In ambito lavorativo, la posta elettronica aziendale e, in particolare le e-mail personali (nome – cognome – dominio aziendale) rappresentano dati personali ai sensi dell’articolo 4, paragrafo 1 del GDPR- Regolamento europeo sulla protezione dati. Ad oggi, le indicazioni e i provvedimenti nell’ambito di corretto trattamento della posta elettronica sia per il datore di lavoro che per il dipendente sono molteplici.
Disciplinare e informativa
I mezzi aziendali più idonei per regolamentare l’utilizzo corretto della posta elettronica di ogni organizzazione sono: il disciplinare e l’informativa privacy.
Il disciplinare contiene tutte le regole e condotte che i lavoratori sono tenuti a rispettare, tra cui le prassi aziendali e la modalità di utilizzo dei mezzi a disposizioni dei dipendenti. Questo documento deve essere diffuso all’interno di tutti i canali dell’azienda, oltre ad essere aggiornato periodicamente.
Invece, l’informativa privacy racchiude tutti i dati personali che verranno trattati, le finalità e la base giuridica del trattamento. È fondamentale che il datore di lavoro trasmetta l’informativa al dipendente prima della raccolta dei dati, oltre a richiederne il suo consenso per le finalità necessarie dei trattamenti.
Comunicazione e archiviazione
La Raccomandazione CM/REC (2015) 5 stabilisce che l’archiviazione del contenuto della mail di un lavoratore, svolta prima della sua partenza, contenga solo i dati rilevanti solo per il tempo necessario.
Tuttavia, la posta elettronica è considerata come mezzo di comunicazione e non di archiviazione, in quanto non permette una conservazione sicura. Il Garante ha stabilito che la posta elettronica non è considerato un sistema di gestione documentale e, conseguentemente, dichiara la necessità dell’implementazione di sistemi di conservazione idonei che, come indicato nel Provv. n. 214 del 29 Ottobre 2020 “siano in grado di individuare selettivamente i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere man mano archiviati con modalità idonee a garantire che le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile”.
Diritti del lavoratore
Il controllo sulla posta elettronica aziendale deve rispettare i diritti del lavoratore.
È essenziale che l’organizzazione, per effettuare un monitoraggio legittimo, garantisca la proporzionalità e le garanzie procedurali contro l’arbitrarietà del datore di lavoro. In aggiunta, è importante che:
- Il lavoratore consenta il controllo della posta elettronica, come previsto dal regolamento aziendale;
- Il datore di lavoro avvisi il lavoratore della possibilità che le comunicazioni effettuate sul pc aziendale possano essere monitorate, con adeguate garanzie al dipendente sul suo grado di invasività delle misure di sorveglianza;
- Vi sia un’opportuna giustificazione all’uso della sorveglianza del datore di lavoro e alla sua estensione con motivi legittimi;
- Il controllo, in base alle circostanze specifiche di ciascun caso, venga effettuato causando un’invasione minima della vita privata del dipendente;
- L’utilizzo dei risultati della misura di monitoraggio e la loro eventuale utilità per raggiungere lo scopo dichiarato della misura vengano valutati;
Indicazioni i per l’utilizzo della posta elettronica per un dipendente
Le accortezze generali per la gestione completa della posta elettronica si ritrovano sia nelle Linee Guida del Garante per posta elettronica e internet di Marzo 2007 che nella Raccomandazione CM/REC (2015) 5 del Comitato dei Ministri degli Stati membri sul trattamento dei dati personali in ambito lavorativo, nonché nel documento relativo alla Policy aziendale.
In termini generali, l’accesso alla posta elettronica da parte del datore di lavoro è consentito solo in caso di necessità e per motivi legittimi, nel rispetto per principio di segretezza. Invece, il monitoraggio del contenuto, invio e ricezione delle mail non è autorizzato.
Inoltre, nel caso di assenza del lavoratore, è raccomandata la possibilità di delegare un altro dipendente alla trasmissione e al controllo delle sue mail, se rilevanti per l’organizzazione.
Indicazioni generali per l’utilizzo della posta elettronica di un ex dipendente
Nel momento in cui il dipendente lascia l’azienda, è necessario che il suo account personale venga subito disattivato. Se l’azienda ha bisogno di recuperare il contenuto dell’account, per motivi leciti, è necessario farlo prima della sua partenza. Inoltre, deve essere adottato un sistema di risposta automatica con l’indicazione di un nuovo indirizzo mail a cui rivolgersi. Infine, il Garante ha stabilito che, entro tre mesi dalla partenza del ex-dipendente, il suo account venga eliminato.
