Introduzione

L’utilizzo della posta elettronica e di internet sul posto di lavoro è disciplinato dalle “Linee guida del Garante per posta elettronica e internet (“Linee Guida”) pubblicate nel 2007 dall’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”).

Le Linee Guida forniscono indicazioni pratiche ai datori di lavoro sulla gestione della posta elettronica e della rete Internet messe a disposizione ai dipendenti per lo svolgimento delle mansioni loro affidate e hanno lo scopo di contemperare le legittime aspettative di un ordinato svolgimento dell’attività lavorativa con la prevenzione di possibili intrusioni nella sfera personale dei lavoratori, nonché di violazioni della disciplina sull’eventuale segretezza della corrispondenza.

A tal fine, le Linee Guida impongono al datore di lavoro l’onere di indicare, con riferimento ad ogni specifico caso, in modo chiaro e particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.

Il caso Mapei S.p.A.

Con un’ordinanza ingiunzione del 2 luglio 2020, il Garante Privacy ha sanzionato Mapei S.p.A. (“Società”) per aver mantenuto attivo l’account di posta elettronica di un dipendente che aveva presentato le sue dimissioni nel 2017.

In particolare, l’ex dipendente –  avendo riscontrato che nel 2018 il suo account di posta elettronica era ancora attivo e funzionante e che i messaggi ivi pervenuti venivano regolarmente letti e riscontrati dalla Società – presentava un reclamo al Garante Privacy attraverso il quale lamentava presunte violazioni del Regolamento UE 2016/679 (“GDPR”) da parte della Società connesse principalmente al mancato riscontro:

  1. all’istanza di accesso al contenuto delle comunicazioni pervenute sull’account di posta elettronica dell’ex dipendente, mantenuto attivo e funzionante anche dopo l’interruzione del rapporto di lavoro; nonché
  2. all’istanza di ottenere la cancellazione dell’account medesimo, richiesta formulata in apposito atto di diffida alla quale la Società non avrebbe mai fornito alcun riscontro.

Con la presentazione del reclamo, l’ex dipendente chiedeva al Garante Privacy di: (i) voler dichiarare l’illiceità dei trattamenti effettuati in violazione del GDPR, nonché (ii) ingiungere alla Società la cessazione dei trattamenti medesimi e soddisfare le istanze di esercizio dei diritti di accesso e di cancellazione rimaste insoddisfatte.

A sua difesa, la Società sosteneva (inter alia) che, alla base della mancata disattivazione dell’account di posta elettronica dell’ex dipendente, vi fossero esigenze di “business continuity” per le quali si era reso necessario l’inoltro dei messaggi ricevuti sulla casella postale dell’ex dipendente al suo superiore gerarchico. La stessa Società dichiarava altresì l’esistenza di una prassi operativa aziendale, in virtù della quale, a seguito della cessazione del rapporto di lavoro, gli account riconducibili al dipendente venivano rimossi previa disattivazione, con contestuale attivazione di sistemi automatici volti ad informarne i terzi e fornire indirizzi alternativi da utilizzare per la prosecuzione dei rapporti professionali con la Società.

La stessa forniva inoltre la copia del regolamento aziendale destinato a disciplinare la sicurezza e il corretto utilizzo dei sistemi informativi (il “Regolamento Aziendale”), nel quale si leggeva espressamente che “la posta elettronica è di esclusiva proprietà dell’azienda ed è uno strumento di lavoro che deve essere impiegato dai lavoratori esclusivamente per fini professionali in relazione alle specifiche mansioni a loro assegnate” e pertanto “in qualunque momento, a fronte di una dichiarata, motivata e documentata necessità/richiesta (es. garantire la business continuity, prevenire e contrastare comportamenti illeciti o abusi), [la Società] si riserva la possibilità di accedere a qualunque casella di posta elettronica attraverso i Sistemi Informativi Aziendali”.

L’esito dell’istruttoria del Garante Privacy e l’adozione del provvedimento correttivo e sanzionatorio

A seguito dell’istruttoria svolta dal Garante Privacy è emerso che la Società, in qualità di titolare del trattamento, effettuava alcune operazioni di trattamento di dati personali riferiti al reclamante che risultavano non conformi alla disciplina in materia di protezione dei dati personali.

