LA GUIDA

Gestione della mailbox durante e dopo la cessazione del rapporto di lavoro: regole privacy

La gestione della casella di posta elettronica dei dipendenti durante e dopo la cessazione del rapporto di lavoro è, da sempre, un tema controverso. Mentre le e-mail personali sono di sicuro inaccessibili, non è così scontato per le e-mail aziendali. Ecco le regole privacy per non violare la normativa in materia

23 Mag 2022
L
Alessandra Lucchini

Avvocato e consulente privacy

P
Stefania Pellegrini

Avvocato e consulente privacy

Nell’ambito del rapporto di lavoro tra dipendenti e datore di lavoro un punto controverso è sempre stato il perimetro della casella di posta elettronica: è di proprietà del datore di lavoro o del dipendente? Si cerca di fare un po’ di chiarezza. Mentre le e-mail personali sono di sicuro inaccessibili, e l’eventuale accesso costituisce reato e violazione delle regole costituzionali sul segreto della corrispondenza, non è così scontato per le e-mail aziendali.

Come comportarsi quindi con l’account e-mail di un dipendente o di ex dipendente?

Informative privacy, prendiamo esempio dal bugiardino dei farmaci: istruzioni per l’uso

Casella postale e privacy: cosa dice il Garante

In tema di trattamento dati afferente la gestione della posta elettronica il Garante ha più volte precisato la necessità di adottare policy e informative volte ad informare i dipendenti sul trattamento dei dati degli stessi effettuato dal Titolare tramite gli strumenti aziendali, ove per trattamento si intende sia la raccolta sia la conservazione, nonché la procedura di cancellazione dell´account dopo l´interruzione del rapporto.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity

Diventa dunque fondamentale consegnare al dipendente sin dall’inizio del rapporto una informativa relativa al trattamento connesso alla casella e-mail che comprenda tutte le fasi del rapporto contrattuale, dall’assunzione, alla gestione sino alla cessazione dello stesso.

L’informativa ai dipendenti deve indicare, tra le altre, le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio (cfr. anche Provv. 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008, modificato con provvedimento del 25 giugno 2009, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”).

In base a tale provvedimento il Titolare è altresì tenuto ad adottare sistemi che registrino gli “accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema”.

Non solo.

Molto spesso, all’interno dell’organizzazione manca una vera e propria indicazione del fatto che la e-mail è da considerarsi strumento aziendale e non di proprietà privata del dipendente. Questo può generare confusione sull’argomento e determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione (cfr. Linee guida per posta elettronica e internet, cit., spec. 3; 5.2. lett. b), e 6.1.).

Si ricorda infatti che qualora “siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle «caselle» rappresentano il domicilio informatico proprio del dipendente […] pertanto, la casella rappresenta uno «spazio» a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza”).

Per evitare che si generi questa confusione, è consigliabile l’utilizzo di una policy che chiarisca questi aspetti e che regolamenti quello che è possibile fare o non fare con la casella mail aziendale.

Casella postale del dipendente cessato: cosa fare

Quanto al tema dei dipendenti cessati, gli account riconducibili a persone identificate o identificabili devono essere rimossi (dunque cancellati) previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento. Sono altresì necessari accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo nelle more di tempo necessario per la cancellazione dell’account stesso.

Quando cessa il rapporto di lavoro, dunque, bisogna disattivare l’account di posta del lavoratore informando i terzi con sistemi automatici che l’account è stato disattivato e fornendo i nuovi recapiti di posta elettronica a cui indirizzare le nuove comunicazioni dirette all’azienda. Si rammenta infatti che la disattivazione deve essere realizzata “secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali” (v. Provv. 5 marzo 2015, n. 136, doc. web n. 3985524). Si deve poi procedere alla cancellazione dell’account non essendo consentito mantenerlo giacché, come peraltro già chiarito dal Garante, il trattamento risulterebbe illecito.

