Jobs Act, Statuto dei Lavoratori e Linee Guida del Garante Privacy si esprimono sui diritti e sui doveri del datore di lavoro nei confronti delle email dei dipendenti.

email-aziendali-controllo-del-datore-di-lavoro

Le novità del Jobs Act in materia di controllo a distanza dei dipendenti hanno toccato solo minimamente il rispetto dei principi di cui all’art.4, comma 2, dello Statuto dei Lavoratori, secondo cui gli impianti e le apparecchiature di controllo dai quali derivi la possibilità di monitorare l’attività del lavoratore possono essere installati previo accordo con le rappresentanze  sindacali aziendali (R.S.U.) o, in mancanza di queste, con la commissione interna.

Alla luce della normativa vigente, è bene chiedersi se posta elettronica e connessione internet rientrino o meno nella previsione dell’art.4 dello Statuto, trattandosi di strumenti che rendono possibile il controllo a distanza delle attività del lavoratore tramite, ad esempio, la registrazione dei log della navigazione o mediante la consultazione dei messaggi di posta elettronica memorizzati sul server aziendale.

1. EMAIL e INTERNET

Secondo la giurisprudenza l’art.4 si applica solo agli strumenti esterni allo svolgimento della prestazione lavorativa (come i sistemi di videosorveglianza), mentre la posta elettronica e la connessione internet sono esclusi dall’ambito di applicazione della norma in quanto strumenti necessari per l’adempimento, da parte del collaboratore, della prestazione lavorativa.

Nel provvedimento del Tribunale di Milano – 10.05.2002 – si legge che l’indirizzo di posta elettronica aziendale in uso al lavoratore avrebbe sì carattere personale, per l’esercizio delle proprie mansioni,ma la “personalità” dell’indirizzo non significa anche “privatezza” del medesimo. L’indirizzo aziendale, proprio perché denominato tale, rientra nella disponibilità di accesso da parte di persone diverse dall’utente abituale, perché la posta elettronica, anche se assegnata al singolo, deve essere intesa come semplice strumento di lavoro. Secondo l’ordinanza, non è configurabile un controllo sulle attività del lavoratore e ciò in considerazione della natura aziendale dello strumento, atteso che l’uso della posta elettronica costituisce un mezzo di comunicazione messo a disposizione dell’utente al solo scopo di svolgere la propria attività. Ha ribadito, quanto finora espresso, anche il Tribunale di Torino – 20.06.2006 –  aggiungendo che i personal computer utilizzati dai dipendenti di un’azienda sono strumenti di lavoro forniti esclusivamente per lo svolgimento dell’attività lavorativa e come tali devono essere equiparati agli altri strumenti messi a disposizione dei dipendenti. Il sistema informatico dell’azienda può pertanto accedere ai pc aziendali in forza della security-policy adottata e resa nota a tutti i dipendenti.

2. EMAIL e PASSWORD

L’accesso alla posta elettronica è possibile (e legittimo) attraverso l’uso della password la cui conoscenza sia stata in precedenza legittimamente acquisita dal soggetto preposto alla custodia delle parole chiave. La comunicazione della password acconsente, in caso di emergenza e/o assenza del lavoratore (solo per urgenze di carattere aziendale), l’accesso al computer e ai suoi contenuti.

3. PC AZIENDALI

Dopo la sentenza della Corte di Cassazione è stato confermato che il datore di lavoro può leggere la posta elettronica aziendale del lavoratore se è prevista la comunicazione delle credenziali di autenticazione al superiore gerarchico. Se il sistema prevede una password posta a protezione del computer e della corrispondenza di ciascun dipendente – e la stessa sia a conoscenza anche dell’organizzazione aziendale – essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, quest’ultimo è legittimato ad utilizzarla per accedere alla corrispondenza anche in caso di mera assenza dell’utilizzatore abituale.  Il datore di lavoro ha dunque l’obbligo di informare il lavoratore delle modalità di utilizzo di Internet e della posta elettronica; vengono poi indicate una serie di misure tecnologiche e organizzative per evitare la possibilità, prevista solo in casi limitati, dell’analisi del contenuto della navigazione e dell’apertura di messaggi di posta elettronica contenenti dati necessari per l’attività aziendale.

Il provvedimento raccomanda l’adozione di un disciplinare interno nel quale devono essere indicate le regole per l’uso di Internet e della posta elettronica e deve essere redatto in modo chiaro e senza formule generiche e poi essere pubblicizzato adeguatamente con attività di aggiornamento periodico.

4. FILTRI INTERNET

In riferimento alla connessione internet è opportuno individuare preventivamentei siti da considerarsi correlati e idonei all’attività lavorativa, attraverso l’uso di filtri che prevengono determinate operazioni, quali l’accesso a siti inseriti in una black list o il download di file musicali o multimediali.

5. POLICY PER LA POSTA ELETTRONICA

In riferimento alla posta elettronica è opportuno che l’azienda renda disponibili indirizzi condivisi tra più lavoratori – come ad esempio info@nomeazienda.it – al fine di rendere più chiara la natura non privata della corrispondenza e che, in caso di assenza del lavoratore, preveda messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; metta in grado il dipendente di delegare un soggetto a verifica del contenuti dei messaggi ricevuti e ad inoltrare al titolare quelli ritenuti rilevanti per l’ufficio.

Per il Garante occorre specificare in quale misura è consentito utilizzare, anche per ragioni personali, i servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle, oppure ricorrendo a sistemi di webmail, indicandone:

  • modalità e arco temporale di utilizzo;
  • quali informazioni sono memorizzate temporaneamente (componenti di file di log eventualmente registrati) e chi vi può accedere legittimamente;
  • se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log);
  • se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime – specifiche e generiche – per cui vengono effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltre inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
  • quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora accerti che la posta elettronica e la rete internet sono utilizzate indebitamente. 

Il datore di lavoro, pertanto, è chiamato ad adottare tutte le misure possibili al fine di prevenire il rischio di utilizzi impropri, così da ridurre i controlli sui lavoratori. 

6. LICEITÀ DEI CONTROLLI

In conclusione, la liceità dei controlli effettuati dal datore di lavoro sull’utilizzo dell‘indirizzo di posta elettronica da parte del proprio dipendente sono giustificati in base all’assunto che la mail e, più in generale, la connessione internet sono strumenti di proprietà del datore di lavoro, messi a disposizione del dipendente per il solo svolgimento della prestazione lavorativa. L’eventuale attività di controllo – indirizzata all’accertamento di condotte illecite del dipendente – non è esente da limitazioni collegate al diritto di riservatezza ed al principio di inviolabilità delle comunicazioni; il necessario equilibrio tra le opposte esigenze viene ricondotto nel disciplinare interno.