Email Aziendali: Come regolamentarle

Email Aziendali: Come regolamentarle

In riferimento alla normativa sulla privacy e al corretto utilizzo dell’email aziendale, sono molti gli accorgimenti da attuare per un corretto utilizzo degli account, se nominativi, da parte del datore di lavoro.

Di seguito una breve disamina, sulle criticità e sulle soluzioni attuabili in virtù della compliance aziendale alla normativa privacy.

 

Nel caso in cui l’azienda decida di affidare, al dipendente, un indirizzo di posta nominativo, ci saranno molti aspetti da valutare legati alla privacy, partendo da due considerazioni:

 

  • il nome e cognome, anche se accompagnati dal dominio aziendale sono considerati a tutti gli effetti dati personali, ai sensi dell’art. 4 del GDPR.
    Così come sono considerati dati personali, quelle informazioni che diano la possibilità di identificare, anche in via indiretta, una persona fisica.
    Per tale motivo anche l’omissione del cognome o del nome (es. rossi@consulting.it) è un’informazione che permette di identificare un soggetto.
  • le mail contenute in una casella di posta nominativa, il cui utilizzo, non sia stato approvato da un regolamento, sono da considerarsi corrispondenza privata del lavoratore.

 

Sulla base delle “Linee guida per posta elettronica e internet” diffuse dal garante nel Marzo del 2007 e ancora valide oggi, le criticità da tenere in considerazione per la gestione il corretto utilizzo dell’email aziendale, partendo dalle premesse sopra citate, sono le seguenti:

 

 

1. EMAIL LEGATE ALLA FUNZIONE E EMAIL NOMINATIVE

 

Come suggerito dal Garante, è buona norma rendere disponibili prima di tutto indirizzi di posta elettronica, che possono essere condivisi tra più lavoratori (amministrazione@, commerciale@, produzione@, acquisti@, ect.).

In questo caso, infatti, non sorgono tutte le problematiche legate alla tutela della riservatezza del lavoratore, considerando che non è contenuto nessun dato personale nell’indirizzo email.

Questo, però non esclude che l’azienda impartisca al lavoratore istruzioni sul suo utilizzo, in quanto strumento necessario per svolgere la prestazione lavorativa.

La scelta aziendale di assegnare ai lavoratori subordinati account nominativi non è da escludere a priori, ma semmai da regolamentare, magari limitandone l’uso, e normandolo nel dettaglio.

 

2. L’IMPORTANZA DI UNA POLICY INTERNA

 

È di importanza cruciale, impartire le norme per un uso corretto dell’email, che sia personale o legata alla funzione, attraverso la redazione e la diffusione di una policy interna, che tenga conto della normativa privacy, dello Statuto dei Lavoratori, e in particolar modo dell’art. 4 Legge 300/70.

È bene tenere presente che un uso promiscuo o non disciplinato dell’account, può portare ad un’acquisizione di dati personali del tutto estranei al contratto di lavoro instaurato tra le parti.

Questa circostanza rappresenta un rischio di violazione dei dati personali da parte dell’azienda, che può incorrere in sanzioni per un eventuale trattamento illegittimo dei dati.

Alla luce di queste considerazioni, la corretta stesura di un disciplinare interno, non solo per quanto riguarda l’email, ma ogni strumento aziendale (pc, telefoni, tablet, auto con gps, ect…), rappresenta sia una misura idonea per evitare sanzioni, legate alla normativa privacy, in caso di accertamento, che la miglior tutela per la riservatezza del lavoratore.

 

3. ACCESSO ALL’ACCOUNT DEL LAVORATORE

 

Nel caso in cui, l’azienda abbia la necessità di accedere ai contenuti di un determinato account in assenza del lavoratore interessato, per garantire la continuità delle attività aziendali, non sussistono problematiche relative solo alla normativa privacy, ma anche questioni di natura giuslavorista e penale.

Il Garante in questi anni ha chiarito che l’azienda deve fare in modo che il dipendente, in caso di assenza prolungata (per ferie, congedi, lunghe trasferte), abbia gli strumenti per inviare messaggi di risposta automatica, indicando eventualmente i contatti di un altro soggetto o le modalità per mettersi in contatto con l’azienda, per garantire la continuità aziendale senza che il datore di lavoro consulti la casella di posta del lavoratore assente.

Per non trovarsi impreparati, nel caso di assenze non programmate (ad esempio per malattia), rappresenta una buona prassi, la possibilità che il lavoratore possa delegare un altro lavoratore, cosiddetto fiduciario, a verificare il contenuto dei messaggi ricevuti in sua assenza e a inoltrare al titolare del trattamento, quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa.

 

4. CONTROLLI DA PARTE DI UN’AZIENDA E IMPIEGO DELLE INFORMAZIONI PER FINI DISCIPLINARI

 

In entrambe le situazioni esposte precedentemente, anche per la corretta applicazione del principio di Accountability, è consigliato al Titolare del Trattamento, attraverso una policy interna, chiarire al dipendente i limiti di utilizzo dell’account e le forme di controllo che possono essere eseguite sullo stesso.

In riferimento ai controlli è importante fornire le suddette informazioni, per adempiere all’art. 13 (informativa) e in ragione delle previsioni di cui all’art. 4 Legge 300/70, che richiede siano rese al lavoratore determinate informazioni relative agli strumenti, a lui assegnati, da cui possa derivare un controllo a distanza.

L’adozione di un regolamento interno assume il valore di direttiva, sotto il profilo giuslavoristico, a cui il dipendente deve conformarsi per non incorrere in sanzioni disciplinari (art. 7 Legge 300/70 e le disposizioni di cui ai contratti collettivi di categoria o aziendali).

In sintesi, se il datore di lavoro dovesse trovare elementi necessari per procedere con un procedimento disciplinare, i dati eventualmente raccolti tramite un controllo della corrispondenza email del lavoratore, sarebbero inutilizzabili se l’azienda non avesse fornito l’informativa e se non avesse predisposto una policy interna specifica.

 

5. LA FINE DEL RAPPORTO LAVORATIVO

 

Nei casi in cui il rapporto di lavoro dovesse interrompersi, in particolar modo in quei casi in cui il rapporto cessa repentinamente, non permettendo alcun passaggio di consegne, potrebbe sorgere un problema per la continuità aziendale del lavoro fino a quel momento svolto dall’ex dipendente.

Se l’accesso all’account email non è stato correttamente normato, l’azienda potrebbe incorrere in possibili controlli e sanzioni, risultato di controversie con il dipendente.

Per evitare illeciti e in linea con quanto suggerito dal Garante, l’azienda dovrà procedere nel seguente modo:

  • Disattivare l’account nominativo aziendale nel più breve tempo possibile;
  • Informare i destinatari con un messaggio automatico, che le comunicazioni lavorative, e non personali, indirizzate all’account in disattivazione, potranno essere inviate ad un nuovo indirizzo;

Altrimenti potrà:

  • Mantenere attivo il precedente account per un periodo limitato, solo nel caso in cui nel regolamento interno è stata normata questa ipotesi ed esclusivamente previa acquisizione del consenso del lavoratore.