Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Come gestire le email aziendali dei dipendenti (ed ex) in modo conforme alla privacy

28/10/2024

Come gestire le email aziendali dei dipendenti (ed ex dipendenti) in modo conforme alla privacy




La gestione delle email aziendali dei dipendenti è un tema delicato e spesso frainteso. Molte aziende si chiedono quando e come possono controllare le comunicazioni aziendali dei propri collaboratori senza violare le norme sulla privacy.

Negli ultimi anni, il Garante per la protezione dei dati personali ha stabilito linee guida specifiche per evitare abusi e proteggere i diritti dei lavoratori. Vediamo insieme cosa è consentito e cosa no, e quali sono le best practices da seguire.


SOMMARIO


Privacy e gestione email: informare sempre i dipendenti
Quando controllare le email
Copia delle email
Il backup delle email dell'ex-dipendente
La cancellazione delle email
Email per uso personale ed uso lavorativo
Privacy del dipendente che lavora in smart working
Best practise
Conclusioni

 

Privacy e gestione email: informare sempre i dipendenti



Il primo passo fondamentale per una gestione corretta lato privacy delle email  è la trasparenza. Il datore di lavoro deve informare chiaramente i dipendenti su:
 

  • Come verranno trattate le loro email aziendali;
  • Se e quando potrebbero esserci controlli o monitoraggi sulle comunicazioni;
  • Quali dati possono essere raccolti e per quali finalità.


Questo si può fare redigendo una policy interna o un’informativa privacy specifica, da consegnare a tutti i dipendenti all’inizio del rapporto di lavoro. Una buona policy evita fraintendimenti e tutela sia l’azienda che il dipendente.

 

Quando il datore di lavoro può controllare le email



Gestire l’accesso alle email aziendali dei dipendenti è un’area delicata per i datori di lavoro, ecco le principali condizioni per agire nel rispetto della privacy:

1. Informativa Preventiva  

Prima di qualsiasi controllo, il datore di lavoro deve informare chiaramente i dipendenti della possibilità che le loro email aziendali siano monitorate. Questa informativa può essere inclusa in una clausola del contratto di lavoro o riportata in un regolamento aziendale accessibile e ben pubblicizzato.

2. Base giuridica  
 
I controlli sulle email aziendali sono ammessi solo per finalità specifiche e legittime, tra cui:
   - Assicurare la continuità operativa: In caso di assenza del dipendente (per ferie, malattia o altre ragioni) o al termine del rapporto di lavoro, l’azienda può accedere alle email per recuperare informazioni necessarie al proseguimento delle attività.
   - Motivi disciplinari: In presenza di sospetti su comportamenti illeciti o violazioni delle norme aziendali, le email possono essere esaminate come prova, ma solo quando strettamente necessario.

3. No accesso indiscrimiato

Il controllo deve essere mirato e non può includere un accesso indiscriminato a tutte le comunicazioni. L'azienda non può leggere comunicazioni di natura personale; il monitoraggio deve concentrarsi esclusivamente sulle email legate all’attività lavorativa, rispettando il confine tra sfera personale e professionale.

4. Tracciabilità delle operazioni  
 
Ogni accesso effettuato dal datore di lavoro deve essere tracciabile, documentando in modo accurato quali email sono state monitorate e per quanto tempo. Questo garantisce trasparenza e offre un sistema di controllo interno in linea con i requisiti di privacy.

5. Principio di proporzionalità e necessità  

Il controllo deve essere proporzionato alla finalità perseguita, evitando qualsiasi intrusione eccessiva nella sfera privata del dipendente. Solo le informazioni strettamente necessarie all’operatività aziendale o alla gestione disciplinare possono essere oggetto di monitoraggio.

 

Privacy e copia delle email del dipendente



Le email aziendali sono strumenti di lavoro di proprietà del datore di lavoro, ma ciò non elimina il diritto del dipendente alla privacy.

Sebbene sia l’azienda a fornire e gestire l’account email, le comunicazioni possono contenere informazioni personali e sensibili, che vanno rispettate. Questo equilibrio tra diritto di proprietà e tutela della privacy è regolato da precise normative e interventi del Garante della Privacy, che chiariscono in quali circostanze l'azienda può accedere e copiare le email di un dipendente.

