Email aziendale: privacy del dipendente e limiti
Richiedi una consulenza all’agenzia IDFOX Investigazioni Private dal 1991. Tel.02344223
La conservazione delle email aziendali non è consentita: ecco quali sono i limiti di legge, le policy aziendali e i diritti dei lavoratori.
La posta elettronica è spesso lo strumento con cui il datore di lavoro controlla l’operato dei propri dipendenti: verifica se stanno svolgendo correttamente le proprie mansioni, se eccedono nel diritto di critica o se intrattengono conversazioni personali. Tuttavia, anche quando si parla di email aziendale, esistono dei limiti a tutela della privacy del dipendente che non è mai possibile superare.
Fino a che punto, dunque, il datore di lavoro può monitorare le comunicazioni dei dipendenti? Quali sono i diritti dei lavoratori in termini di riservatezza? E quali sono le responsabilità delle aziende nella gestione dei dati di posta elettronica?
Questa guida completa affronterà queste domande, analizzando le normative vigenti, le “Linee guida del Garante per posta elettronica e internet” e le recenti pronunce della Cassazione. Esploreremo il concetto di “aspettativa di riservatezza”, l’importanza delle policy aziendali e i limiti temporali di conservazione dei metadati delle email.
Indice
* Il datore di lavoro può leggere le email aziendali dei dipendenti?
* Quali sono i limiti di conservazione dei metadati delle email aziendali?
* Cosa sono i controlli difensivi e come si applicano all’email aziendale?
* Cosa dovrebbe includere una buona policy aziendale sull’uso dell’email?
Il datore di lavoro può leggere le email aziendali dei dipendenti?
L’email aziendale è un indirizzo di posta elettronica fornito dal datore di lavoro al dipendente (ad esempio, @nomesocietà.xx). È uno strumento di lavoro, ma può essere utilizzato anche per comunicazioni personali, creando una zona grigia in termini di privacy. La questione della privacy è importante perché riguarda il diritto del dipendente alla riservatezza delle proprie comunicazioni e il diritto del datore di lavoro di controllare l’uso degli strumenti aziendali.
In linea di principio, l’email aziendale è di proprietà dell’azienda, ma il dipendente può avere una “legittima aspettativa di confidenzialità”, soprattutto se l’azienda non ha una policy chiara che vieti l’uso personale dell’email aziendale.
Il Jobs Act del 2015 ha modificato l’articolo 4 dello Statuto dei Lavoratori, escludendo gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (come l’email aziendale) dall’obbligo di accordo sindacale o autorizzazione dell’Ispettorato del lavoro per il loro controllo.
Prima del Jobs Act, anche l’installazione di un centralino telefonico che registrava i dati delle chiamate poteva essere considerata un controllo occulto dei lavoratori.
Ad oggi, la giurisprudenza ha affermato i seguenti principi in tema di controlli delle email:
* il datore di lavoro può controllare le email del dipendente senza bisogno di un preventivo accordo con i sindacati o un’autorizzazione dell’Ispettorato del lavoro;
* tuttavia, detto controllo deve essere reso preventivamente noto ai dipendenti. Deve quindi essere adottata una policy aziendale con apposito regolamento che sia conoscibile ai dipendenti. Il Garante della privacy ha sottolineato che la mancanza di una policy aziendale chiara può creare una legittima aspettativa di riservatezza nel lavoratore;
* il controllo non può essere randomizzato e preventivo: al contrario può essere esercitato solo dopo che vi siano fondati motivi di ritenere che il dipendente abbia o stia commettendo un illecito; pertanto tutte le informazioni acquisite prima di tale momento non possono essere utilizzate e non fanno prova;
* una volta concluso il rapporto di lavoro, il datore deve chiudere l’email del dipendente e, semmai, predisporre un risponditore automatico che informa il mittente del nuovo indirizzo email a cui scrivere;
* in ogni caso il dipendente non può usare la posta elettronica aziendale per usi personali.
Una policy aziendale chiara è fondamentale per definire le regole sull’uso dell’email aziendale, specificando se è consentito l’uso personale, quali sono i limiti di utilizzo e quali sono le conseguenze di eventuali violazioni. Una policy ben definita riduce l’aspettativa di riservatezza del dipendente e rende più trasparenti i controlli del datore di lavoro.
Quali sono i limiti di conservazione dei metadati delle email aziendali?
Il Garante della Privacy, con un provvedimento del 21 dicembre 2023 (poi modificato), ha stabilito che i metadati delle email aziendali possono essere conservati per un massimo di 21 giorni. Oltre questo termine, la conservazione richiede un accordo sindacale o un’autorizzazione dell’Ispettorato del lavoro.
I metadati sono le informazioni “accessorie” di un’email: data, ora, mittente, destinatario, oggetto, ecc. Non includono il contenuto del messaggio, ma possono comunque rivelare informazioni sensibili sulle abitudini e le comunicazioni del dipendente.
Quindi, dopo 21 giorni, un’email dovrebbe rimanere priva di data, mittente e destinatario, a meno che non ci sia un accordo specifico.
Ma cosa significa che dopo 21 giorni l’email dovrebbe restare “priva” di metadati? Vuol dire che i dati relativi a mittente, destinatario, data e oggetto dovrebbero essere rimossi o resi anonimi. Questo per tutelare la privacy del lavoratore, evitando che il datore di lavoro possa ricostruire un quadro dettagliato delle sue comunicazioni a distanza di tempo.
Cosa sono i controlli difensivi e come si applicano all’email aziendale?
Se un’azienda ha il sospetto che un dipendente stia divulgando informazioni riservate o stia commettendo un altro grave illecito, può controllare le sue email, ma solo dopo l’insorgere del sospetto e solo per le email pertinenti all’illecito. In questi casi, il controllo può avvenire anche in assenza di una preventiva comunicazione al lavoratore. Esso rientra infatti nei poteri del datore che la giurisprudenza cataloga come “controlli difensivi“.
I controlli difensivi sono controlli mirati a specifici dipendenti, basati sul “fondato sospetto” della commissione di un illecito. La Cassazione ha stabilito che solo questi controlli sono estranei all’applicazione dell’articolo 4 dello Statuto dei Lavoratori.
Le condizioni per la legittimità dei controlli difensivi sono le seguenti:
* l’indagine deve essere limitata al dipendente sospettato;
* i dati devono essere raccolti solo dopo l’insorgere del sospetto.
Secondo la Cassazione, i dati raccolti prima dell’insorgere del sospetto sono inutilizzabili. Questo significa che non possono essere usati come prova in un eventuale procedimento disciplinare o giudiziario.
Cosa dovrebbe includere una buona policy aziendale sull’uso dell’email?
La policy aziendale che informa i dipendenti del possibile controllo della email aziendale deve:
* chiarire che l’email è uno strumento di lavoro;
* specificare se e in che misura è consentito l’uso personale;
* informare i dipendenti sulla possibilità di monitoraggio delle email;
* indicare per quanto tempo vengono conservate le email e i metadati;
* specificare le sanzioni disciplinari per l’uso improprio dell’email;
* richiamare l’obbligo di riservatezza sulle informazioni aziendali;
* specificare l’uso non consentito, ad esempio per diffamazione, minacce, ecc..
Le aziende rischiano sanzioni da parte del Garante della Privacy, contestazioni da parte dei dipendenti (anche con richieste di risarcimento danni) e, in casi estremi, conseguenze penali. Inoltre, l’uso di dati raccolti illegittimamente può portare all’inutilizzabilità delle prove in giudizio.
Fonte internet