L’ACCOUNT DI POSTA ELETTRONICA NEI RAPPORTI DI LAVORO

di Andrea Federici*

“Oggi non è che un giorno qualunque di tutti i giorni che verranno. Ma quello che accadrà in tutti gli altri giorni che verranno può dipendere da quello che farai oggi”.1

Nella pratica del diritto del lavoro, sempre più di sovente, ci si confronta con aspetti tecnici informatici che hanno riflessi in materia di organizzazione del personale.

Tra gli altri, è quanto accade dovendo affrontare la correlazione tra diritto alla riservatezza dei dipendenti e collaboratori e casella e-mail aziendale individualizzata. È principio ormai consolidato che il nome e cognome, ancorché accompagnati dal dominio aziendale, sono a tutti gli effetti dati personali del dipendente o collaboratore e, per questo, soggetti alle tutele di legge.

1 Ernest Hemingway, Per chi suona la campana

Un recente provvedimento del Garante per la protezione dei dati personali (provvedimento del 17 luglio 2024) è occasione per condividere alcune riflessioni che riportano all’attenzione l’importanza di pianificare anzitempo l’organizzazione del personale, in particolare rispetto agli strumenti informatici affidati, ancorché gli effetti positivi, ritengo, non possano apprezzarsi nell’immediatezza, ma solo a conclamata “patologia”, conseguente al rilievo disciplinare o allo scioglimento del rapporto lavorativo o di collaborazione.

Il menzionato provvedimento del Garante trae origine da un contenzioso incardinato innanzi alla Sezione specializzata in materia di impresa del Tribunale di Venezia già in sede cautelare (RG n. 4897/2021 -Giudice Lisa Torresan), nel quale l’impresa ricorrente imputava ad un proprio agente di commercio di avere, con la collaborazione di alcuni dipendenti, dato forma ad un disegno illecito, finalizzato a sottrarre informazioni segrete o comunque riservate di natura commerciale.

Tra gli elementi di prova, l’impresa ricorrente aveva allegato copiosa corrispondenza elettronica dei resistenti, acquisita mantenendo attivo l’account aziendale e accedendo al contenuto di tutta la corrispondenza transitata nello stesso profilo di posta elettronica individualizzato.

Ed è proprio sulla conservazione di tali dati o, meglio, sull’attività di indagine sul contenuto della posta elettronica dell’agente mediante accesso all’applicativo Mail Store installato sui pc aziendali, che si è concentrata l’attività istruttoria del Garante, risoltosi nel provvedimento citato e che ha condotto l’autorità a dichiarare illegittimo il trattamento operato dall’impresa e, tra le altre, ingiungendo il pagamento di una consistente sanzione pecuniaria di euro 80.000,00.

In sintesi, vengono esaminati due fondamentali documenti aziendali: da un lato, l’informativa rilasciata dal titolare del trattamento, dall’altro il regolamento aziendale e, in particolare, quanto avente ad oggetto “attrezzatura utilizzata dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze”.

Il Garante evidenzia come l’informativa rilasciata ai dipendenti e collaboratori risultava essere generica, nella misura in cui prevedeva: “la conservazione dei dati personali unicamente per consentire l’espletamento di tutti gli adempimenti connessi o derivanti dal rapporto di lavoro, indicando come tempo di conservazione il termine di dieci anni …(omissis)”; dall’altro, il regolamento, informava il dipendente (interessato) che: “ (omissis) …è informato della elaborazione di log degli accessi alla posta elettronica e al gestionale che sono conservati per una durata di almeno sei mesi”.

In realtà, rileva il Garante, nessuna informazione veniva fornita in merito alla possibilità di effettuare back up del contenuto della casella individuale di posta elettronica in costanza di rapporto, né in ordine al contenuto archiviato successivamente alla cessazione dello stesso per un periodo di ulteriori tre anni. Parimenti carente risultava l’informazione in ordine alla finalità di analizzare le e-mail presenti nell’account aziendale e verificarne in contenuto, finalità ultronea a quella dichiarata, ovvero garantire la sicurezza dei sistemi informatici.

Sotto altro profilo, il Garante sottolinea come il trattamento che la società ha effettuato in qualità di datore di lavoro sui dati contenuti nella casella di posta elettronica (inviata e ricevuta) assegnata ai propri dipendenti è idoneo a consentire un’attività di controllo sull’attività dei lavoratori in violazione di quanto previsto dall’art. 4 della legge 300 del 20.5.1970 ove, anche se si realizzasse una delle finalità tassativamente indicate dall’art. 4, comma 1 della citata disposizione, la Società non ha attivato le procedure di garanzia ivi previste, ovvero accordo con le rappresentanze sindacali o, in assenza, di autorizzazione dell’Ispettorato territoriale del lavoro, con questo risultando certamente illegittimo tale trattamento.

Per ampliare l’argomento di dissertazione, i principi qui espressi richiamano alla mente la pronuncia della Grande Camera della Corte Europea dei Diritti dell’Uomo del 7.9.2017, Caso Barbulescu v. Romania (application n. 61496/2008). La Grande Camera si è espressa in favore delle ragioni del dipendente, difformemente alla Corte Nazionale, ritenendo essenziali i principi di garanzia procedurale e di proporzionalità, nel bilanciamento tra rispetto della vita privata del dipendete ed esigenze, anche disciplinari, della parte datoriale. Secondo i Giudici di Strasburgo, principi ineliminabili di tale bilanciamento sono:

1. a) che il lavoratore sia informato preventivamente e in modo chiaro sulla possibilità che il datore di lavoro monitori la corrispondenza e altre comunicazioni;
2. b) che siano fornite indicazioni precise e circostanziate sulla natura di tale controllo;
3. c) sia effettuata una valutazione del grado e dell’ampiezza dell’intrusione, tenendo conto del tempo e del numero di soggetti che possono accedere ai contenuti archiviati;
4. d) esistenza di fondati motivi che legittimino il controllo delle comunicazioni e l’accesso al loro contenuto, dal momento che per sua natura tale processo è di tipo invasivo;
5. e) possibilità di istituire un sistema di monitoraggio meno intrusivo, valutando, caso per caso, se l’obiettivo perseguito dal datore di lavoro possa essere raggiunto senza accedere direttamente al contenuto completo delle comunicazioni del lavoratore;
6. f) le conseguenze del monitoraggio del lavoratore e dell’utilizzo da parte del datore di lavoro dei risultati dell’operazione di controllo;
7. g) l’esistenza di adeguate garanzie per il lavoratore.

In linea con i contenuti espressi appare, quindi, che il datore di lavoro debba prestare la massima attenzione e attentamente pianificare l’introduzione di sistemi di conservazione delle e-mail aziendali individualizzate concesse in uso al proprio personale dipendente e collaboratori, non solo agendo, in via preventiva sullo specifico contenuto del proprio regolamento aziendale secondo i richiamati principi e dandone specifica informazione al dipendete, ma valutando altresì caso per caso, se l’introduzione di nuove tecnologie comporti riflessi di controllo sull’attività del dipendente e, per questo, da sottoporre alle garanzie e limiti di cui all’art. 4 della legge 300 del 20.5.1970.

Solo la costruzione di un processo organizzativo ragionato ab origine potrà consentire alla parte datoriale il legittimo esercizio del trattamento dei dati acquisiti e, se del caso, il conseguente potere disciplinare, senza incorrere in prevedibili responsabilità e sanzioni.

*Avvocato in Bologna