Il controllo e la copia delle email aziendali sono giustificati solo per motivi specifici e legittimi. Ad esempio, il datore di lavoro può accedere alle comunicazioni per garantire la continuità operativa, specialmente in caso di assenza del dipendente o se il rapporto di lavoro si è concluso. In queste situazioni, il recupero di informazioni rilevanti diventa necessario per evitare interruzioni nelle attività aziendali. Inoltre, l’accesso può essere consentito per ragioni disciplinari, qualora vi siano sospetti su comportamenti illeciti o violazioni delle policy aziendali: in questo caso, le email possono essere utilizzate come prova, ma sempre nel rispetto dei limiti imposti dalla normativa.

Prima di effettuare qualsiasi controllo, è obbligatorio informare i dipendenti.

La trasparenza è essenziale: i lavoratori devono essere consapevoli della possibilità che l’azienda acceda alle loro email e comprendere chiaramente come verranno trattati i loro dati. Questa informativa può essere inserita nel contratto di lavoro o in un regolamento aziendale ben pubblicizzato. Tuttavia, è importante notare che il controllo non può essere indiscriminato o preventivo: qualsiasi accesso deve essere mirato e proporzionato, senza invadere la sfera privata del dipendente.
 

come gestire le email dei dipendenti lato privacy


 

Privacy dell'ex-dipendente: possibile fare copie di backup?



Su questo punto, le recenti indicazioni del Garante per la protezione dei dati personali sono molto chiare: la possibilità di fare copie di backup delle email di un ex dipendente è strettamente limitata e, nella maggior parte dei casi, considerata illecita. La normativa prevede che il datore di lavoro non possa accedere alla posta elettronica di un dipendente né utilizzare software per conservare copie dei messaggi, sia durante che dopo il rapporto di lavoro. Questa restrizione è stata più volte ribadita dal Garante, che ha emesso sanzioni verso aziende che non hanno rispettato tali direttive.

Anche se l’accesso temporaneo alle email aziendali può essere giustificato per garantire la continuità operativa o per motivi disciplinari, la conservazione delle email e dei log di accesso deve sempre essere proporzionata e limitata nel tempo. Ad esempio, conservare le email per un periodo eccessivo, come tre anni dopo la cessazione del rapporto, è stato giudicato non conforme alle normative. Questo perché la conservazione prolungata delle comunicazioni va oltre le finalità legittime e lede il diritto alla privacy del lavoratore.

È fondamentale che gli ex lavoratori siano informati in modo trasparente riguardo alla gestione delle loro email aziendali. La mancanza di un’informativa chiara su come e per quanto tempo le email saranno conservate rappresenta una violazione dei diritti dei dipendenti, che hanno il diritto di sapere in anticipo quali saranno i trattamenti applicati ai loro dati. L’assenza di queste informazioni è stata più volte oggetto di provvedimenti da parte del Garante.

Il Garante ha recentemente emesso sanzioni rilevanti contro aziende che hanno conservato backup delle email senza rispettare le normative privacy.

NOTA BENE: In un caso specifico, una società è stata multata per aver mantenuto l’account email di un ex dipendente attivo e accessibile e per aver conservato le comunicazioni per un periodo eccessivo senza una giustificazione valida. 

 

Privacy e cancellazione delle email del dipendente



Il Garante per la protezione dei dati personali ha chiarito le regole sulla cancellazione delle email dei dipendenti, soprattutto una volta concluso il rapporto di lavoro. Alla fine del rapporto, il datore di lavoro deve disattivare subito l'account email aziendale del dipendente. Questo è un passaggio essenziale per proteggere i dati e la privacy dell’ex lavoratore.

Dopo la disattivazione, l’account va cancellato entro un tempo ragionevole. Il Garante ha specificato che mantenere l’account attivo anche dopo la cessazione del rapporto è considerato un trattamento illecito dei dati personali. Inoltre, per gestire al meglio le comunicazioni in arrivo e rispettare la privacy, è buona pratica impostare un risponditore automatico che informi i mittenti della chiusura dell’indirizzo e fornisca contatti alternativi per eventuali comunicazioni.

