Email aziendali: i poteri di controllo del datore di lavoro

di Roberto Grementieri

scritto il

Jobs Act, Statuto dei Lavoratori e Linee Guida del Garante Privacy sui diritti e doveri del datore di lavoro nei confronti delle email dei dipendenti.

Le novità del Jobs Act in materia controllo a distanza dei dipendenti ha toccato solo in minima parte il rispetto dei principi di cui all”art. 4, comma 2, dello Statuto dei Lavoratori, secondo cui gli impianti e le apparecchiature di controllo dai quali derivi la possibilità di monitorare l’attività del lavoratore possono essere installati previo accordo con le rappresentanze sindacali aziendali (R.S.U.) o, in mancanza di queste, con la commissione interna. In difetto, provvede l’Ispettorato del lavoro dettando, se occorre, le modalità per l’utilizzo corretto di questi impianti.

=> Controllo a distanza dei lavoratori: guida alle novità

Alla luce della normativa vigente, occorre chiedersi se posta elettronica e connessione Internet rientrino o meno nella previsione dell’art. 4 dello Statuto, trattandosi di strumenti che rendono possibile il controllo a distanza delle attività del lavoratore attraverso, ad esempio, la registrazione dei log della navigazione o mediante la consultazione dei messaggi di posta elettronica memorizzati sul server aziendale.

Email e Internet

Secondo la giurisprudenza, l’art. 4 si applica esclusivamente a strumenti esterni allo svolgimento della prestazione lavorativa (come i sistemi di videosorveglianza), mentre la posta elettronica e la connessione Internet sono esclusi dall’ambito di applicazione della norma in quanto strumenti necessari per l’adempimento, da parte del collaboratore, della prestazione lavorativa.

=> Email aziendale: i controlli leciti del datore di lavoro

In tal senso si è espresso il Tribunale di Milano (sezione penale, ordinanza del 10 maggio 2002): si legge nel provvedimento che l’indirizzo di posta elettronica aziendale in uso al lavoratore avrebbe sì carattere personale, nel senso che lo stesso viene attribuito al singolo lavoratore per l’esercizio delle proprie mansioni, tuttavia “personalità” dell’indirizzo non significa necessariamente “privatezza” del medesimo. L’indirizzo aziendale, proprio perché tale, rientra nella disponibilità di accesso da parte di persone diverse dall’utente abituale, perché la posta elettronica, anche se assegnata al singolo, deve essere intesa come semplice strumento di lavoro.

=> Cassazione: sì al controllo email

Secondo l’ordinanza, pertanto, non è configurabile un controllo sulle attività del lavoratore, ciò in considerazione della natura aziendale dello strumento, atteso che l’uso della posta elettronica costituisce un mezzo di comunicazione messo a disposizione dell’utente lavoratore al solo fine di consentire lo svolgimento della propria attività. Concorde la Cassazione (sentenza n. 4647/2002), la quale pone al di fuori dell’ambito di applicazione dell’art. 4 dello Statuto i controlli diretti ad accertare le condotte illecite dei dipendenti.

Il Tribunale di Torino (sentenza del 20 giugno 2006) ha ribadito che i personal computer utilizzati dai dipendenti dell’azienda sono strumenti di lavoro forniti esclusivamente per lo svolgimento dell’attività aziendale, e come tali devono essere equiparati agli altri strumenti a disposizione dei dipendenti. Il servizio informatico dell’azienda, pertanto, può accedere ai Pc aziendali in forza della security-policy adottata e resa nota a tutti i dipendenti.

Email e password

In particolare, l’accesso alla posta elettronica è possibile (e legittimo) attraverso l’uso della password la cui conoscenza sia stata in precedenza legittimamente acquisita dal soggetto preposto alla custodia delle parole chiave.

La comunicazione della password acconsente, in caso di emergenza e/o assenza del lavoratore (ed esclusivamente per esigenze di carattere aziendale), l’accesso al suo computer e ai suoi contenuti.

