Si possono conservare email ed account dell’ex dipendente? Cosa devono fare l’azienda o lo studio professionale con l’account dell’ex dipendente? Come conciliare la continuità degli affari a cui egli stava lavorando con le esigenze di privacy? Come evitare di perdere email importanti? Va tenuto conto anche dei terzi che scrivevano all’account dell’ex dipendente?

La gestione corretta dell’account aziendale, oltre ad evitare un trattamento illecito di dati, è importante ancor più in epoca di telelavoro e smart working, quando il rischio di commistione tra usi privati e aziendali è anche più alto.

Cos’è un account aziendale?

Generalmente gli account aziendali vengono configurati dall’azienda stessa. L’accesso al database che contiene la posta ricevuta e inviata, cestinata o in bozza, è nella disponibilità dell’azienda. Il titolare può potenzialmente leggerla, tramite il suo reparto IT o consulente IT, in qualità di amministratore di sistema, che vi accede con account di amministratore.

Gli account del dipendente possono essere del tipo [email protected] oppure [email protected]om (ad es. [email protected], [email protected], etc.).

I dati contenuti nell’account sono dati personali o aziendali?

Non si deve commettere l’errore di pensare che, proprio per quanto appena detto, i dati siano aziendali. Infatti, fin dalle “Linee Guida del Garante per posta elettronica e internet” del 01/03/2007, il Garante Privacy ha precisato che nelle email aziendali sono coinvolti dati personali.

Il contenuto dei messaggi email, i dati esteriori delle comunicazioni e gli allegati, dice il Garante, “riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente”, come nucleo essenziale della dignità umana e per il pieno sviluppo della personalità nelle formazioni sociali. Ciò, “trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati), possano vantare una legittima aspettativa di riservatezza”.

È chiaro però che negli account di posta possono trovarsi segreti industriali, o comunque informazioni che, per il successo delle strategie aziendali o altri motivi, devono restare riservate. L’account dell’ex dipendente potrebbe essere inoltre vitale per mantenere quelle relazioni che egli stesso stava costruendo. Potrebbe trattarsi di nuovi partner commerciali, clienti in via di acquisizione, fornitori con le migliori condizioni economiche.

Le azioni sull’account dell’ex dipendente devono puntare al bilanciamento tra business continuity e tutele del lavoratore, oltre che dei diritti dei terzi mittenti/destinatari delle email.

Cosa fare con l’account dell’ex dipendente in caso di dimissioni o licenziamento?

Quando il rapporto di lavoro finisce, l’azienda deve:

  • disattivare l’account dell’ex dipendente;
  • contestualmente impostare la risposta automatica al mittente di mancato recapito/fallita consegna;
  • nella risposta automatica fornire al mittente altri indirizzi a cui scrivere, all’interno dell’azienda;
  • rimuovere l’account dell’ex dipendente.

È quanto prescritto dall’Autorità Garante per la protezione dei dati personali, da molto tempo e da ultimo nel luglio 2020.

Il Garante suggerisce anche di adottare “misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui [la risposta automatica] è in funzione” (provvedimento del 04/12/2019). “L’adozione di tali misure tecnologiche ed organizzative consente di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi”.

Le migliori prassi prevedono che, l’ultimo giorno di lavoro, si disattivi l’account insieme al lavoratore (“in contraddittorio”). Questo permette a lui di salvare eventuali messaggi pur sempre di lavoro ma di natura più personale (congratulazioni, messaggi di auguri, iniziative culturali, etc.) o relativi a piattaforme utilizzate per scopi professionali (es. account LinkedIn). Permette altresì all’azienda di evitare successive contestazioni sulla lettura delle email dopo la cessazione del rapporto di lavoro – fatto che, come diremo tra poco, deve essere evitato.

Se, ad es. per le modalità con cui si sta chiudendo il rapporto, si prevedono contenziosi, è opportuno che a queste operazioni sia presente un consulente del lavoro o un avvocato, dopo aver invitato per iscritto il lavoratore a farsi assistere da un proprio consulente.

Si può continuare a monitorare la posta in arrivo nell’account dell’ex dipendente?

Secondo il Garante privacy, NO. Sono state più volte sanzionate aziende che avevano tenuto attivo l’account dell’ex dipendente per 4 mesi e anche per periodi più lunghi dopo la cessazione del rapporto di lavoro. A volte le aziende sanzionate hanno sostenuto di aver letto solo i messaggi di lavoro, e non quelli eventualmente personali presenti nella casella dell’account dell’ex dipendente.

Eppure anche i dati “esterni” delle comunicazioni possono rivelare informazioni personali. Tra questi vi possono essere data, ora, oggetto, nominativi di mittenti e destinatari. Questi dati, anche tra loro combinati, possono rivelare informazioni personali oltre che di carattere lavorativo, sempre secondo l’Autorità Garante. Infatti, la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza.

Si può prevedere l’inoltro automatico delle email in arrivo nell’account dell’ex dipendente ad altro account?

