Quando il datore di lavoro può leggere le mail dei dipendenti?
A quale condizione il datore di lavoro può effettuare controlli sulle email aziendali e sugli strumenti informatici personali del lavoratore? Investigatore Privato, Costi, Prezzo, Tariffa. Richiedi una consulenza Agenzia Idfox Milano – Since 1991.
L’accesso del datore alle mail aziendali del dipendente è un tema delicato, regolato dal Jobs Act e dal GDPR per garantire, da un lato, la tutela del patrimonio aziendale e, dall’altro, la privacy dei lavoratori. Recenti sentenze hanno chiarito quando il datore di lavoro può leggere le mail dei dipendenti ed effettuare controlli per elevare contestazioni disciplinari.
In questo articolo, vedremo come funzionano i controlli sugli strumenti informatici in uso ai lavoratori, quali sono le condizioni per l’accesso all’account di posta elettronica aziendale dato in uso al dipendente e quali sono le conseguenze di una raccolta di prove avvenuta in modo illecito. Ma procediamo con ordine.
Indice
* Il datore può accedere alla mail aziendale del dipendente senza motivo?
* Quali sono le conseguenze di un accesso illecito alle mail aziendali?
* Quali sono le condizioni per il controllo delle mail aziendali?
* Cosa dice la giurisprudenza sui controlli delle email aziendali dei dipendenti?
* Cosa si intende per controllo ex post?
Il datore può accedere alla mail aziendale del dipendente senza motivo?
Il datore di lavoro non può accedere alla mail aziendale del dipendente senza un motivo valido. Secondo la giurisprudenza (ad es. Trib. Roma, sent. n. 1870/2024 del 14 febbraio 2024) egli può acquisire informazioni dalle mail aziendali del dipendente solo se vi è un “fondato sospetto” di condotta illecita e unicamente a partire da tale momento. Pertanto sono illeciti:
* i controlli a ritroso, ossia eseguiti prima che il sospetto si sia manifestato;
* gli accessi esplorativi, indiscriminati e in modalità “random”, fatti al solo scopo di prevenire violazioni disciplinari.
Qualsiasi informazione ottenuta in modo illecito non può essere utilizzata in un eventuale giudizio.
Quali sono le conseguenze di un accesso illecito alle mail aziendali?
Se un datore di lavoro accede illecitamente alle mail aziendali di un dipendente, violando il GDPR (il regolamento europeo sulla privacy), le informazioni così acquisite non fanno prova.
Sicché, semmai il dipendente dovesse contestare la sanzione disciplinare – come nel caso di un licenziamento motivato proprio sulla base delle informazioni acquisite tramite l’accesso all’email aziendale – la sanzione stessa deve essere annullata.
Quali sono le condizioni per il controllo delle mail aziendali?
Sicuramente il datore di lavoro non può controllare gli strumenti informatici personali dei dipendenti, come tablet e smartphone. Le verifiche a distanza possono riguardare solo il materiale fornito dall’azienda stessa.
Con riferimento a tali dotazioni, il datore di lavoro non necessita della preventiva autorizzazione dei sindacati per controllare le mail aziendali, ma deve informare preventivamente i dipendenti della possibilità di tali controlli.
Tuttavia, come detto sopra, il controllo e la raccolta delle prove possono avvenire solo dal momento in cui si sono manifestati indizi concreti di illeciti disciplinari. Questo significa che il datore può utilizzare strumenti tecnologici per accertare condotte illecite solo quando ci sono prove sufficienti che giustifichino tale ingerenza sulla privacy.
È sempre il Tribunale di Roma, in un altro precedente (sent. del 13.06.2018) a indicare quali sono le condizioni per il controllo delle email aziendali. Secondo i giudici della capitale, contemperando l’interesse al controllo e la protezione della dignità e riservatezza dei lavoratori, il dipendente può essere controllato con mezzi a distanza, ma solo se sussistono tutti i seguenti presupposti:
* il datore deve aver previamente informato il lavoratore che l’impianto è stato installato, e che vi si potranno esperire controlli;
* il controllo deve essere effettuato in conformità al Codice della privacy.
Tali regole valgono sempre, alla sola condizione che si tratti di strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori.
Ne consegue che sia la posta elettronica che il software PRS rientrano in tale categoria, trattandosi di strumenti che, pur non avendo finalità di controllo (ma lavorative) consentono il controllo “a distanza” dell’operato del lavoratore.
Cosa dice la giurisprudenza sui controlli delle email aziendali dei dipendenti?
La pronuncia del Tribunale di Roma sopra citata riporta le seguenti istruzioni: «La legittimità dei controlli cosiddetti “difensivi” presuppone il “fondato sospetto” del datore di lavoro circa comportamenti illeciti di uno o più lavoratori. Ne consegue che il datore di lavoro non è abilitato ad eseguire tali controlli in funzione esplorativa e risulta autorizzato a raccogliere informazioni solo successivamente all’insorgere del “fondato sospetto”, sicché sono utilizzabili ai fini disciplinari unicamente le notizie successive al legittimo controllo».
Cosa si intende per controllo ex post?
Il controllo ex post si riferisce alla raccolta di informazioni a partire dal momento in cui si manifestano gli indizi circa il comportamento illecito del dipendente. Non è necessario che il datore raggiunga la “prova certa” (diversamente non avrebbe ragione di dover cercare ulteriori conferme nelle mail). I giudici parlano di sospetto – e non qualsiasi tipo di sospetto, ma uno “fondato” – proprio per consentire al datore di integrare gli indizi che ha già raccolto con una prova utilizzabile in giudizio. In questo modo viene garantito un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del dipendente.
Se il datore contesta al lavoratore fatti precedenti alla segnalazione e agli accertamenti, tali prove non possono essere utilizzate a fini disciplinari. L’accesso a informazioni antecedenti, senza autorizzazione, è considerato illecito e in contrasto con il GDPR.