Un problema si pone quando il Titolare ha necessità di accedere alle caselle mail del dipendente cessato per reperire informazioni utili all’efficiente gestione della propria attività: risulta chiaro che in questo caso detta esigenza deve essere contemperata con la legittima aspettativa di riservatezza sulla corrispondenza da parte dei dipendenti nonché dei terzi.

Se l’account è solo disattivato e non cancellato l’azienda dispone ancora dei dati relativi alla posta elettronica già acquisiti e si verifica dunque un ulteriore trattamento dei dati che non è consentito “fatta salva la conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti di legge”.

Quanto alle politiche di back up della posta elettronica, non risulta altresì conforme una indiscriminata conservazione (es. per dieci anni dalla cessazione del rapporto) su server aziendali dei contenuti delle comunicazioni elettroniche. Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate (in assenza di specifiche ragioni che lo renderebbero necessario) non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi.

Di contro, quanto alla necessità del Titolare di assicurare la continuità operativa dell’azienda, si deve tenere conto che lo stesso deve adottare in realtà specifici sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile (si veda quanto stabilito dal D.P.C.M. 3 dicembre 2013, recante le Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell´amministrazione digitale di cui al decreto legislativo n. 82 del 2005; parimenti i documenti che rivestano la qualità di “scritture contabili” devono essere memorizzati e conservati con modalità determinate: artt. 2214 c.c.; artt. 43 e 44, d. lgs. 7 marzo 2005, n. 82, “Codice dell’amministrazione digitale”).

Si fa presente peraltro che i sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche.

Pertanto, lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali può ben essere perseguito ˗ conformemente alle disposizioni vigenti oltre che più efficacemente ˗ con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto dunque alla sopra descritta attività di sistematica ed estesa conservazione delle comunicazioni elettroniche, che risulta pertanto non necessaria né proporzionata rispetto allo scopo.

Si ricorda inoltre che neppure appare giustificata la raccolta a priori di tutte le e-mail in vista di futuri ed eventuali contenziosi: il Garante ha ribadito infatti che la eventuale conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate.

La conservazione estesa e sistematica delle e-mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consente infatti un generico controllo dell’attività dei dipendenti che non è conforme neppure alla normativa afferente lo Statuto dei Lavoratori. Controllo, peraltro, vietato dalla disciplina di settore che non autorizza verifiche di tipo massive, prolungate e indiscriminate. Il datore di lavoro, infatti, pur potendo controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro deve sempre salvaguardare la libertà e la dignità dei dipendenti.

Diritti del lavoratore sulla posta dopo la cessazione del rapporto

Ciascun dipendente/collaboratore sia durante la vigenza del rapporto di lavoro sia successivamente alla cessazione dello stesso si deve attenere alle regole di utilizzo dell’indirizzo di posta elettronica previste dal regolamento sull’uso degli strumenti informatici aziendali. Poiché, come abbiamo visto, la casella di posta assegnata dall’azienda all’utente, è uno strumento di lavoro, la persona assegnataria è responsabile del corretto utilizzo dello stesso.

In particolare, non è consentito l’invio automatico di e-mail all’indirizzo e-mail privato (attivando per esempio un “inoltro” automatico delle e-mail entranti), sia durante i periodi di assenza (es. ferie, malattia, infortunio ecc.) sia in caso di cessazione del rapporto di lavoro. In caso di assenza, occorrerà prevedere l’utilizzazione di un messaggio “Out of Office” facendo menzione di chi, all’interno della azienda, assumerà le mansioni durante l’assenza, oppure indicando un indirizzo di mail alternativo preferibilmente di tipo collettivo, tipo ufficio…@dominioazienda, mentre in caso di cessazione del rapporto di lavoro dovrà essere previsto un messaggio di risposta automatica con le coordinate di altri lavoratori cui rivolgersi.

