Spionaggio Aziendale, Investigazioni Aziendali, Agenzia IDFOX dal 1991, esperta indagini Aziendali ed informatiche. Tel. 02344223
Violazione privacy sugli strumenti di lavoro del dipendente: fin dove si spinge il potere di controllo del datore di lavoro.
Nel panorama lavorativo contemporaneo, caratterizzato da una sempre maggiore digitalizzazione e dall’uso massiccio delle comunicazioni elettroniche, il tema del controllo delle email aziendali da parte del datore di lavoro pone il problema di individuare la linea di confine tra il diritto del lavoratore alla riservatezza della propria corrispondenza elettronica e il potere del datore di lavoro di verificare l’attività dei propri dipendenti.
Peraltro, la crescente diffusione dello smart working (il cosiddetto “lavoro agile”) e la condivisione di dati sensibili tramite canali digitali hanno reso ancora più complesso il bilanciamento tra questi due interessi contrapposti. In tale contesto, l’analisi giuridica delle modalità di controllo delle comunicazioni elettroniche aziendali si rivela fondamentale per definire i confini di un rapporto lavorativo sempre più permeato dalla tecnologia.
Cerchiamo dunque di vedere, alla luce della più recente normativa, se e quando è legale il controllo delle email aziendali e quali avvisi preventivi vanno dati al lavoratore.
Indice
* Controllo email aziendali: normativa
* Quando è possibile controllare le email aziendali
* Giurisprudenza sul controllo delle email aziendali
* Conclusioni
Controllo email aziendali: normativa
La normativa italiana che disciplina il controllo delle email aziendali si basa principalmente sull’articolo 4 della Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori), modificato dal Decreto legislativo 14 settembre 2015, n. 151 (il cosiddetto Jobs Act).
L’articolo 4 stabilisce che gli impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, previo accordo collettivo stipulato con le rappresentanze sindacali aziendali.
Discorso diverso deve essere fatto invece per le email. Come vedremo a breve, la legge consente al datore di lavoro, a determinate condizioni, di esercitare il controllo sulle email ma solo se si tratta dell’account aziendale, e non anche quello personale, dato in dotazione al dipendente. Difatti, la corrispondenza epistolare, telefonica oppure elettronica (email) inviata o ricevuta dal lavoratore è inviolabile, pena l’applicazione di sanzioni penali. Quindi, ad esempio, se un dipendente utilizza la propria email personale sul computer dell’ufficio, il datore non può controllarla; diversamente commetterebbe reato e potrebbe essere denunciato.
Quando è possibile controllare le email aziendali
I servizi di posta elettronica aziendali possono essere soggetti a controlli da parte del datore di lavoro, in quanto titolare del trattamento, il quale può accedere al contenuto delle comunicazioni. Il Garante per la Privacy ha stabilito delle linee guida sull’uso della posta elettronica e di internet in ambito lavorativo, definendo i doveri del datore di lavoro (Provv. Garante Privacy 1° marzo 2007). In particolare, il datore deve:
* informare preventivamente i dipendenti, in modo chiaro, sulle modalità d’uso della posta elettronica e su eventuali controlli effettuati. Le modalità di informazione variano in base alla complessità delle attività e alla dimensione aziendale; ad esempio, l’informazione può essere fornita tramite un disciplinare interno, che deve essere adeguatamente pubblicizzato (attraverso la rete interna o con affissioni nei luoghi di lavoro) e aggiornato periodicamente. Inoltre, il datore di lavoro deve rispettare gli obblighi di informazione, concertazione e consultazione con le organizzazioni sindacali;
* conservare le email per non oltre 21 giorni, salvo comprovate necessità di estensione;
* evitare controlli random, sulla generalità dei dipendenti e con finalità preventiva o repressiva, ma attivare il controllo solo dopo aver acquisito dei fondati sospetti su eventuali illeciti disciplinari. I dati raccolti prima di tale momento non possono essere utilizzati contro il lavoratore;
* implementare misure per la conservazione e il trattamento dei dati derivanti dall’uso di tali tecnologie;
* chiudere l’account dell’email aziendale dopo la cessazione del rapporto di lavoro, eventualmente attivando un risponditore automatico che comunichi al mittente di un indirizzo alternativo;
* adottare soluzioni organizzative, come l’assegnazione di indirizzi email condivisi tra più lavoratori e di indirizzi privati per uso personale, l’utilizzo di risposte automatiche in caso di assenza del lavoratore, o l’inserimento di avvisi nei messaggi per indicare l’eventuale natura non personale del contenuto e la possibilità che le risposte siano accessibili all’interno dell’organizzazione del mittente.