=> Approfondisi i controlli informatici sul dipendente

Pc aziendali

Di recente tale indirizzo è stato confermato dalla sentenza n. 47096/2007 della Corte di Cassazione, per la quale il datore di lavoro può leggere la posta elettronica aziendale del lavoratore se è prevista la comunicazione delle credenziali di autenticazione al superiore gerarchico.

Nel caso in cui il sistema preveda una password posta a protezione del computer e della corrispondenza di ciascun dipendente – e la stessa sia a conoscenza anche dell’organizzazione aziendale – essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, quest’ultimo è legittimato ad utilizzarla per accedere alla corrispondenza anche in caso di mera assenza dell’utilizzatore abituale.

Tale orientamento, ritiene il Collegio, risulta conforme a quanto sostenuto dallo stesso Garante per la Privacy, il quale, con provvedimento n. 13 dell’1 marzo 2007, ha riconosciuto ai dirigenti dell’azienda il potere di accedere legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di accesso sia stata loro data piena informazione.

Nel provvedimento citato, il Garante fornisce alcune indicazioni in ordine all’uso dei computer in azienda.

L’Autorità prescrive al datore di lavoro l’obbligo di informare il lavoratore delle modalità di utilizzo di Internet e della posta elettronica. Vengono indicate una serie di misure tecnologiche e organizzative per evitare la possibilità, prevista solo in casi limitati, dell’analisi del contenuto della navigazione e dell’apertura di messaggi di posta elettronica contenenti dati necessari per l’attività aziendale.

Il provvedimento raccomanda l’adozione di un disciplinare interno nel quale devono essere indicate le regole per l’uso di Internet e della posta elettronica. Il disciplinare, redatto in modo chiaro e senza formule generiche, deve essere pubblicizzato adeguatamente e sottoposto ad aggiornamento periodico.

Filtri Internet

Per quanto riguarda la connessione Internet è opportuno individuare preventivamente i siti da considerarsi correlati con l’attività lavorativa, attraverso l’utilizzo di filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una black-list o il download di file musicali o multimediali.

=> Controllo dipendenti: liceità dell’Internet Access Monitoring

Policy per la posta elettronica

Per quanto riguarda la posta elettronica, invece, è opportuno che l’azienda renda disponibili indirizzi condivisi tra più lavoratori (info@nomeazienda.it), rendendo così chiara la natura non privata della corrispondenza; valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre a quello di lavoro), destinato ad un uso personale; preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; metta in grado il dipendente di delegare un soggetto (cd. fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e ad inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato.

Per il Garante occorre specificare in quale misura è consentito utilizzare, anche per ragioni personali, i servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle, oppure ricorrendo a sistemi di webmail, indicandone:

  • modalità e arco temporale di utilizzo (ad esempio, fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nell’orario di lavoro);
  • quali informazioni sono memorizzate temporaneamente (come le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
  • se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
  • se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime – specifiche e non generiche – per cui vengono effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
  • quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora accerti che la posta elettronica e la rete Internet sono utilizzate indebitamente.

Il datore di lavoro, pertanto, è chiamato ad adottare tutte le misura possibili al fine di prevenire il rischio di utilizzi impropri, così da ridurre i controlli sui lavoratori.

Liceità dei controlli

Concludendo, la liceità dei controlli effettuati dal datore di lavoro sull’utilizzo dell’indirizzo di posta elettronica da parte del proprio dipendente sono giustificati in base all’assunto che la email e, più in generale, la connessione Internet sono strumenti di proprietà del datore di lavoro, messi a disposizione del dipendente per il solo svolgimento della prestazione lavorativa.L’eventuale attività di controllo – indirizzata all’accertamento di condotte illecite del dipendente – non è esente da limitazioni collegate al diritto di riservatezza ed al principio di inviolabilità delle comunicazioni; il necessario equilibrio tra le opposte esigenze viene ricondotto nel disciplinare interno.