Quando è lecito controllare la posta elettronica aziendale di un dipendente senza violare la sua privacy?

Data pubblicazione: 09/05/2022

Una recente sentenza del Tribunale di Genova, relativa a una dipendente licenziata dopo che il datore di lavoro controllando la sua e-mail aveva scoperto che aveva inviato dati riservati, ha permesso di approfondire il tema della liceità o meno delle verifiche sull’email di un lavoratore dipendente anche per scopi difensivi.

Esistono posizioni in contrasto tra gli addetti ai lavori rispetto al quale si fa riferimento al Provvedimento generale dell’Autorità Garante per la protezione dei dati personali del 1° marzo 2007 che, benché datato, trova ancora valido.

Non poche, poi, sono le questioni sorte sulla legittimità o meno dell’accesso, da parte del datore di lavoro o del responsabile, alla casella di posta elettronica aziendale del dipendente.

La problematica non è semplice ed il Garante è intervenuto già da tempo con un Provvedimento nel quale ha chiarito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi del tutto eccezionali.

É innanzitutto compito del datore di lavoro definire le modalità d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

Ma cosa succede nel caso di messaggi inerenti al rapporto di lavoro? Anche in questo caso opera il divieto di controllo?

L’Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli tramite una Privacy Policy interna. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori (art. 4).

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.

Il Provvedimento raccomanda l’adozione da parte delle aziende di un disciplinare interno, coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.

Per quanto riguarda l’accesso ad Internet è opportuno, ad esempio:

  • individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
  • utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list.

Per quanto riguarda la posta elettronica, è opportuno che l’azienda:

  • renda disponibili anche indirizzi condivisi tra più lavoratori rendendo così chiara la natura non privata della corrispondenza;
  • valuti la possibilità di attribuire al lavoratore un altro indirizzo destinato ad un uso personale;
  • preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
  • metta in grado il dipendente di delegare un altro lavoratore a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto o di ufficio, in modo da individuare l’area da richiamare all’osservanza delle regole. Ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Il ragionamento della Corte, in tal senso, è chiaro: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori, è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate, o gli apparecchi di rilevazione di telefonate ingiustificate”.

Con la pronuncia n. 15892 del 2007, la Corte ha tuttavia ammesso un limite, affermando che i controlli difensivi non possono giustificare l’annullamento di ogni garanzia.

Inoltre, più di recente, la stessa Corte di Cassazione con la sentenza n. 22662 dell’8 novembre 2016, ha affermato che “in tema di controllo del lavoratore, le garanzie procedurali imposte dall’art. 4, secondo comma, legge n. 300/1970, per l’installazione di impianti e apparecchiature di controllo, richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, dai quali derivi la possibilità di verifica a distanza dell’attività dei lavoratori, trovano applicazione ai controlli, c.d. difensivi, diretti ad accertare comportamenti illeciti dei lavoratori, quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso”.

Fonte: Federprivacy