Illecito accesso alla mail dei dipendenti: tutela dei dipendenti e accountability della società

In questa ottica il Garante ha ricordato che è sempre opportuno che il datore di lavoro valuti in maniera corretta il bilanciamento tra gli interessi della società e i diritti del lavoratore, tuttavia come fare? 

Tema sempre molto attenzionato dal Garante riguarda il controllo dell’attività del lavoratore attraverso l’accesso alla mail aziendale del dipendente.

Il Garante si è pronunciato più volte su questi temi (di recente con l’ordinanza n. 9861827 dell’11.01.2023) e ha evidenziato come spesso, in questi casi, si possa verificare un accesso illegittimo alla mail aziendale del dipendente in quanto si è in assenza di idonea base giuridica per il trattamento e/o vi è l’assenza di adeguata informativa ai sensi dell’art. 13 del GDPR. 

In questo contesto diventa centrale e dirimente il corretto bilanciamento di interessi tra la tutela dei diritti del lavoratore e gli intessi legittimi perseguiti dall’azienda, al fine di definire quando il controllo della mail aziendale può essere ritenuto legittimo e, soprattutto, quali misure debbano essere adottate per renderlo tale.

Con l’ordinanza dell’11.01.2023 il Garante ha rilevato come la società coinvolta avesse effettuato un accesso illegittimo alla posta elettronica di un collaboratore cessato, prevedendo altresì un sistema automatico di inoltro a diverso soggetto.

Infatti, a seguito dell’interruzione improvvisa del rapporto di collaborazione, la società non aveva disattivato l’account mail aziendale del collaboratore dal momento che esso era necessario: i) sia per poter ricontattare i potenziali clienti incontrati dal collaboratore all’evento fieristico a cui aveva partecipato (e quindi per esigenze di gestione dei rapporti con gli stessi); ii) sia per tutelare l’interesse –altrettanto legittimo- di esercizio dei propri diritti in sede giudiziaria.

Il Garante ha evidenziato che, nel caso di specie, né l’esigenza di mantenere i rapporti con i potenziali clienti, né l’interesse a difendere un proprio diritto in giudizio potevano legittimare l’assenza di un’idonea base giuridica che consentisse alla società di accedere alla casella di posta elettronica del collaboratore. Il Garante ha precisato che, in via generale, il legittimo interesse del titolare (ad es. per la difesa in giudizio) deve comunque essere bilanciato con il diritto del lavoratore alla riservatezza della corrispondenza, tanto più se questo attiene ad un diritto tutelato a livello costituzionale.

Inoltre, sempre secondo il Garante, la società non aveva preventivamente fornito al collaboratore un’informativa privacy ai sensi dell’art. 13 del GDPR, in cui avrebbe dovuto rendere adeguatamente edotto il collaboratore dei casi di potenziale accesso al suo account di posta elettronica aziendale.

Dall’analisi del provvedimento emerge come il datore di lavoro sia sempre tenuto ad erogare ai propri lavoratori (sia dipendenti che collaboratori) apposita informativa che, in modo chiaro e trasparente, informi il lavoratore dell’eventualità del trattamento prima dell’effettivo controllo. Il Garante ricorda che le finalità da indicare nell’informativa per tali tipologie di controlli possono essere connesse a specifiche esigenze organizzative, produttive e di sicurezza del lavoro (ex art. 4, secondo comma, l.n.300/1970), oppure possono anche riguardare l’esercizio di un diritto in sede giudiziaria.

Inoltre, i datori di lavoro devono porre particolare attenzione soprattutto allo svolgimento di uno specifico ed accurato bilanciamento tra le proprie esigenze di business e la tutela dei diritti del lavoratore. Il tema del bilanciamento è un aspetto essenziale in quanto il diritto alla riservatezza non solo è tutelato dalla costituzione italiana, ma anche dalla Corte Europea dei Diritti dell’Uomo (CEDU), che in più occasioni si è espressa affermando, in caso di controlli illegittimi sull’account aziendale da parte del datore di lavoro, il prevalente diritto alla tutela della riservatezza della corrispondenza del lavoratore previsto dall’art 8 CEDU (vedi ad es. caso Barbulescu v. Romania).

Le considerazioni sopra esposte sono state riprese più volte dal Garante in provvedimenti analoghi (es. ordinanza n. 9771545 del 7.04.2022 e ordinanza 9809466 del 21.07.2022). In questi provvedimenti l’autorità ha sempre ribadito al datore di lavoro la necessità che il dipendente (o collaboratore) sia preventivamente informato del trattamento.

In considerazione della numerosità di questi casi, già nel 2007 il Garante aveva sentito l’esigenza di prevedere specifiche Linee guida “sulla posta elettronica e internet” le quali, sebbene risalenti, ancora oggi stabiliscono idonee misure di sicurezza che i datori di lavoro devono adottare per assicurare che il trattamento relativo al controllo dell’account di posta elettronica del dipendente sia conforme alle disposizioni in tema di protezione dei dati personali.

Le linee guida prevedono in particolare che il datore di lavoro, in qualità di titolare del trattamento, debba:

Ad integrazione è importante ricordare che con la recente ordinanza n. 9833530 del 1.12.2022, il Garante ha rilevato come anche la conservazione per lunghi periodi di tempo dei metadati relativi all’utilizzo della posta elettronica dei dipendenti (ossia le tracce delle e-mail, quali il giorno e l’ora dell’invio, il mittente, il destinatario, l’oggetto e la dimensione dell’email stessa), può comportare il monitoraggio dell’attività lavorativa dei dipendenti ed è pertanto necessario adottare adeguate garanzie procedurali previste dall’art. 4, comma 1, St. Lav. sia di un’adeguata informativa ai sensi del 3 comma art. 4 Stat. Lav. e 13 del GDPR (qui per maggiori approfondimenti). 

In conclusione, è importante ricordare che, anche in caso di adozione delle misure sopra descritte, l’eventuale controllo risulterà lecito solo se saranno rispettati i principi di minimizzazione e proporzionalità previsti dal GDPR, ossia dovranno comunque essere esclusi controlli prolungati, costanti o indiscriminati.