Che cosa sono le mail aziendali e quale differenza intercorre con quelle private: in quali casi il datore di lavoro è legittimato a controllarle. Cosa dice la legge, gli obblighi del datore e i diritti del lavoratore: un esempio concreto avvenuto nella Regione Lazio e la decisione del Garante della privacy
L’espansione e la continua evoluzione degli strumenti informatici nello svolgimento dell’attività lavorativa, come appunto la posta elettronica, fa venire in rilievo due opposti interessi, talvolta in contrasto tra loro: da un lato vi è l’esigenza del datore di lavoro a mantenere un controllo sull’attività svolta dal proprio dipendente, dall’altro vi è l’interesse del lavoratore alla riservatezza della corrispondenza. Il problema, ovviamente, non si pone con riferimento alla mail personale del lavoratore, in quanto il suo controllo da parte del datore di lavoro configurerebbe una violazione delle norme sulla libertà e segretezza della corrispondenza, principio sancito dall’articolo 15 della Costituzione. La questione si pone esclusivamente con riferimento alla mail aziendale.
Controllo mail aziendale da parte del datore di lavoro: la disciplina normativa
In base a quanto previsto dal Jobs Act, disciplinato dalla legge 183 del 2014, l’articolo 2 dello Statuto dei lavoratori è stato modificato ed è stata riscritta la disciplina del controllo a distanza del lavoratore. In particolare, lo stesso ha previsto un’estensione della possibilità dei controlli da parte del datore di lavoro sugli strumenti aziendali, sui computer, tablet e cellulari. Infatti, in presenza di strumenti di lavoro (tra cui vi rientrano le mail aziendali) non opera più il filtro dell’accordo con le organizzazioni sindacali e le informazioni raccolte possono essere utilizzare per tutti i fini connessi al rapporto di lavoro. Resta sempre fermo l’onere per il datore di lavoro di informare i propri dipendenti, anche tramite i regolamenti aziendali, di tale possibilità di controllo e dei relativi limiti. Il controllo, come è ovvio che sia, deve essere finalizzato a reprimere eventuali comportamenti dannosi per l’azienda. Non possono essere effettuati pertanto controlli eccessivamente invasivi della sfera personale del lavoratore.
La mail aziendale o privata: caratteristiche e differenze
Appreso cosa dice la legge in merito al controllo della mail aziendale da parte del datore di lavoro e quando questa attività può essere legittimata, soffermiamo ora l’attenzione sulle caratteristiche di questo tipo di posta elettronica e sulle differenze che ha con le mail private. Iniziamo col dire che, nel caso delle mail aziendali, non si tratta di uno strumento ad uso esclusivo del lavoratore, ma resta pur sempre un mezzo di lavoro di proprietà del datore di lavoro. Costituisce pertanto diritto del datore di lavoro accedere alla mail aziendale, anche facendosi dare la password da parte del dipendente. Resta fermo il divieto per il datore di lavoro di effettuare controlli che vadano al di là dell’esigenza di reprimere eventuali comportamenti illeciti. Il controllo della mail, infatti, rappresenta un’importante invasione della privacy del lavoratore e va, pertanto, giustificato in maniera rigorosa. Inoltre, il controllo non può essere finalizzato alla verifica dell’esatto svolgimento della prestazione lavorativa. Per effettuare tali controlli devono sussistere dei sospetti sulla presenza di comportamenti illeciti da parte del lavoratore (cosiddetto controllo difensivo). È necessario che vi siano degli indizi di responsabilità a carico del dipendente. Il controllo preventivo, invece, è illegittimo ed è tale anche il controllo massivo nonché la conservazione illimitata delle mail aziendali.
Tutto questo, invece, non è possibile in caso di mail private che, in quanto tali, appartengono alla sfera personale del lavoratore e possono essere usate anche per finalità diverse da quelle lavorative.
La mail aziendale e la privacy
Con un comunicato risalente al 12 luglio 1999), dunque molto datato, il Garante della privacy ha ritenuto che l’e-mail sia assimilabile ad una corrispondenza epistolare e che, pertanto, va considerata come inviolabile. La giurisprudenza, sul punto, si discosta da tale considerazione quando si parla di mail aziendale. In questo caso, pertanto, non sussisterebbe alcuna copertura della privacy. L’indirizzo di posta elettronica aziendale, infatti, può essere a disposizione di soggetti diversi, appartenenti alla medesima impresa o società, anche se nell’indirizzo compare il nome del dipendente che procede all’invio.
