Archiviazione delle e-mail aziendali: tra privacy, controllo e organizzazione del lavoro

L’archiviazione e il controllo delle e-mail aziendali rappresentano un tema di persistente che appare sempre attuale nonostante, ormai, da qualche anno la procedura si sia stabilizzata.

Sempre più spesso i collaboratori e le collaboratrici, pur sapendo che le e-mail sono strumenti di lavoro, le utilizzano anche per condividere dati personali, opinioni, informazioni sensibili e corrispondenza privata. Da qui nasce un conflitto costante tra le esigenze organizzative del datore di lavoro e il diritto alla riservatezza del lavoratore.

Nel sempre più mutato assetto lavorativo che rende indispensabile la comunicazione digitale, il datore di lavoro ha la necessità di conservare la corrispondenza per ragioni di sicurezza, continuità operativa e difesa in giudizio.

Questa esigenza può incontrare, tuttavia, il limite e/o il bilanciamento dei principi contenuti nello Statuto dei lavoratori, nel Regolamento (UE) 2016/679 (GDPR) e nei numerosi del Garante per la privacy.

Lo Statuto dei Lavoratori e il GDPR

Seppure la normativa europea sia giuridicamente sovraordinata rispetto alla Legge italiana nella concretezza del quotidiano è però più immediatamente focalizzante l’art. 4 dello Statuto dei lavoratori (L. n. 300/70).

In particolare, le previsioni di detta fattispecie sanciscono il divieto di utilizzo di strumenti di controllo a distanza, fatte salve le esigenze organizzative, produttive o di sicurezza e, in ogni caso, sempre previo accordo sindacale o autorizzazione dell’Ispettorato del lavoro.

La posta elettronica ben può inserirsi in tale contesto perché, anche se indirettamente, può comportare il monitoraggio dell’attività del lavoratore rendendo necessario uno specifico intervento del datore di lavoro per istituire un protocollo ad hoc

Il GDPR, invece, introduce principi generali: liceità, correttezza, trasparenza, minimizzazione dei dati e limitazione della conservazione. Stabilisce infatti che qualsiasi trattamento di dati personali, compresa l’archiviazione automatica delle e-mail, deve rispondere a questi requisiti.

Da ultimo vi sono i provvedimenti del Garante della Privacy che interviene sia in via autonoma che a fronte di segnalazioni. Nel primo caso, ad es., già nel 2007 e poi con la revisione del 2024 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10026277) il Garante ha stabilito linee guida importantissime volte a bilanciare i contrapposti interessi delle parti.

Tra le principali specifiche:

• L’illeceità del monitoraggio massivo e sistematico della posta elettronica
• La legittimità dell’archiviazione solo per finalità specifiche come la sicurezza informatica e la difesa in giudizio
• L’esistenza di un’informativa chiara e preventiva ai lavoratori, con indicazione delle modalità di conservazione, dei tempi e dei soggetti che possono accedere ai dati
• Tracciabilità degli accessi e limitazione ad alcune figure autorizzate
• Limitatezza del mantenimento in attività della casella di posta di un dipendente cessato e con accesso solo per per esigenze comprovate.

Le finalità legittime dell’archiviazione

Il datore di lavoro può procedere con l’archiviazione automatica delle e-mail per diverse finalità legittime, tra cui:

• Sicurezza informatica: prevenzione di attacchi, perdita di dati o uso improprio del sistema aziendale;
• Stabilità operativa: conservazione dei messaggi rilevanti per l’attività aziendale in caso di assenza o cessazione del dipendente;
• Trasferimento dati a vari professionisti: conservazione di dati per finalità fiscali, amministrative o giudiziarie;
• Tutela dei diritti in giudizio: utilizzo delle e-mail come prove nei contenziosi.

Al fine di procedere legittimamente, però, le finalità devono essere dichiarate in modo trasparente e annotate nel registro dei trattamenti.

Cosa significa per i lavoratori e per l’azienda

Per i lavoratori, la trasparenza delle iniziative datoriali è il primo strumento di tutela.

In tema di e-mail vi deve, infatti, essere chiarezza sulle archiviazioni e sulle metodologie connesse, sul tempo e le persone che sono in grado di visionarle, i motivi del trattamento e i loro diritti di accesso, rettifica o cancellazione dei dati.

Per questo è indispensabile dotare l’azienda di specifiche policy di sicurezza della posta elettronica.

Per le aziende, invece, la corretta gestione della posta elettronica è anche una forma di prevenzione del contenzioso. Una policy che descriva esattamente tutti protocolli e che sia veramente informativa riduce il rischio di sanzioni e consente di utilizzare in giudizio le e-mail come prove legittime.

Cosa fare quindi?

Per garantire il rispetto di tutto quanto sin qui evidenziato le aziende devono rivedere e riorganizzare, in ottica compliance con il GDPR e le prassi del Garante privacy tutto l’impianto:

1. Policy aziendale con finalità, tempi di conservazione, accesso, recesso
2. Coinvolgimento, ove possibile, nella revisione della policy con le rappresentanze sindacali
3. Formazione del personale affinché sia concretamente edotto dei protocolli aziendali
4. Limiti temporali di accesso certi

Conclusione

Nella mia esperienza diretta il tema delle e-mail è qualcosa che spesso viene tralasciato come se da un lato, fosse normale controllare tutto il flusso sia in presenza del dipendente ma anche dopo la cessazione del rapporto e dall’altro lato, si potesse utilizzare sempre la e-mail come uno strumento personale.

Sempre di più le aziende orientano il proprio impianto di posta elettronica con e-mail personalizzate pensando di gestirne i contenuti come se fossero anonime.

Ecco che quindi è importante che tutti i consulenti che gravitano attorno all’azienda trasferiscano ai clienti quanto sia importante non sottovalutare la corretta adozione di un protocollo.