La posta elettronica è lo strumento di comunicazione principale in azienda sia interno che esterno.
Il datore di lavoro può scegliere se assegnare al proprio dipendente un account e-mail nominativo (es. mario.rossi@società.it), o un account condiviso tra più lavoratori, destinato ad esempio, ai lavoratori addetti ad uno specifico ufficio o reparto (es. info@società.it). Mentre tale ultimo caso presenta poche problematiche nella gestione, utilizzare un indirizzo e-mail nominativo che è a tutti gli effetti considerato un dato personale, deve rispettare quanto previsto dal Regolamento EU 679/2016 (GDPR) e dal D.lgs. n.101/2018 (Codice Privacy).
Per tale ragione, la gestione della posta elettronica diventa un “problema” da risolvere nelle aziende che devono cercare di bilanciare le proprie esigenze organizzative alle esigenze di protezione dei dati e rispetto della normativa. Questo bilanciamento si applica in maniera differente se siamo in costanza del rapporto di lavoro o al termine dello stesso.
Quali accorgimenti vanno applicati per la gestione degli account aziendali durante il rapporto di lavoro?
L’account nominativo, seppur con il “dominio” aziendale resta un dato del dipendente. Pertanto, il suo utilizzo o l’accesso alla casella di posta non potrà mai essere indiscriminato dalla parte del datore di lavoro o avvenire in maniera illecita, ma dall’altra parte l’azienda dovrà garantire una continuità lavorativa anche in caso di assenza del dipendente. Quindi cosa fare in caso di assenza temporanea del dipendente?
In passato, veniva spesso adottato un sistema informatico di risposta al mittente con le coordinate di un altro soggetto da contattare. Ad oggi invece, forse anche con la diffusione dello smart working, è divenuto molto più semplice ovviare a questa problematica, visto che la maggior parte delle aziende mette a disposizione dei propri dipendenti l’accesso alla web mail anche in remoto o strumenti informatici come smartphone o tablet, in grado di rendere l’accessibilità alle e-mail aziendali ovunque. Dunque, se in passato l’assenza temporanea del dipendente poteva risultare un “problema”, oggi lo è certamente molto meno, tanto da sentire come maggiormente importante l’applicazione del cosiddetto “diritto alla disconnessione” al di fuori dal normale orario lavorativo.
In ogni caso, come più volte ribadito dallo stesso Garante, si consiglia al datore di lavoro di informare il lavoratore attraverso l’adozione di una specifica “policy” sui comportamenti da tenere nell’utilizzo della casella di posta elettronica aziendale (es. il divieto di utilizzo per fini personali o la corretta archiviazione dei documenti e corrispondenza) nonché le modalità di conservazione ed eventuale accesso alla stessa.
Sono essenzialmente tre i principi generali più importanti che il datore è tenuto a rispettare e che possiamo trovare all’interno di queste policy e sono: la liceità, la correttezza e la trasparenza.
In tema, molto interessante risulta il provvedimento del Garante riguardo il caso Sicily By Car S.p.a. nel quale il datore di lavoro ha rinvenuto, in seguito a una serie di verifiche effettuate dal responsabile amministrativo, una serie di e-mail inviate dal dipendente ritenute “tendenti a destabilizzare l’intero ufficio, mortificare il lavoro svolto e denigrare pesantemente l’azienda, suscitando gravi errori nella redazione dei bilanci”. In questo caso, l’Autorità ha ritenuto illecito l’utilizzo dei dati personali contenuti all’interno delle e-mail conservate dalla società al fine di elevare una contestazione disciplinare, vista l’assenza di un’informativa circa le specifiche politiche aziendali adottate in proposito.
E quando il dipendente va via, cosa si può (e non si può) fare del suo account di posta aziendale?
Nella “policy” di cui si è parlato va indicato al dipendente cosa succederà alla sua casella di posta quando cesserà dal suo ruolo, sempre per i principi di trasparenza e liceità di cui si accennava.
Nel caso di cessazione del rapporto di lavoro, il Garante ha più volte specificato che la casella e-mail del dipendente deve essere disattivata al momento della cessazione. Ciò implica, innanzitutto la predisposizione di un sistema automatico di risposta che segnali al mittente che l’indirizzo di posta non è più attivo e a chi poter scrivere in alternativa. È vietato il reindirizzamento automatico delle e-mail del dipendente cessato.
Ma la disattivazione non è cancellazione dell’account. Questa, secondo il Garante deve avvenire in un tempo definito e ragionevole che ha più volte indicato come massimo tre mesi.
Ma cosa succede al contenuto della casella di posta del dipendente?
Il Garante ha esaminato il problema, nel caso Gaypa, nel quale la società avrebbe mantenuto attiva la casella mail di un dipendente anche dopo l’interruzione del rapporto di lavoro, compresa di tutto il traffico email.
Nel provvedimento, il Garante applica alla posta elettronica del dipendente dei principi di data retention inflessibili, criticando le prassi aziendali – peraltro altamente diffuse – di utilizzare le caselle di posta elettronica come archivio di documentazione e di conservare a tempo spesso indeterminato o senza regole il traffico degli account aziendali.
Il principio del Garante è chiaro: il datore di lavoro deve limitare la conservazione delle mail, adottando sistemi di cancellazione automatica e la loro conservazione deve risultare indispensabile ed essere supportata da valide motivazioni e non risultare eccedente. Quindi ad esempio l’eventuale conservazione per esigenze di tutela o sicurezza deve essere concreta e attuale e non solo ipotetica. “Bocciato” quindi dal Garante l’applicazione del termine decennale del Codice civile è di 10 anni, arrivando invece a considerare congruo il termine di 1 anno, come nel caso Gaypa.
L’argomento è tutt’altro che semplice e tutt’altro che risolto, visto anche l’indispensabilità dello strumento per le Aziende. A parere di chi scrive è fondamentale per le Aziende fare un’analisi sulla gestione della posta elettronica, inserendo regole organizzative chiare e diversificate a seconda delle funzioni ricoperte dal dipendente, perché la posta elettronica di un ufficio legale interno all’azienda ha delle esigenze di tutela aziendale diverse dalla posta elettronica dell’impiegata dell’ufficio marketing.