Il datore di lavoro può accedere ai dati dell’ account di posta elettronica aziendale di un suo dipendente? Può sistematicamente conservare sul server aziendale tutte le e-mail inviate e ricevute da questo account di posta elettronica? Infine, quali sono gli adempimenti che il datore di lavoro deve porre in essere in seguito alla cessazione del rapporto di lavoro del dipendente ?
A questi interrogativi, che sottendono tematiche relative ad aspetti giuslavoristici (in primis, art. 4 della legge 300/1970 “Statuto dei Lavoratori”) oltre che di protezione dei dati personali, prova a dare qualche risposta il Garante per la protezione dei dati personali nell’ ordinanza di ingiunzione n. 214 del 29 ottobre 2020 nei confronti della società Gaypa S.r.l., condannata a 20.000 euro di sanzione, pubblicazione della decisione sul sito del Garante ed altri provvedimenti correttivi (di seguito il “Provvedimento”).
La normativa in materia di privacy prevede che, per qualsiasi trattamento di dati personali, il titolare debba rendere all’interessato le informazioni sulle finalità e modalità del trattamento (cfr. art. 12, 13 e 14 Regolamento (UE) 2016/679).
Tale obbligo, come noto, sussiste anche quando il trattamento di dati personali si svolge nell’ambito di un rapporto di lavoro e tramite l’utilizzo di strumenti aziendali, come per l'appunto l’ account di posta elettronica aziendale di tipo individualizzato (es. nome.cognome@azienda.it).
Nel contesto lavorativo, in particolare, l’obbligo di informativa rappresenta al contempo un’espressione del principio generale di correttezza dei trattamenti, quanto un presupposto di liceità del trattamento, previsto per l'appunto dalla disciplina di settore in materia di divieto di controlli a distanza dei dipendenti.
Alla luce di quanto sopra, il datore di lavoro per poter svolgere in primis il trattamento di dati personali del dipendente, e tanto più qualora intenda effettuare una verifica dell’account di posta aziendale del lavoratore medesimo, deve preliminarmente aver assolto l’obbligo di informativa, ex art. 13 Regolamento (UE) 2016/679 oltre che aver chiarito le modalità di utilizzo degli strumenti aziendali, e degli eventuali controlli sugli stessi, attraverso specifiche policy.
Sul punto il Garante, nel Provvedimento, contesta al titolare del trattamento proprio l’omessa informativa circa la “specifica modalità di trattamento in concreto effettuata, in violazione di quanto previsto dagli artt. 12 e 13 del Regolamento (…) in base al quale il titolare è tenuto a fornire all’interessato - prima dell’inizio dei trattamenti - tutte le informazioni relative alle caratteristiche essenziali del trattamento”.
A parere dell’Autorità, poi, le formulazioni utilizzate dal titolare del trattamento non erano nemmeno idonee “a rappresentare con chiarezza agli interessati finalità e modalità della prospettata conservazione delle email nonché le ipotesi nelle quali il datore di lavoro si riserva di effettuare controlli in conformità alla legge indicando le ragioni legittime – specifiche e non generiche per cui verrebbero effettuati e le relative modalità” come invece è richiesto dalle “Linee guida per posta elettronica e internet” del Garante adottate il 1° marzo 2007 (“Linee guida”).
Le Linee guida, tuttora applicabili, infatti prevedono che “il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (…). Nell’esercizio di tale prerogativa [deve] rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare "apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori" (art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica”.
Chiarita dunque l’astratta possibilità che il datore possa effettuare controlli sull’account di posta elettronica del dipendente, nonché la necessità di informare preventivamente il dipendente, resta da definire in quali circostanze (rectius per quali finalità) questa prerogativa sia consentita, legittima e proporzionata. Un’ulteriore precisazione, in linea con quanto già espresso in passato dall’Autorità, si rinviene nuovamente nel Provvedimento, il quale chiarisce che “il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione avanzata dalla società risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento”.
Se dunque, in costanza del rapporto di lavoro, l’attività di controllo per finalità ben definite potrebbe risultare legittima nei limiti di quanto sopra, resta da domandarsi per quanto tempo il datore di lavoro possa conservare le e-mail contenute nell’account di posta elettronica del dipendente.
Alcune indicazioni del Garante sono rinvenibili già nel provvedimento n. 547 del 22 dicembre 2016 nei confronti di AON S.p.A. nel quale è stato ritenuto “non conforme ai principi di necessità, pertinenza e non eccedenza (…) la conservazione per dieci anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche. Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate (in relazione al quale la società non ha fornito elementi in ordine alle specifiche ragioni che lo renderebbero necessario in relazione agli scopi perseguiti) non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi”.
Nel Provvedimento, invece, il Garante - fornendo un’interpretazione restrittiva rispetto al passato - giudica “in contrasto con i richiamati principi di minimizzazione dei dati (…) e di limitazione della conservazione (…) la prospettata sistematica conservazione sul server aziendale per un esteso periodo di tempo, pari a tre anni, di tutte le email inviate e ricevute dagli account aziendali (...) [nonché] la sistematica conservazione per 12 mesi di tutte le email presenti sull’account, in costanza del rapporto di lavoro, in vista di futuri possibili contenziosi (…). Medesima valutazione riguarda la prospettata conservazione per sei mesi del contenuto della casella affidata all’ex dipendente (che pertanto si aggiungerebbero ai 12 mesi previsti durante il rapporto di lavoro) in relazione ad ipotetiche ipotesi di illeciti (o sospetto di commissione di illeciti) compiuti dal lavoratore”.
Infine, sebbene il tema sia trattato anche solo marginalmente nel Provvedimento, il Garante specifica che per quanto riguarda la gestione dell’account di posta elettronica, in caso di cessazione del rapporto di lavoro, occorre che il datore di lavoro (a) provveda alla rimozione previa disattivazione dello stesso e alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale (cfr. Provvedimento 4 dicembre 2019 n. 216 del 4 dicembre 2019 nei confronti di Imper Italia S.r.l. ); (b) preveda che “ la disattivazione deve essere realizzata secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali” (cfr. Provvedimento del 1° febbraio 2018 n. 53 nei confronti di Sicily by Car S.p.A.).
Avv. Adebowale Adediwura – Avv. Alessia Chiarello Fieldfisher