Data protection

La gestione della casella di posta elettronica del dipendente/collaboratore: adempimenti di cui all’art. 13 GDPR.

Premesso che:

In tema di trattamento dati afferente la gestione della posta elettronica il Garante ha più volte precisato la necessità di adottare policy e informative volte ad informare i dipendenti ed i collaboratori sul trattamento dei dati degli stessi effettuato dal Titolare tramite gli strumenti aziendali, ove per trattamento si intende:

  1. la raccolta
  2. la conservazione,
  3. la procedura di cancellazione dell´account dopo l´interruzione del rapporto.

Il titolare del trattamento è tenuto, pertanto, a fornire una chiara informativa ai dipendenti/collaboratori circa la corretta gestione dell’account di posta elettronica nominativa, “dove di certo transitano dati personali e informazioni personali”.

La mancanza di una policy aggiornata costituisce, in prima battuta, una violazione del principio di accountability, di cui all’art. 24 del GDPR.

La mancata informativa prevista dall’art. 13 del regolamento europeo unitamente alla violazione dei principi di minimizzazione, necessità e limitazione della conservazione –qualora accertata dall’Autorità di Controllo – determina la adozione di sanzioni amministrative pecuniarie, ai sensi dell’art. 83, paragrafo 5, lettera b), per un ammontare che può arrivare fino a 20 milioni di euro.

Diventa dunque fondamentale adempiere, qualora non si sia già provveduto, ai seguenti obblighi:

  1. redigere una policy aziendale aggiornata alla vigente normativa di settore;
  2. redigere un modello di informativa sul trattamento dei dati personali che avviene attraverso l’utilizzo della posta elettronica aziendale. Il modello in parola deve essere consegnato al dipendente sin dall’inizio del rapporto di lavoro e disciplinare tutte le fasi del rapporto contrattuale, dall’assunzione, alla gestione sino alla cessazione dello stesso.

Con la presente si forniscono una serie di istruzioni riguardo alla redazione del modello di informativa da consegnare ai dipendenti e collaboratori (questi ultimi solo se assegnatari di casella di posta elettronica aziendale).

Premesso che qualora “siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle «caselle» rappresentano il domicilio informatico proprio del dipendente […] pertanto, la casella rappresenta uno «spazio» a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza).

Di seguito si fornisce un set minimo di istruzioni rivolte alle Unità Operative coinvolte, a vario titolo, nella redazione/consegna/conservazione/applicazione delle misure tecniche ed organizzative necessarie al fine di rendere conforme il trattamento dei dati personali sottesi alla posta elettronica aziendale alla vigente normativa di settore.

Istruzioni ad uso dell’Ufficio Privacy

L’informativa ai dipendenti deve indicare, in aggiunta alle singole voci contenute nel testo dell’art. 13 del GDPR, anche le seguenti informazioni:

  • le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio.[1] In base a tale provvedimento il Titolare è altresì tenuto ad adottare sistemi che registrino gli “accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema”;
  • la e-mail è da considerarsi strumento aziendale e non di proprietà privata del dipendente. Infatti, in assenza di tale specificazione, può generarsi confusione sull’argomento, determinando una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione[2];
  • non è consentito l’invio automatico di e-mail all’indirizzo e-mail privato (attivando per esempio un “inoltro” automatico delle e-mail entranti), sia durante i periodi di assenza (es. ferie, malattia, infortunio ecc.) sia in caso di cessazione del rapporto di lavoro;
  • ciascun dipendente/collaboratore sia durante la vigenza del rapporto di lavoro sia successivamente alla cessazione dello stesso si deve attenere alle regole di utilizzo dell’indirizzo di posta elettronica previste dal regolamento sull’uso degli strumenti informatici aziendali. Poiché la casella di posta assegnata dal titolare del trattamento all’utente, è uno strumento di lavoro, la persona assegnataria è responsabile del corretto utilizzo dello stesso;
  • in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa il dipendente deve essere in grado di delegare un altro lavoratore a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al Titolare quelli ritenuti rilevanti per l’ufficio;
  • il Titolare del trattamento può svolgere attività di controllo qualora in costanza di rapporto le misure preventive non fossero sufficienti a evitare comportamenti anomali; gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale;
  • informare il dipendente cessato che non può accedere alla propria “vecchia” casella di posta e che questa viene cancellata alla sua cessazione.

