Datore spia l’email dei dipendenti per controlli: si può denunciare per violazione della privacy?
Si possono leggere le mail dei dipendenti? La legge (in particolare lo Statuto dei Lavoratori) è molto severa sull’uso degli strumenti di controllo da parte del datore di lavoro nei confronti dei lavoratori, ivi compresi i tirocinanti e gli apprendisti: vengono così imposti una serie di limiti a tutela della privacy del personale.
Si vuol evitare che, sotto la scusa della tutela del patrimonio aziendale, si possano nascondere delle indirette verifiche sulla qualità della prestazione lavorativa. Ecco perché, in linea generale, i dipendenti devono essere sempre messi al corrente dell’ eventuale presenza di sistemi di controllo.
Le condizioni a cui detti controlli sono consentiti variano a seconda della tipologia di strumento adottato dal datore di lavoro: si va dalle prescrizioni più rigide, imposte per la videosorveglianza, a quelle più flessibili, previste invece per gli apparecchi in dotazione per l’esecuzione della prestazione lavorativa come computer, smartphone e tablet. Ed è proprio su questi che si pone il dubbio: si possono leggere le mail dei dipendenti? La questione è oggetto di una specifica regolamentazione che, a seguito dell’entrata in vigore del Jobs Act, ha subito un’importante modifica. Ecco allora cosa dice la legge a riguardo.
Il datore può spiare le email dei dipendenti?
In linea generale, il datore di lavoro può leggere le email dei dipendenti solo a patto che rispetti le seguenti condizioni:
- si deve trattare dell’account aziendale;
- deve essere fornita una preventiva informazione di ciò.
Da tanto si possono desumere una serie di importanti conseguenze. La prima: se è vero che l’account di posta elettronica aziendale può essere aperto ed utilizzato su qualsiasi computer, il datore può esercitare il controllo anche se il collegamento avviene su uno strumento di proprietà del dipendente. Ad esempio, se quest’ultimo si collega all’email aziendale dal proprio cellulare, il contenuto di tali messaggi può comunque essere soggetto a controllo.
Tale possibilità va tenuta ben distinta da un altro potere riconosciuto al datore di lavoro: quello di controllare i pc, smartphone e tablet dati in uso ai dipendenti. Si tratta di una verifica diversa rispetto a quella dell’email: pur essendo anch’essa subordinata alla previa informativa fornita all’utilizzatore, può avvenire solo sullo specifico device di proprietà dell’azienda e non su quelli privati.
La seconda conseguenza è quella, abbastanza ovvia, per cui l’indirizzo email personale, seppur utilizzato dal dipendente su un computer aziendale, non può essere soggetto ad alcun controllo.
A quali condizioni si può leggere l’email dei dipendenti?
Abbiamo visto che il datore di lavoro che voglia leggere le email dei dipendenti deve rispettare due condizioni:
- deve trattarsi dell’email aziendale e non personale;
- deve fornire una dettagliata informativa.
Tale l’informativa, nel dettaglio, deve essere completa e molto specifica: non può cioè limitarsi a rendere nota la possibilità di un controllo, ma deve anche indicare «come» l’email va utilizzata, entro quali limiti, specificando gli usi non consentiti.
Non basta. Il datore deve anche conservare i dati per il tempo necessario a eseguire i controlli, non oltre. Un trattamento che esuberi le finalità di controllo non è legittimo. Ad esempio, non potrebbe essere utilizzata contro un dipendente un’email inviata diversi mesi prima, avendo il datore l’obbligo di cancellare i dati a sua disposizione se in essi non ravvisa alcun illecito disciplinare.
Inutile dire che il datore di lavoro deve adottare tutti gli accorgimenti necessari a prevenire che le email possano essere lette da soggetti non autorizzati.
I controlli, per essere legittimi, devono inoltre essere attuati nel rispetto dei principi di ragionevolezza, proporzionalità e di pertinenza e devono essere strettamente necessari a garantire l’esercizio del diritto di difesa in capo al datore di lavoro. Ove tali cautele non fossero rispettate, i dati acquisiti dal datore di lavoro nell’ambito dei controlli difensivi non potranno essere validamente utilizzati nemmeno ai fini disciplinari, restando preclusa la prova dei fatti posti a fondamento del licenziamento.