Non conosci il Salvagente? Scarica GRATIS il numero con l'inchiesta sull'olio extravergine cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente
Per citare un caso pratico, la Corte di Cassazione ha ritenuto legittimo il controllo della posta elettronica di un lavoratore accusato di aver divulgato notizie riservate riguardanti un cliente e di aver effettuato, sulla scia di tali informazioni, operazioni finanziarie da cui avevi tratti vantaggi per se stesso. Il controllo, in questo caso, è avvenuto a seguito dell’emersione di alcuni indizi tali da ritenere fondato il sospetto di comportamento illecito. Si è trattato, dunque, di un controllo difensivo, non preventivo.
Il controllo difensivo da parte del datore di lavoro
In base a quanto fin qui detto, il datore di lavoro può controllare la mail aziendale dei dipendenti, a patto che tale comportamento non avvenga in modo generalizzato e che non sia uno strumento di controllo della prestazione lavorativa. Il controllo dovrà avvenire per punire eventuali illeciti comportamentali commessi dai dipendenti nei confronti dell’azienda. Il controllo, inoltre, non può mai essere preventivo, ma solo difensivo, dunque successivo all’emersione di indizi di colpevolezza. Infine, sono vietati controlli prolungati e costanti nonché la raccolta a priori di tutte le mail dei dipendenti in vista di futuri contenziosi.
Queste sono le condizioni con cui il datore di lavoro può controllare la mail aziendale dei propri dipendenti, andando oltre fattispecie ci sarebbe una violazione dei diritti del lavoratori.
Gli obblighi del datore di lavoro
Il datore di lavoro deve sempre preventivamente informare i propri dipendenti della possibilità di controlli sulla propria mail aziendale. L’informazione, inoltre, deve essere chiara e può variare in base al genere ed alla complessità delle attività svolte o alle dimensioni aziendali. Infine, il datore di lavoro deve adottare tutti gli accorgimenti necessari per la conservazione ed il trattamento dei dati ricavabili.
Il provvedimento del Garante della privacy alla Regione Lazio: 100.000 euro di sanzione amministrativa
Proprio in ambito di controllo dei metadati, la Regione Lazio è stata recentemente sanzionata da parte del Garante della privacy con una multa di 100.000 euro. L’organo preposto a tutela della privacy ha sanzionato la Regione dichiarando illecito il controllo dei metadati delle mail dei dipendenti ed ha vietato i trattamenti dei metadati ancora in corso. Tale controllo non può essere effettuato, a detta del Garante della privacy, senza adeguate tutele per la riservatezza del lavoratore ed in violazione delle norme che limitano il controllo a distanza dei dipendenti.
La vicenda nasceva da una segnalazione di un sindacato, il quale lamentava un monitoraggio posto in essere dall’amministrazione sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale. Secondo quanto riportato dal Garante, nel corso dell’istruttoria l’ente pubblico ha dichiarato di aver avviato una verifica interna generalizzata sulla base di un sospetto comportamento illecito avente ad oggetto la possibile rivelazione a terzi di informazioni protette dal segreto di ufficio. Il suddetto monitoraggio ha avuto quale oggetto i metadati relativi ad orari, destinatari, oggetto delle comunicazioni e peso degli allegati. Il Garante ha accertato che la Regione Lazio ha potuto effettuare il monitoraggio del personale dell’avvocatura, in particolar modo dei dipendenti che inviavano messaggi ad uno specifico sindacato, sfruttando i dati conservati per generiche finalità di sicurezza informatica per 180 giorni in assenza di idonei presupposti giuridici. In questo modo sono stati violati i principi di protezione dei dati personali e delle norme sul controllo a distanza.
Nel provvedimento l’Autorità ha chiarito quanto segue: “la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica – che in quanto forma di corrispondenza è tutelata dalla Costituzione – non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori. In questi casi, infatti, il datore deve avviare le specifiche procedure di garanzia (accordo sindacale o autorizzazione pubblica) previste dalla legge”. Ancora: “il trattamento di dati personali posto in essere ha consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa”.
Il trattamento dei dati personali posto in essere dalla Regione Lazio ha, tra le altre cose, consentito di entrare in possesso di informazioni attinenti alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa.
Oltre alla sanzione amministrativa pari a 100.000 euro, il Garante ha anche vietato alla Regione Lazio di proseguire con ulteriori operazioni di monitoraggio e controllo dei metadati relativi all’utilizzo della posta elettronica dei lavoratori ed ha disposto la cancellazione dei dati illecitamente raccolti.