Molte delle aziende che incontro per la prima volta non hanno chiaro quando possono accedere all’account email del proprio dipendente.
Solo pochi giorni fa mi è capitato un caso emblematico: un imprenditore era – erroneamente – convinto di poter avere copia di tutte le email inviate e ricevute da un proprio dipendente dimissionario nell’ultimo periodo di attività per semplificare, in questo modo, il passaggio di consegne.
Niente di più sbagliato ma, per esperienza professionale, convinzioni errate di queste genere, soprattutto nell’ambito delle PMI, sono molto più frequenti di quanto si immagini e possono costare molto caro alle imprese.
Ho già affrontato il tema in passato ma l’argomento è così importante che è bene ripassare quali siano le tre regole fondamentali che un imprenditore deve assolutamente conoscere.
Prima regola: controllare la posta elettronica di un dipendente equivale ad una violazione del diritto ad avere una vita privata ed una propria corrispondenza; le email di lavoro sono equiparate al domicilio e alla corrispondenza (Corte Europea dei Diritti dell’Uomo nel 2017).
Pertanto, il datore di lavoro può accedere alle email del dipendente solo a condizione che il dipendente sia stato preventivamente informato dell’esistenza di un controllo sul proprio account email aziendale, delle modalità e delle motivazioni di tale controllo.
Serve, quindi, una policy rigorosa e dettagliata.
Seconda regola: l’azienda che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e/o accede alle email contenute nella sua casella di posta elettronica commette un illecito (Garante per la Protezione dei Dati Personali, 20 dicembre 2019).
Questa regola si applica anche se l’intenzione del datore di lavoro fosse, in ipotesi, quella di avere conferma di sospetti o indizi circa presunte infedeltà del dipendente.
Terza regola: anche in presenza di un’apposita policy aziendale, per effettuare lecitamente una verifica dell’account email del lavoratore, il datore di lavoro deve preliminarmente aver assolto l’obbligo di informativa ex art. 13 Regolamento UE 2016/679, rappresentando al dipendente “con chiarezza le finalità e modalità della prospettata conservazione delle email nonché le ipotesi nelle quali il datore di lavoro si riserva di effettuare controlli in conformità alla legge indicando le ragioni legittime – specifiche e non generiche – per cui verrebbero effettuati e le relative modalità” (Ordinanza del Garante per la Protezione dei Dati Personali del 29 ottobre 2020).
Pertanto, in caso di cessazione del rapporto di lavoro, il datore di lavoro deve:
(a) disattivare subito l’account del dipendente;
(b) adottare sistemi automatici per informare i terzi e fornire indirizzi alternativi;
(c) inibire in via definitiva la ricezione in entrata di messaggi diretti all’account dell’ex dipendente;
(d) non conservare le email dell’account cessato su server aziendali e, comunque, stabilire un un termine di data retention adeguato (e tendenzialmente breve).
Il mio consiglio è, in ogni caso, di affidarvi ad un consulente esperto e preparato che possa consigliarvi al meglio, tenendo conto delle vostre specifiche peculiarità organizzative.