Dal punto di vista operativo, è opportuno che l’azienda:

  1. renda disponibili anche indirizzi condivisi tra più lavoratori (info@dominioazienda.it; urp@dominioazienda.it; ufficioreclami@dominioazienda.it), rendendo così chiara la natura non privata della corrispondenza;
  2. preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
  3. metta in grado il dipendente di delegare un altro lavoratore a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al Titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

Qualora in costanza di rapporto queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Quando invece cessa il rapporto di lavoro, come detto, bisogna prima disattivare l’account di posta del lavoratore informando i terzi con sistemi automatici che l’account è stato disattivato e fornendo i nuovi recapiti di posta elettronica a cui indirizzare le nuove comunicazioni dirette all’azienda. Si deve poi cancellare l’account la cui conservazione risulterebbe illecita per violazione della normativa sul trattamento dei dati personali.

Una riflessione particolare deve essere fatta in relazione alla possibilità che il dipendente cessato possa o meno accedere alla propria “vecchia” casella di posta.

E la risposta è negativa: dal giorno della cessazione del rapporto di lavoro, se l’ex dipendente cercasse di accedere o accede alla sua casella di posta, commetterebbe un illecito ed è passibile di denuncia per accesso abusivo a sistema informatico ai sensi dell’art. 615 ter c.p. secondo cui “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza […] è punito con la reclusione sino a tre anni”.

Tuttavia, quando il lavoratore è licenziato in tronco ed invitato a consegnare gli strumenti di lavoro (pc e telefono) o, comunque, allontanato dalla sua postazione di lavoro, egli si trova, immediatamente, estromesso dall’accesso ai suoi dati ed ai documenti e “a tutto ciò che appena un attimo prima era stato il suo bagaglio, il patrimonio della sua attività.” Come potrebbe il licenziato documentare e dimostrare che le affermazioni del datore di lavoro sulle base delle quali ha motivato il licenziamento non sono fondate?

A tal proposito sono state individuate due possibilità:

  1. contestare il licenziamento e predisporre con il proprio legale la richiesta di esibizione e/o produzione di mail strettamente connesse al diritto di difesa del lavoratore, , ad esempio per dimostrare l’attività svolta per l’azienda. Sarà il giudice a decidere se ordinare l’esibizione dei documenti e l’accesso dei dati: di normala giurisprudenza è concorde nell’affermare l’accoglimento della richiesta del lavoratore per garantire il diritto di difesa di quest’ultimo e laddove vi sia un nesso causale con la documentazione di cui si richiede l’esibizione. Il diritto di difesa del lavoratore è, infatti, in questi casi prevalente rispetto alle esigenze di riservatezza del datore di lavoro. Ed inoltre, la casella di posta elettronica protetta da password personalizzata potrebbe ancora rappresentare il domicilio informatico del lavoratore, garantito dall’art. 14 della Costituzione e dagli artt. 614 e 615 del codice penale[1];
  2. il lavoratore potrà presentare un ricorso all’Autorità garante per la protezione dei dati personali al fine di accedere a tutti i dati personali che lo riguardano;
  3. non risulta invece una alternativa da seguire quella, ad esempio, di scaricare la propria posta di lavoro in una memoria digitale e conservarla su un supporto esterno. Tale strada è infatti da ritenersi assolutamente illecita anche in costanza di rapporto di lavoro, e diventerebbe ancora più illecita successivamente alla cessazione del rapporto di lavoro. Per questo nella policy aziendale dovrebbe essere vietata la possibilità di creare e conservazione individualmente copie dei dati dal proprio PC[2].

Gestione della posta durante il rapporto di lavoro: consigli operativi

Ricapitolando, possiamo elencare alcune violazioni individuate nei provvedimenti del Garante che dunque le aziende dovrebbero tenere in considerazione nella gestione della e-mail del dipendente durante il rapporto di lavoro. Risulta infatti non conforme:

