l’utilizzo di indirizzi condivisi tra più lavoratori (esempio: info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;

  2. prevedere una policy sul corretto utilizzo delle caselle email che comprendano l’attivazione in caso di assenza del lavoratore di messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

  3. mettere in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.

Soltanto qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità, meglio se avvertendo il personale.

In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale.