Utilizzo della mail aziendale del collaboratore esterno

La società Delta, operante nel settore merceologico, aveva  gestito l’account di posta elettronica aziendale di una collaboratrice esterna a sua insaputa, violando la normativa sulla privacy. La società, infatti, senza alcun preavviso né comunicazione, aveva limitato alla dipendente l’accesso all’account di posta utilizzata per le relazioni commerciali, nonostante la casella risultasse ancora attiva. La collaboratrice, dal canto suo, ha continuato a ricevere sia sul computer che sul telefono gli avvisi e le richieste di inserimento della nuova password, che era stata di nascosto modificata. L’interessata aveva fatto, quindi, segnalazione all’azienda di quanto accaduto, richiedendo il rispristino della casella di posta, la quale conteneva informazioni di lavoro e personali; non avendo ricevuto alcuna risposta da parte della società si è, così, rivolta al Garante.

CONTESTO NORMATIVO

Come noto, nel nostro ordinamento il diritto alla privacy è da intendersi come il diritto alla protezione dei dati personali o, più precisamente, come il diritto a ricevere un legittimo trattamento di tutti quei dati che siano idonei a dare informazioni inerenti alla propria persona. I dati personali, infatti, possono evidenziare aspetti anche particolarmente delicati di un individuo, come, ad esempio, quelli relativi allo stato di salute, alle scelte politiche o all’orientamento sessuale.

Lavorativamente parlando, la protezione e la riservatezza dei dati del lavoratore costituiscono un fenomeno emergente e di primaria importanza, a seguito anche del progresso tecnologico e dell’evoluzione sviluppatasi in campo informatico, dove assistiamo frequentemente alla creazione di strumenti in grado di controllare sistematicamente e analiticamente ogni singola attività svolta dal lavoratore durante lo svolgimento della propria occupazione.

Ma quando un imprenditore o un professionista può controllare il lavoratore? È possibile, ad esempio, accedere alla casella di posta aziendale assegnatagli?

Per comprendere meglio la questione è necessario definire e collocare all’interno della normativa vigente, Regolamento (UE) 2016/679, i concetti di “dato personale” e “trattamento”:

− dato personale: l’articolo 4, GDPR, definisce il dato personale come “qualsiasi informazione riguardante una persona fisica, identificata o identificabile”, quale che sia la natura del dato identificativo;

− trattamento: il trattamento del dato, in funzione del sopra citato articolo 4, GDPR, è “qualsiasi operazione” o insieme di operazioni menzionate dall’articolo 4, punto 2, Regolamento, quali “la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. Quali sono le figure coinvolte nel trattamento dei dati? Titolare, incaricato e interessato al trattamento.Il titolare del trattamento, così come definito dall’articolo 4, § 1, punto 7), Regolamento (UE) 2016/679, è la persona fisica, la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Sostanzialmente, il titolare del trattamento non è soltanto colui il quale ha la facoltà di trattare i dati personali degli interessati senza ricevere istruzioni da altri, ma è, soprattutto, colui che decide sia le ragioni che le modalità del trattamento dei dati. In linea generale, infatti, il titolare è spesso individuato nella società, ente, associazione o studio associato nel loro complesso e, pertanto, corrisponde a una persona giuridica. Il titolare è responsabile giuridicamente del rispetto degli obblighi previsti dalla normativa vigente, sia nazionale che internazionale, in materia di protezione dei dati personali. I suoi obblighi sono:

− trattamento dei dati in modo lecito, corretto e trasparente nei confronti dell’interessato;

− acquisizione del consenso dall’interessato nei casi previsti (in particolare per i minori);

− divieto di trattamento dei dati ex articolo 9, GDPR (si tratta dei dati particolari, meglio conosciuti come dati sensibili), tranne nei casi di esenzione;

− informare correttamente e in maniera trasparente gli interessati;

− garantire il rispetto dei diritti degli interessati (in particolare per i processi decisionali automatizzati);

− adottare le misure tecniche e organizzative adeguate a garantire, sin dalla fase della progettazione e per impostazione predefinita (privacy by design e by default), la tutela dei diritti dell’interessato e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente;

− in caso di contitolarità, concordare col contitolare la ripartizione delle responsabilità;

− in caso di titolare non avente sede in Europa, nominare un rappresentante nell’UE;

− vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;

− fornire le istruzioni al responsabile del trattamento;

− tenere il Registro di trattamenti;

− fornire le istruzioni e formare il personale;

− documentare le violazioni dei dati personali, notificarle al Garante e comunicarle agli interessati nei casi previsti;

− cooperare con l’Autorità di controllo quando richiesto;

− redigere le valutazioni di impatto nei casi previsti;

− nominare il DPO se previsto.