  1. la mancanza di una preventiva e idonea informativa ai dipendenti circa la prassi aziendale di procedere alla conservazione delle e-mail, la durata del periodo di conservazione, nonché le finalità e le modalità di accesso e di controllo delle stesse;
  2. la conservazione sistematica ed estesa di tutte le e-mail, senza predisporre uno strumento in grado di selezionare i documenti che avrebbero potuto essere man mano archiviati;
  3. la possibilità di accesso indistinto alle mail da parte del titolare del trattamento e dei soggetti da quest’ultimo genericamente, di volta in volta, autorizzati;
  4. la finalità difensiva di natura astratta e indeterminata, posto che il trattamento effettuato per motivi di tutela dei propri diritti deve riferirsi a contenziosi in atto o a situazioni precontenziose;
  5. la conservazione delle e-mail per tutta la durata del rapporto di lavoro e anche successivamente al termine dello stesso. Rispetto a quest’ ultimo punto, il Garante ha precisato che, al cessare del rapporto di lavoro, l’account di posta elettronica dovrà essere disattivato e rimosso, inibendo così in modo definitivo la ricezione in entrata delle e-mail e la loro conservazione.

Gestione della posta dopo la cessazione del rapporto di lavoro: consigli operativi

Abbiamo già detto che in caso di licenziamento o dimissioni del dipendente l’e-mail aziendale deve essere chiusa e il datore di lavoro deve comunicare ai terzi con cui il dipendente aveva rapporti la dismissione dell’indirizzo di posta elettronica del lavoratore in questione, individuando un account aziendale alternativo al contatto utilizzato fino a quel momento (cfr. Garante Privacy, Provvedimento del 4 dicembre 2019).

Il Garante per la Privacy ha dichiarato più volte illecita la persistente attività dell’account aziendale per un ampio periodo di tempo dopo l’interruzione del rapporto di lavoro, con contestuale accesso ai messaggi pervenuti.

Come abbiamo detto il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro deve: I) rimuovere l’account di posta elettronica del dipendente cessato; ii) informare i terzi con meccanismi automatizzati della disattivazione dell’account e comunicare indirizzi alternativi a cui rivolgersi; iii) adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.

L’ex dipendente in caso di mancata disattivazione dell’account di posta elettronica può proporre un reclamo al Garante. Se anche a seguito del reclamo il datore di lavoro non si attiva scatterà una visita ispettiva della Guardia di finanza per verificare tutti i dettagli della doglianza aggravando l’effetto sanzionatorio finale. È quello che ha chiarito il Garante con ordinanza ingiunzione del 16 dicembre 2021. Un dipendente cessato dall’incarico ha richiesto senza successo all’azienda di disattivare la propria casella di posta elettronica. Della questione è stato quindi interessato il Garante che ha attivato un’istruttoria senza però ricevere i necessari riscontri da parte dell’azienda.

L’Autorità ha pertanto ritenuto necessario incaricare il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza di effettuare una visita ispettiva che ha evidenziato un trattamento illecito di dati personali da parte dell’azienda ed ha portato all’applicazione di una sanzione amministrativa. Il datore di lavoro infatti, specifica l’ordinanza, è tenuto a fornire una chiara informativa al proprio collaboratore circa la corretta gestione dell’account di posta elettronica nominativa “dove di certo transitano dati personali e informazioni personali”. La mancata informativa prevista dall’art. 13 del regolamento europeo unitamente alla violazione dei principi di minimizzazione, necessità e limitazione della conservazione hanno determinato la misura punitiva adottata dal Garante.

 

NOTE

  1. Secondo la Cassazione, infatti, “in un sistema informatico pubblico (che serva, cioè, una Pubblica Amministrazione), siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle “caselle” rappresentano il domicilio informatico proprio del dipendente, sicché l’accesso abusivo alle stesse, da parte di chiunque (quindi, anche da parte del superiore gerarchico), integra il reato di cui all’art. 615/ter cod. pen., giacché l’apposizione dello sbarramento – avvenuto col consenso del titolare del sistema – dimostra che a quella “casella” è collegato uno ius excludendi, di cui anche i superiori devono tenere conto” (cfr. Cassazione penale sez. V, 28/10/2015, n.13057).

    Quanto all’accesso abusivo al sistema informatico, si veda tra le tante la sentenza della Cassazione Sezioni Unite Penali, sentenza 27 ottobre 2011 (dep. 7 febbraio 2012), n. 4694 secondo cui “integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema“.

  2. Aurora Notarianni, Licenziati in tronco? Come recuperare i dati della vostra mail aziendale.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4