Infatti, la Società – oltre ad aver violato l’art. 12 e 15 del GDPR per non aver fornito riscontro alle istanze relative all’esercizio dei diritti di accesso e di cancellazione avanzate dal reclamante – aveva mantenuto attivo l’account di posta elettronica dello stesso prevedendo, per un periodo di 10 mesi, un reindirizzamento automatico di tutti i messaggi in entrata, fino a quando – a seguito della presentazione di diffida da parte dell’interessato nel 2018 – la stessa aveva provveduto a  cancellare il predetto account di posta.

Al riguardo, dall’istruttoria del Garante Privacy è inoltre emerso che il reclamante non era stato preventivamente informato dalla Società in merito all’eventuale trattamento, effettuato dalla stessa dopo la cessazione del rapporto di lavoro per finalità di business continuity.

Come sottolineato dal Garante Privacy, il Regolamento Aziendale, sebbene chiarisca che la posta elettronica è uno “strumento di comunicazione aziendale” da utilizzarsi esclusivamente per fini professionali, non contiene alcun riferimento alla possibilità che la Società mantenga attivi gli account dopo la cessazione del rapporto con reindirizzamento automatico su diverso indirizzo di posta elettronica. Al contrario, nel documento si prospetta la sola e diversa possibilità per la Società di accedere, in costanza del rapporto di lavoro, alle caselle di posta a fronte di specifiche, motivate e documentate necessità aziendali, nonché di abilitare temporaneamente l’inoltro automatico ad altra casella di posta in caso di assenza prolungata dell’utente destinatario del messaggio, senza indicarne le relative modalità.

Dall’analisi del Regolamento Aziendale è dunque emerso che le procedure ivi descritte risultano difformi dalle indicazioni fornite ai datori di lavoro nelle Linee Guida ed in contrasto con quanto stabilito dall’art. 13 del D. lgs. 196/2003 (Codice Privacy vigente all’epoca dell’inizio del trattamento), in base al quale il titolare è tenuto a fornire all’interessato – prima dell’inizio dei trattamenti – tutte le informazioni relative alle caratteristiche essenziali del trattamento stesso, sottolineando altresì che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è espressione del principio generale di correttezza.

L’istruttoria del Garante Privacy ha inoltre riscontrato che, durante il periodo di 10 mesi in cui l’account del reclamante era rimasto attivo e i messaggi erano stati inoltrati su un altro account aziendale, la Società ha avuto accesso a oltre 200 messaggi pervenuti alla casella di posta elettronica del reclamante e provenienti sia da soggetti interni sia esterni all’ambito lavorativo.  Ciò ha permesso alla Società di venire a conoscenza non solo dei cd. dati esterni delle predette comunicazioni, ma anche del contenuto delle stesse (ivi inclusi eventuali allegati).

Come disposto dalle Linee Guida (al punto 5.2, lett. b)), l’ex dipendente e i terzi che inviano e-mail alla casella di posta elettronica dello stesso, potrebbero vantare legittime aspettative di riservatezza sulle comunicazioni anche nell’ipotesi in cui venisse a cessare il rapporto di lavoro tra le parti.

A tal fine, il datore di lavoro, in conformità alle indicazioni contenute nelle predette Linee Guida  e dei principi in materia di protezione dei dati personali, avrebbe dovuto adottare misure tecnologiche ed organizzative atte a consentire di contemperare il legittimo interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con l’aspettativa di riservatezza della corrispondenza da parte dei lavoratori e  dei terzi.

In particolare, in linea con le disposizioni delle Linee guida, dopo la cessazione del rapporto di lavoro, la Società avrebbe dovuto provvedere alla rimozione dell’account del dipendente previa disattivazione dello stesso e alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale.

Alla luce di quanto sopra, il Garante Privacy ha dichiarato illecito il trattamento dei dati personali riferiti al reclamante effettuato dalla Società attraverso:

  • l’omesso riscontro alle istanze di esercizio dei diritti nei termini previsti dall’ordinamento; nonché
  • la prolungata attività dell’account individualizzato di posta elettronica dopo la cessazione del rapporto di lavoro e conseguente accesso ai messaggi ivi pervenuti per più di 10 mesi, senza che tale prassi fosse stata  esplicitata nel Regolamento Aziendale

violando dunque il principio di liceità, correttezza e trasparenza, il principio di minimizzazione dei dati personali nonché il principio della limitazione degli stessi (artt. 5, comma 1, lett. a), c) ed e) del GDPR), oltre agli artt. 12, 13 e 15 del GDPR stesso.