L’incaricato al trattamento

Sono incaricati del trattamento “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”. Tali figure possono, pertanto, essere solo persone fisiche, obbligatoriamente designate per iscritto dal titolare o dal responsabile del trattamento.

Nell’atto di designazione, inoltre, dev’essere indicato lo specifico ambito del trattamento consentito.

Si tratta di una figura che dev’essere obbligatoriamente individuata nelle imprese, sia private che pubbliche, dal momento che solo gli incaricati possono effettuare operazioni di trattamento dei dati personali: operazioni che devono essere svolte sotto la diretta autorità del titolare, o responsabile, attenendosi alle relative istruzioni precedentemente accordate.

L’interessato al trattamento

L’interessato al trattamento, così come previsto dall’articolo 4, § 1, punto 1), Regolamento (UE) 2016/679, è la persona fisica a cui si riferiscono i dati personali. La normativa attribuisce specifici diritti all’interessato, il quale, per la funzione di tali diritti, può rivolgersi direttamente al titolare del trattamento.

L’interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un permesso già concesso.

I diritti esercitabili dall’interessato sono:

− diritto di ottenere informazioni su quali dati sono trattati dal titolare (diritto d’informazione);

− diritto di chiedere e ottenere in forma intellegibile i dati in possesso del titolare (diritto d’accesso);

− diritto di ottenere l’aggiornamento o la rettifica dei dati conferiti;

− diritto di ottenere la cancellazione dei dati in possesso del titolare;

− esercitare l’opposizione al trattamento in tutto o in parte;

− diritto di revocare il consenso in qualsiasi momento;

− diritto di opporsi ai trattamenti automatizzati e a non essere assoggettati a trattamenti basati esclusivamente su decisioni automatizzate, compresa la profilazione;

− diritto di chiedere e ottenere la trasformazione in forma anonima dei dati;

− diritto di chiedere e ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;

− diritto alla portabilità dei dati.

IMPLICAZIONI

Nella  questione oggetto di approfondimento,  la società Delta, operante nel settore merceologico, aveva  gestito l’account di posta elettronica aziendale di una collaboratrice esterna a sua insaputa, violando la normativa sulla privacy. La società, infatti, senza alcun preavviso né comunicazione, aveva limitato alla dipendente l’accesso all’account di posta utilizzata per le relazioni commerciali, nonostante la casella risultasse ancora attiva. La collaboratrice, dal canto suo, ha continuato a ricevere sia sul computer che sul telefono gli avvisi e le richieste di inserimento della nuova password, che era stata di nascosto modificata. L’interessata aveva fatto, quindi, segnalazione all’azienda di quanto accaduto, richiedendo il rispristino della casella di posta, la quale conteneva informazioni di lavoro e personali; non avendo ricevuto alcuna risposta da parte della società si è, così, rivolta al Garante.

Il titolare del trattamento dei dati è tenuto a fornire agli interessati tutte le informazioni necessarie a chiarire la natura, le modalità e le finalità del trattamento e gli ulteriori diritti esercitabili dall’interessato. Queste informazioni devono essere fornite in modo “coinciso, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro”.

Tra i diversi documenti previsti dal Regolamento, l’informativa è quello che, grazie anche alla possibilità di essere resa sotto forma di infografica, può soddisfare i requisiti indicati.

Partendo dalle definizioni e dalle condizioni sopra esposte, sono molteplici gli aspetti da tenere in considerazione per la gestione della mail aziendale affidata al lavoratore.