Non in ultimo, il datore deve chiudere l’account aziendale del dipendente cessato. Ciò deve avvenire non appena questi viene licenziato o comunica le proprie dimissioni. Tutto ciò che il datore potrà fare, per evitare la dispersione delle email in arrivo, è predisporre un messaggio preimpostato, generato automaticamente dal sistema, che comunichi al mittente il fatto che l’indirizzo in questione è stato disattivato e che pertanto i messaggi dovranno essere rivolti ad altra email.
Si possono leggere le email di nascosto senza alcuna comunicazione?
In materia di utilizzo di telecamere sul posto di lavoro, seppur l’uso delle stesse è anch’esso subordinato alla previa informativa al personale, la giurisprudenza ha detto che, quando il controllo avviene per «controlli difensivi» – ossia nei confronti di uno specifico dipendente su cui gravano forti indizi di gravi irregolarità – è ben possibile la verifica “a sorpresa” e senza alcuna preventiva comunicazione. Si pensi al cassiere sospettato di furto: sarebbe lecita una telecamera installata anche senza il previo accordo dei sindacati o l’autorizzazione dell’Ispettorato territoriale del lavoro (condizioni imposte dallo Statuto dei Lavoratori per la videosorveglianza) e in assenza di qualsiasi cartello di avviso.
Ci si è chiesti se una simile possibilità sia consentita anche con riferimento al controllo delle email. La questione è approdata sul banco del tribunale di Genova che, con un provvedimento del 14 dicembre 2021, richiamando alcuni precedenti della Cassazione, ha detto che, anche quando sono in ballo dei «controlli difensivi», al dipendente va sempre dato l’avviso preventivo della possibile lettura delle sue email aziendali.
La vicenda trae origine dal licenziamento di una dipendente alla quale era stata contestata la trasmissione a terzi di e-mail contenenti informazioni altamente riservate della società datrice di lavoro. La dipendente aveva quindi impugnato il licenziamento disciplinare intimatole, eccependo l’illegittimità del controllo effettuato dal datore di lavoro sulla sua posta elettronica e la conseguente inutilizzabilità dei dati così acquisiti. Senza nemmeno entrare nel merito dei fatti contestati, il Giudice del Lavoro ha disposto l’annullamento del licenziamento e la reintegrazione della lavoratrice nel posto di lavoro, sulla base di un rilievo puramente formale, avendo accertato che, nel caso in esame, non era stata fornita alla dipendente alcuna informativa sui possibili controlli che il datore di lavoro avrebbe potuto effettuare sulla posta elettronica, né erano state indicate le specifiche finalità e i limiti di tale controllo. Era del tutto assente, inoltre, la prova dell’esistenza di un fondato sospetto da parte del datore di lavoro circa la commissione di illeciti da parte della lavoratrice licenziata.
È vero: come anticipato sopra, i controlli difensivi, quelli cioè diretti ad accertare la commissione di eventuali illeciti da parte del dipendente, non richiedono ai fini della loro legittimità l’osservanza le procedure previste dall’articolo 4 dello Statuto dei Lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del Lavoro), soggiacciono ad altri limiti imposti dal nostro ordinamento giuridico e segnatamente dalla normativa sulla privacy. Ma, affinché un controllo difensivo possa ritenersi legittimo, occorre che al lavoratore sia stata fornita una preventiva informativa circa la raccolta dei dati e la possibilità di controllo degli stessi da parte del datore di lavoro, con indicazione della finalità e dei limiti di tale controllo.
È necessario altresì che il controllo muova da un fondato e concreto sospetto del datore di lavoro sulle anomalie riferibili al dipendente, che le verifiche attengano a dati raccolti dopo l’insorgenza di tale sospetto e che il controllo avvenga previo bilanciamento fra dignità e riservatezza del lavoratore ed esigenze aziendali.