In conclusione, il Garante Privacy ha ingiunto alla Società il pagamento di Euro 15 mila a titolo di sanzione amministrativa pecuniaria, oltre all’obbligo di conformare i propri trattamenti ai sensi dell’art. 12 del GDPR ed adottare misure adeguate a riscontrare i diritti dell’interessato previsti dagli artt. dal 15 al 22 del GDPR.

Conclusioni

Le Linee Guida di cui sopra forniscono ai datori di lavoro (inter alia) indicazioni in ordine ai presupposti di legittimità e ai limiti del controllo datoriale sulle attività svolte dai lavoratori attraverso tecnologie informatiche messe a disposizione dall’azienda.

Come sostenuto dal Garante Privacy, il contenuto dei messaggi di posta elettronica (compresi i “dati esteriori” delle comunicazioni e i file allegati) è una forma di corrispondenza assistita da garanzie di segretezza tutelate costituzionalmente.

Tuttavia, con specifico riferimento all’indirizzo di posta elettronica aziendale, il Garante ammette la possibilità, per il datore di lavoro, di accedere al contenuto dei messaggi di posta elettronica del dipendente, gravando su di lui “l’onere di indicare, in ogni caso, chiaramente e in modo particolareggiato quali sono le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengono effettuati controlli”, fornendo ai lavoratori la c.d. “policy aziendale”, ovvero uno strumento da rendere noto preventivamente al lavoratore e con il quale si può legittimamente prevedere il divieto, per scopi personali, degli strumenti informatici forniti dal datore di lavoro (Linee guida, paragrafo 3.1).

Pertanto, affinché il datore possa legittimamente accedere al contenuto delle mail, la policy aziendale deve fornire indicazioni chiare in merito all’utilizzo degli strumenti di lavoro messi a disposizione dal datore stesso, specificando alcuni aspetti come ad esempio: (i) se e in quale misura sia consentito utilizzare, per fini personali, i servizi di posta elettronica; (ii) quali dati siano memorizzati; (iii) quali soggetti possano accedervi, quali siano le modalità, anche temporali, della loro conservazione; (iv) se e in quale misura il datore di lavoro si riservi di effettuare controlli in conformità alla legge, specificando le ragioni legittime per cui verrebbero effettuati e le relative modalità; (v) quali siano le conseguenze, anche di tipo disciplinare, per l’utilizzo indebito della posta elettronica.

Infatti, l’assenza di policy aziendale, potrebbe anche determinare, nel lavoratore, una legittima aspettativa di confidenzialità rispetto ad alcune forme di comunicazione. (Linee Guida paragrafo 5.2., lettera b)).

Oltre alla policy aziendale, il datore di lavoro ha l’onere di informare gli interessati tramite apposita informativa ex art. 13 del GDPR, indicando le caratteristiche dei trattamenti svolti sulla loro posta elettronica e le finalità perseguite. Le attività di monitoraggio e accesso alla mail devono comunque avvenire nel rispetto del principio di trasparenza, necessità, correttezza, per finalità determinate, esplicite e legittime e osservando il principio di pertinenza e non eccedenza.

L’importanza della policy aziendale è stata anche ribadita dalla giurisprudenza CGUE (Grande Camera Corte EDU, Barbulescu c. Romania, 5 settembre 2017), nella quale non solo è sancito che, in assenza di policy aziendale, nessun controllo datoriale può considerarsi legittimo, ma è anche indicato in modo dettagliato quale debba essere il contenuto della policy e le tutele assicurate al lavoratore, pena l’illegittimità del controllo (i.e. (i) se il dipendente sia stato preventivamente informato della possibilità riconosciuta al datore di effettuare i controlli su posta elettronica e altri strumenti messi da lui a disposizione; (ii) l’estensione del controllo e il grado di intrusione nella privacy del lavoratore; (iii) se il lavoratore abbia motivi legittimi per giustificare il monitoraggio e l’accesso alle comunicazioni del lavoratore; (iv) se sia possibile, per il datore di lavoro, utilizzare forme di monitoraggio meno invasive rispetto all’accesso alle mail del lavoratore ; (v) quali siano le conseguenze del monitoraggio da parte del datore di lavoro e l’uso che potrà fare delle informazioni ottenute a seguito dello stesso; (vi) se il lavoratore abbia adeguate misure di salvaguardia, come ad esempio ricevere una comunicazione da parte del datore di lavoro prima che lo stesso possa accedere al contenuto delle mail del lavoratore).