Il titolare del trattamento può controllare la mail aziendale dei lavoratori?

Già nel 2007, il Garante privacy era intervenuto sulla questione, specificando che “i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali; spetta dunque al datore di lavoro definire le modalità d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali”.

L’Autorità ha fornito alcune indicazioni attraverso le linee guida per posta elettronica e internet, tutt’oggi ancora valide e applicabili.

Come prima cosa, il Garante ha stabilito che i datori di lavoro (o committenti) sono tenuti a informare con chiarezza e in modo dettagliato i lavoratori circa le modalità di utilizzo della posta elettronica e circa la possibilità che vengano effettuati dei controlli.

Il Garante ha, inoltre, vietato la lettura e la registrazione sistematica delle e-mail, in quanto ciò significherebbe un controllo a distanza dell’attività lavorativa, precluso, altresì, dallo Statuto dei lavoratori, in caso di controllo svolto sui lavoratori dipendenti.

Quali possono essere i punti di attenzione da non trascurare nella gestione della posta elettronica aziendale? Un esempio è fornito dagli account di posta aziendale composti da nome e cognome, che, sebbene accompagnati dal dominio aziendale, sono a tutti gli effetti dati personali e, per questo motivo, richiedono la corretta applicazione delle tutele imposte dalla normativa in materia di privacy.

Il Garante stesso, nelle sue linee guida, consiglia al titolare del trattamento:

− di mettere a disposizione anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;

− valutare la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato a un uso personale;

− prevedere, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

− dare la possibilità al dipendente di delegare un altro lavoratore di fiducia (formalmente identificato) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

Attribuire ai lavoratori account di posta nominativi non è una scelta da escludere a priori, ma deve semplicemente essere ben regolamentata per non incorrere in problematiche future. Per fare ciò sarebbe auspicabile la redazione di una policy aziendale, che deve tenere conto della realtà lavorativa, delle effettive esigenze aziendali e, soprattutto, della normativa in materia di privacy.

RISOLUZIONE SECONDO NORMA

Come abbiamo avuto modo di delineare nel corso dell’approfondimento il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale. Una regolamentazione aziendale può essere un valido strumento di gestione e informazione in relazione alle modalità di corretta gestione delle procedure aziendali in ottica privacy; fra le attività da attenzionare e regolamentare trovano uno spazio strategico l’utilizzo della connessione internet (in relazione all’accesso a portali, social network e siti di e-commerce) e la gestione delle attività collegate all’utilizzo della posta elettronica.

Si propone, di seguito, un esempio di come dev’essere compilata correttamente una policy privacy aziendale in relazione alla gestione della posta elettronica:

Fac simile di policy privacy per gestire la posta elettronica aziendale

Il servizio di posta elettronica viene fornito per permettere la comunicazione con soggetti terzi interni ed esterni per le finalità del titolare del trattamento del dato e in stretta connessione con l’effettiva attività e mansioni del lavoratore che utilizza tale funzionalità.

Al fine di non compromettere la sicurezza della struttura e di prevenire conseguenze legali a carico del titolare del trattamento del dato, bisogna adottare le seguenti norme comportamentali:

1. se si ricevono mail da destinatari sconosciuti contenenti file di qualsiasi tipo, procedere alla loro immediata eliminazione;

2. è fatto divieto di utilizzare le caselle di posta elettronica per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mail list, salvo diversa ed esplicita autorizzazione;

3. la casella di posta elettronica assegnata dev’essere mantenuta in ordine, cancellando i documenti inutili, specialmente se contengono allegati ingombranti come dimensione; tale operazione dev’essere svolta mensilmente e in funzione delle modalità di trattamento del dato stabilito dalla presente policy;

4. nell’ipotesi in cui l’email debba essere utilizzata per la trasmissione di dati particolari (ex dati sensibili), si raccomanda di prestare attenzione a che:

• l’indirizzo del destinatario sia stato correttamente digitato,

• l’oggetto del messaggio non contenga direttamente il riferimento a stati, fatti o qualità idonei a rivelare dati di natura sensibile;

• nel corpo del messaggio sia presente un’intestazione standardizzata in cui si avverta della confidenzialità/riservatezza del messaggio;