Il dipendente ha anche il diritto di cancellare le email personali presenti nel proprio account prima della disattivazione, ma non può eliminare autonomamente l’intero account. Alcune email possono contenere informazioni aziendali sensibili, quindi l’accesso a queste comunicazioni da parte del datore di lavoro deve essere limitato e giustificato.

Infine, poiché le email sono considerate corrispondenza privata, qualsiasi accesso non autorizzato alle comunicazioni di un ex dipendente può configurarsi come reato di accesso abusivo a sistema informatico.

 

Email per uso personale e lavorativo



L’uso delle email aziendali per scopi personali è una pratica comune, ma richiede un’attenta gestione per garantire la privacy del dipendente e la sicurezza aziendale.

Per bilanciare queste esigenze, l’azienda dovrebbe stabilire linee guida chiare, informando i dipendenti su come gestire le comunicazioni personali attraverso l’email aziendale. Ad esempio, è utile specificare se l’uso personale è consentito, e in quali limiti, chiarendo che il monitoraggio dell’email avrà luogo solo per finalità strettamente lavorative e nel rispetto della privacy.

Inoltre, eventuali controlli devono escludere le email personali, concentrandosi esclusivamente su quelle legate all’attività professionale. Questo approccio non solo rispetta la privacy del dipendente, ma aiuta anche a evitare malintesi, promuovendo un ambiente di lavoro più equilibrato e trasparente.

 

Privacy del dipendente che lavora in smart working



Quando un dipendente lavora in smart working, la gestione della privacy delle email aziendali richiede particolari accorgimenti per garantire la protezione dei dati.

Prima di tutto, è consigliabile che l’azienda fornisca linee guida chiare sull’uso delle email aziendali, specificando che l’account deve essere utilizzato solo per scopi lavorativi e raccomandando di evitare l’utilizzo su dispositivi personali non protetti.

Per aumentare la sicurezza, l’azienda può richiedere l’uso di una VPN e implementare sistemi di autenticazione a due fattori, che riducono il rischio di accessi non autorizzati. È inoltre importante che i datori di lavoro evitino monitoraggi eccessivi, limitandosi a controlli proporzionati e solo per finalità operative, come la protezione dei dati aziendali o la continuità del servizio. Infine, è buona prassi informare i dipendenti delle misure di sicurezza adottate e garantire che ogni monitoraggio avvenga in modo trasparente, sempre nel rispetto della privacy e delle normative vigenti.

 

Best practices per una gestione corretta delle email lato privacy

 

Per garantire una gestione delle email aziendali conforme alla privacy, ecco alcune buone pratiche da seguire:
 

  • Creare account generici per le comunicazioni aziendali importanti (es. info@azienda.it) invece di account personali per i singoli dipendenti, così da evitare accessi diretti alle email individuali;
  • Impostare backup automatici e controlli di sicurezza per proteggere le comunicazioni aziendali senza compromettere la privacy dei singoli;
  • Evitare l’accesso ai contenuti privati: se un dipendente utilizza l’account aziendale anche per comunicazioni personali, l’azienda deve rispettare la sua privacy e limitarsi a controllare solo i messaggi strettamente aziendali.

 


come gestire email dipendente a norma


 

Conclusione su come gestire le email aziendali e rispettare la privacy

 


La gestione delle email aziendali è un equilibrio delicato tra sicurezza operativa e rispetto della privacy dei dipendenti. Applicare le linee guida del Garante e adottare policy chiare e trasparenti permette all’azienda di salvaguardare i propri dati, mantenendo al contempo la fiducia e la serenità del personale.

Operare in questo modo non solo evita sanzioni, ma contribuisce a creare un ambiente di lavoro rispettoso e consapevole dei diritti di tutti. I nostri legali sono a disposizione per fornire consulenza e supporto su come implementare una gestione delle email aziendali conforme e rispettosa della normativa vigente.

Avv. Selene Galeazzi
Team LegalBlink