Il Garante per la Privacy ha emesso direttive specifiche per regolare la gestione della posta elettronica aziendale, soprattutto per quanto riguarda i programmi e servizi in modalità cloud o as-a-service. È fondamentale che le aziende assicurino la possibilità di modificare le impostazioni di base dei loro sistemi di posta elettronica per prevenire la raccolta inappropriata di metadati dei dipendenti.
L’azienda è autorizzata a monitorare l’uso della posta elettronica dei dipendenti solo nel rispetto dei principi di pertinenza e non eccedenza. In pratica, il datore di lavoro non può prelevare qualsiasi conversazione del dipendente ma deve limitarsi a conservare solo quelle relative all’eventuale controllo in corso (ad esempio commissione di illeciti lavorativi, attività in concorrenza, trafugamento di dati aziendali, ecc.).
Non sono giustificati, di norma, controlli individuali senza precedenti anomalie. Controlli prolungati, costanti, o indiscriminati, così come la raccolta preventiva di tutte le e-mail in vista di potenziali contenziosi, sono considerati inammissibili.
Tuttavia, sono permessi controlli anonimi che possono culminare con un avviso generalizzato di utilizzo anomalo degli strumenti aziendali, sollecitando i lavoratori a seguire le direttive e le istruzioni impartite. Questo avviso può essere limitato ai dipendenti dell’area o del settore dove l’anomalia è stata osservata.
L’indirizzo di posta elettronica aziendale può essere sempre a disposizione di soggetti diversi, appartenenti alla stessa impresa, anche se nell’indirizzo compare il nome del dipendente che procede all’invio (Trib. Torino 15 settembre 2006).
Giurisprudenza sul controllo delle email aziendali
La giurisprudenza italiana ha affrontato diverse volte la questione del controllo delle email aziendali, fornendo interpretazioni che aiutano a delineare i confini della legittimità di tali pratiche.
La Corte d’Appello di Milano, sent. n. 504 del 16 settembre 2020 ha stabilito che il controllo delle email aziendali da parte del datore di lavoro rappresenta un’ingerenza nel diritto alla vita privata, ma può essere considerato compatibile con l’articolo 8 della Convenzione europea dei diritti dell’uomo se di portata limitata e proporzionale. La sentenza ha sottolineato che le email personali sono inaccessibili, pena la commissione di un reato e la violazione delle regole costituzionali sul segreto della corrispondenza.
Il Tribunale di Tivoli, sent. n. 783/2017 ha sottolineato la legittimità del controllo delle email solo se il lavoratore è a conoscenza della policy aziendale di monitoraggio e registrazione delle comunicazioni.
Il Tribunale di Udine, sent. n. 264 del 29/2022 ha evidenziato che l’accesso all’account di posta elettronica di un dipendente è legittimato solo in caso di assenza improvvisa e prolungata del dipendente e per imprescindibili esigenze organizzative, produttive o di sicurezza, e richiede una preventiva informazione al lavoratore.
Infine la Corte di Cassazione, sent. n. 34092 del 12 novembre 2021 ha confermato che i controlli difensivi diretti ad accertare comportamenti illeciti e lesivi del patrimonio aziendale esulano dall’ambito di applicazione dell’articolo 4 dello Statuto dei Lavoratori e non richiedono l’osservanza delle garanzie ivi previste, se disposti successivamente all’acquisizione di prove contro il dipendente.
Conclusioni
In conclusione, il controllo delle email aziendali da parte del datore di lavoro è legale, ma deve rispettare una serie di condizioni rigorose per essere considerato legittimo. È essenziale che tali controlli siano proporzionati, limitati alle esigenze organizzative, produttive o di sicurezza, e che i lavoratori siano previamente e adeguatamente informati delle modalità di utilizzo degli strumenti di controllo. Inoltre, i controlli difensivi diretti ad accertare comportamenti illeciti possono essere effettuati senza le garanzie previste dall’articolo 4 dello Statuto dei Lavoratori, purché siano giustificati da un fondato sospetto di illecito e rispettino la normativa sulla privacy.
Fonte Internet