Avv. Luca Valle
Quali accorgimenti deve adottare il datore di lavoro per rendere lecita la propria condotta?
Accade spesso che le aziende, al momento della cessazione del rapporto di lavoro con un dipendente, anziché eliminare l’account di posta elettronica fornitogli (es. mario.rossi@azienda.it) e la corrispondenza ivi contenuta, operino l’inoltro per un periodo indefinito su altra mail aziendale e conservino lo “storico” della corrispondenza dell’ex dipendente; ciò al fine di evitare da un lato interruzioni dell’attività in corso di svolgimento da parte del lavoratore cessato, dall’altro la mancata ricezione o la perdita di importanti comunicazioni o documenti.
Tale prassi è conforme alle prescrizioni dettate dal Codice della Privacy?
Il Garante delle Privacy ha dato risposta negativa: è stato infatti accolto il ricorso di un ex dipendente ed è stato ordinato all’azienda di “disattivare l’indirizzo di posta elettronica dell’ex dipendente entro il termine di 30 giorni secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali, con contestuale utilizzo di un risponditore automatico che avvisi gli utenti dell’avvenuta disattivazione nei 30 giorni successivi a quest’ultima, indicando altresì un eventuale indirizzo di posta elettronica alternativo cui inviare i messaggi attinenti l’attività svolta e con sospensione immediata di qualunque procedura atta a consentire la consultazione del contenuto dei messaggi già pervenuti o che potrebbero pervenire”; il Garante ha inoltre ordinato all’azienda di consentire all’interessato di accedere al contenuto dei messaggi al fine di individuare quelli aventi contenuto privato e di poter così verificare l’avvenuta successiva cancellazione degli stessi da parte del titolare del trattamento (provvedimento del 5.3.2015).
Vi sono degli accorgimenti che l’azienda può adottare per rendere lecita la propria condotta?
La risposta è parzialmente affermativa.
Il Garante della Privacy, nell’anno 2007, ha emanato delle Linee Guida (G.U. n. 58 del 10 marzo 2007) per il trattamento di dati personali effettuato sulle caselle di posta elettronica dei dipendenti e sulla rete Internet; è stato chiarito che l’eventuale trattamento deve essere garantito (in un’ottica di bilanciamento con i contrapposti interessi del datore di lavoro e in attuazione dei principi di necessità, correttezza, pertinenza e non eccedenza) da un livello di tutela atto ad impedire interferenze ingiustificate sui diritti fondamentali dei lavoratori, nonché dei terzi mittenti e/o destinatari delle medesime comunicazioni.
Il Garante, pertanto, ha suggerito di adottare una dettagliata policy aziendale – da definire coinvolgendo anche le rappresentanze sindacali – riguardo l’uso di Internet e della posta elettronica aziendale.
La policy dovrà essere adeguatamente pubblicizzata (ad es. su bacheche e sito internet aziendali) e potrà specificare:
- che la mail aziendale non può essere utilizzata per scopi personali;
- che viene effettuato regolarmente un backup della casella di posta sui server aziendali;
- se e in quale misura il datore di lavoro si riserva di effettuare controlli, in conformità alla normativa vigente, anche al fine di rilevare la funzionalità e la sicurezza del sistema (fermo restando il divieto di lettura e registrazione sistematica delle mail, nonchè il monitoraggio sistematico delle pagine web visualizzate dal lavoratore);
- che vi è la necessità di conservare uno storico della corrispondenza sui server aziendali, anche dopo la cessazione del rapporto di lavoro;
le soluzioni adottate per garantire la continuità dell’attività lavorativa in caso di assenza – temporanea o permanente – del lavoratore, con particolare riferimento alla posta elettronica
- (fermo restando che l’inoltro su altra mail aziendale non potrà comunque eccedere un ragionevole lasso di tempo).
La validità dei suggerimenti forniti dal Garante della Privacy nel 2007 ha trovato recente conferma nella pronuncia con la quale la Corte di Strasburgo, nell’esaminare un ricorso di un ingegnere romeno licenziato per inadempimento contrattuale – provato anche dall’utilizzo per fini personali della mail aziendale – ha rigettato il ricorso del lavoratore ritenendo non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze aziendali e ammettendo, quindi, il controllo sull’attività lavorativa nella misura in cui sia strettamente proporzionato e non eccedente lo scopo di verifica dell’adempimento contrattuale.
Molti hanno considerato tale pronuncia come la fine della privacy in ambito aziendale.
Il Garante della Privacy, tuttavia, ha evidenziato l’erroneità di tale convinzione, in quanto nel caso affrontato dalla Corte di Strasburgo:
- a) l’azienda aveva informato i dipendenti delle condizioni d’uso della mail aziendale, che non ne consentivano l’utilizzo per fini personali (mancava quindi l’aspettativa di riservatezza dei lavoratori);
- b) il monitoraggio delle mail era limitato nel tempo e nell’oggetto, nonché strettamente proporzionato allo scopo di provare l’inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
- c) l’accesso alle mail del lavoratore da parte del datore di lavoro era da ritenersi legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni.
Ne consegue dunque che il datore di lavoro, laddove sia stata predisposta una policy trasparente sull’utilizzo degli strumenti aziendali, potrà – in un’ottica di bilanciamento con i contrapposti interessi del lavoratore e in attuazione dei principi di necessità, correttezza, pertinenza e non eccedenza – accedere agli strumenti in dotazione al dipendente, nonché conservare sui server aziendali, anche dopo la cessazione del rapporto di lavoro, lo storico della corrispondenza intercorsa.
Si tratta, in ogni caso, di una normativa in continua evoluzione, che nel 2018 verrà sostituita in tutti i paesi dell’Unione Europea dal Regolamento Europeo sulla Protezione dei Dati.
Avv. Luca Valle