• ove il documento contenente dati particolari sia un allegato alla mail, questo dev’essere protetto da password, precedentemente concordata con il destinatario e comunicata tramite indirizzo pec; l’elenco delle password assegnate sarà salvato in apposita cartella nel server cloud dell’azienda (percorso: _________________);

5. al fine di analizzare e valutare eventuali data breach, è stata applicata un’impostazione che prevede l’invio in copia conoscenza al titolare del trattamento del dato di tutti i messaggi di posta elettronica in uscita; tale impostazione è automatica, pertanto l’incaricato non dovrà intervenire manualmente; inoltre, tale disposizione non rileva ai fini del controllo delle attività del lavoratore e non può comportare eventuali richiami disciplinari, nel rispetto delle previsioni della L. 300/1970.

È utile ricordare inoltre che non solo le caselle di posta elettronica dei lavoratori in forza comporta la necessità di intervento e gestione da parte del titolare del trattamento del dato, ma anche quelle dei lavoratori non più in forza.

In caso di interruzione del rapporto di lavoro, il Garante suggerisce di disattivare e rimuovere la casella aziendale, predisponendo sistemi che prevengano la ricezione dei messaggi e informando i soggetti terzi, con sistemi automatici, che quell’account è stato disattivato (indicando nuovi recapiti alternativi).

L’Autorità, infatti, con un  provvedimento del 4 dicembre 2019 ha ribadito che la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica commette un illecito.

I principi sulla protezione dei dati impongono al datore di lavoro la tutela della riservatezza anche dell’ex dipendente: subito dopo la cessazione del rapporto di lavoro, infatti, un’azienda deve necessariamente rimuovere gli account di posta elettronica riconducibili al dipendente cessato, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

RISOLUZIONE CASO PRATICO

Alla luce delle premesse normative e delle considerazioni esposte in precedenza al termine dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo speciale privacy della Guardia di Finanza, il Garante ha riaffermato gli obblighi informativi nonché quelli riguardanti la corretta gestione della casella di posta aziendale a carico della società, sottolineando che i collaboratori esterni sono titolari degli stessi diritti del lavoratore dipendente.

“Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il titolare del trattamento deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale”.

Sono diverse le violazioni contestate all’azienda:

− omesso riscontro alla richiesta di informazioni del Garante;

− inosservanza del principio di limitazione della conservazione dei dati;

− mancata documentazione del rilascio di un’idonea informativa;

− mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale.

Una volta accertate le violazioni, l’Autorità garante ha imposto alla società il pagamento della sanzione nella misura pari a 50.000 euro.

Inoltre, all’azienda è stato imposto di autorizzare l’accesso della lavoratrice al suo account di posta, permettendole di recuperare la corrispondenza, disattivare l’account e informare clienti e fornitori con indirizzi alternativi. All’azienda è stata fatta salva la possibilità di trattare i dati estratti dalla casella di posta esclusivamente per la tutela dei diritti in sede giudiziaria e soltanto per il tempo necessario a tale scopo; le è stato imposto, inoltre, di rilasciare a tutti i suoi lavoratori un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di internet e della posta elettronica aziendale.
 Il corretto utilizzo e la gestione compliance della posta elettronica costituiscono un elemento di organizzazione dell’attività lavorativa peculiare e delicato: se, da un lato, è necessario garantire la continuità aziendale, dall’altro, dev’essere garantito il rispetto delle normative in materia di privacy che tutelano l’interessato al trattamento del dato.

Il rispetto delle previsioni del Regolamento (UE) 2016/679 non è l’unico elemento di cui tenere conto; sono, infatti, di primaria importanza le disposizioni impartite dallo Statuto dei lavoratori, che vietano il controllo a distanza del lavoratore, anche per mezzo della posta elettronica.

Una soluzione che possa garantire la soddisfazione di tutte le parti consiste nella predisposizione di una regolamentazione aziendale, che ha il duplice compito di fornire istruzioni operative per l’uso e definire le informazioni utili e necessarie per la corretta attività dei lavoratori coinvolti.