Anche in questo caso il Garante ha confermato che tale condotta è illegittima.

Se i messaggi email dell’account dell’ex dipendente vengono inoltrati automaticamente ad altro account, il titolare di quest’ultimo può visionare la posta in arrivo. Può trattarsi di messaggi lavorativi o personali, provenienti da soggetti interni o esterni all’azienda. Anche qualora il soggetto a cui è indirizzato il reinoltro non apra concretamente i messaggi inoltrati, ci sono dei dati “esterni” (oggetto, ora dell’invio, previsualizzazione della prima riga in alcuni programmi di posta) che permettono comunque l’accesso a dati personali.

Ovviamente pratiche come l’invio di messaggi non automatici dall’account dell’ex dipendente dopo la cessazione del rapporto di lavoro sono categoricamente vietate. Ciò anche se il messaggio sia una mera risposta di cortesia.

Come contemperare privacy ed esigenze aziendali?

È evidente che regole così stringenti rischiano di frustrare le esigenze aziendali. Le finalità della conservazione dei messaggi (come detto, perlopiù illegittima) sono giustificate soprattutto dalla difesa dell’azienda da eventuali contenziosi nei confronti di terzi, ad es. legate a specifiche pattuizioni contrattuali. Si pensi anche ad email che rilevano per l’interpretazione del contratto tra l’azienda e un altro soggetto.

Accanto a quanto già detto sul passaggio di consegne, il Garante con il provvedimento del 01/02/2018 si spinge fino a suggerire l’adozione di sistemi di gestione documentale per individuare e correttamente conservare i documenti rilevanti. Tali sistemi dovrebbero consentire l’“autenticità, integrità, affidabilità, leggibilità e reperibilità”, dei documenti stessi. I sistemi “di posta elettronica, per loro stessa natura, non consentono di assicurare” tali caratteristiche dei documenti.

Cosa deve prevedere la policy sulla posta aziendale?

La policy aziendale e l’informativa privacy al lavoratore dovrebbero avere un contenuto sufficiente a proteggere l’azienda da sanzioni e richieste risarcitorie sia per l’utilizzo della email durante il rapporto di lavoro, sia per l’uso dell’account dell’ex dipendente.

In particolare, dovrebbero prevedere, tra l’altro:

  • che gli account di posta possono essere utilizzati solo per scopi aziendali;
  • i tempi di conservazione dei dati presenti negli account (data retention);
  • modalità e finalità della raccolta e conservazione dei dati;
  • mezzi e finalità del controllo del titolare (anche ad es. a fini disciplinari);
  • modalità di accesso al sistema da parte dell’amministratore di sistema, anche per sole finalità di servizio. Secondo il Garante tali accessi dovrebbero essere registrati tramite un sistema di log;
  • procedure di gestione dell’account dell’ex dipendente;
  • modalità di gestione dell’account in caso di assenza prolungata (v. sotto).

Non basta quindi precisare che potranno essere effettuati controlli sull’utilizzo illecito delle risorse aziendali e che in caso di violazione ci si riserva di adottare sanzioni.

L’informativa può prevedere anche l’indicazione di “effettuare periodicamente la selezione e cancellazione dei messaggi conservati, al fine di evitare eccessivi appesantimenti del sistema di gestione della posta elettronica”.

Il titolare deve essere in grado di dimostrare di aver consegnato informativa e policy al dipendente.

Cosa fare invece in caso di assenza prolungata di un dipendente?

In caso di malattia prolungata, maternità, aspettativa etc., occorre mettere a disposizione di ciascun lavoratore la possibilità di inviare automaticamente dei messaggi di risposta che contengano le “coordinate” di altro soggetto o altre utili indicazioni per contattare l’azienda.

Inoltre, come specificato dal Garante nelle Linee Guida del 01/03/2007, in caso di improrogabili necessità legate all’attività lavorativa occorre che l’interessato possa delegare un altro lavoratore di sua fiducia a leggere i messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Di tale attività dovrebbe essere redatto verbale e informato il lavoratore interessato alla prima occasione utile.

Attenzione al controllo massivo e indiscriminato

La raccolta massiva e sistematica della posta in transito sugli account aziendali, insieme alla memorizzazione e soprattutto al minuto controllo indiscriminato, costituiscono un controllo a distanza.

Anche dopo la modifica del d.lgs. 151/2015 allo Statuto dei lavoratori (L. 300/1970), non è consentito un “controllo massivo prolungato e indiscriminato dell’attività del lavoratore (provv. Garante Privacy 01/02/2018).

La casella email protetta da password personalizzate costituisce il domicilio informatico proprio del dipendente. Sulla base di questo, la Cassazione ha qualificato come reato l’accesso del superiore alla email del dipendente, che era protetta da password (sentenza n. 13057/2015).

Si ricorda infine che l’ex dipendente potrebbe esercitare i diritti dell’interessato al trattamento di cui agli art. da 15 a 22 GDPR. Occorre darvi riscontro al fine di evitare ulteriori condotte illegittime.