Istruzioni ad uso della UO Sistemi Informativi

Quanto al tema dei dipendenti cessati, gli account riconducibili a persone identificate o identificabili devono essere rimossi (dunque cancellati) previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.

Sono altresì necessari accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo nelle more di tempo necessario per la cancellazione dell’account stesso.

Quando cessa il rapporto di lavoro, dunque, bisogna disattivare l’account di posta del lavoratore informando i terzi con sistemi automatici che l’account è stato disattivato e fornendo i nuovi recapiti di posta elettronica a cui indirizzare le nuove comunicazioni dirette all’azienda o all’ente.

Si rammenta infatti che la disattivazione deve essere realizzata “secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali”.[3]

Si deve poi procedere alla cancellazione dell’account non essendo consentito mantenerlo giacché, come peraltro già chiarito dal Garante, il trattamento risulterebbe illecito.

Quanto alle politiche di back up della posta elettronica, non risulta altresì conforme una indiscriminata conservazione (es. per dieci anni dalla cessazione del rapporto) su server aziendali dei contenuti delle comunicazioni elettroniche. Tale esteso tempo di conservazione applicato indistintamente a tutte le e-mail scambiate (in assenza di specifiche ragioni che lo renderebbero necessario) non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi.

Di contro, quanto alla necessità del Titolare di assicurare la continuità operativa della propria organizzazione, si deve tenere conto che lo stesso deve adottare in realtà specifici sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile.[4] Si fa presente peraltro che i sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche.

Pertanto, lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali può ben essere perseguito ˗ conformemente alle disposizioni vigenti oltre che più efficacemente ˗ con strumenti meno invasivi (i.e., sistema di protocollo elettronico aziendale oppure un sistema di conservazione sostitutiva) per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto dunque ad un’attività di sistematica ed estesa conservazione delle comunicazioni elettroniche, che risulta pertanto non necessaria né proporzionata rispetto allo scopo.

In caso di assenza del dipendente, occorrerà prevedere l’utilizzazione di un messaggio “Out of Office” facendo menzione di chi, all’interno dell’ente o dell’azienda, assumerà le mansioni durante l’assenza, oppure indicando un indirizzo di mail alternativo preferibilmente di tipo collettivo, tipo: ufficio…@dominio dell’ente/azienda, mentre in caso di cessazione del rapporto di lavoro dovrà essere previsto un messaggio di risposta automatica con le coordinate di altri lavoratori cui rivolgersi.

Dal punto di vista operativo, è opportuno che il titolare:

  1. renda disponibili anche indirizzi condivisi tra più lavoratori (ufficiogestionerisorseumane@ dominio dell’ente/azienda; urp@ dominio dell’ente/azienda; ufficioaffarigenerali@ dominio dell’ente/azienda , ecc. ), rendendo così chiara la natura non privata della corrispondenza;
  2. preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
  3. quando invece cessa il rapporto di lavoro bisogna prima disattivare l’account di posta del lavoratore informando i terzi con sistemi automatici che l’account è stato disattivato e fornendo i nuovi recapiti di posta elettronica a cui indirizzare le nuove comunicazioni dirette all’azienda. Si deve poi cancellare l’account la cui conservazione risulterebbe illecita per violazione della normativa sul trattamento dei dati personali.

Dopo la cessazione del rapporto di lavoro si dovrà:

  • rimuovere l’account di posta elettronica del dipendente cessato;
  • informare i terzi con meccanismi automatizzati della disattivazione dell’account e comunicare indirizzi alternativi a cui rivolgersi;
  •  adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
  • in caso di licenziamento o dimissioni del dipendente l’e-mail aziendale deve essere chiusa e il datore di lavoro deve comunicare ai terzi con cui il dipendente aveva rapporti la dismissione dell’indirizzo di posta elettronica del lavoratore in questione, individuando un account aziendale alternativo al contatto utilizzato fino a quel momento (cfr. Garante Privacy, Provvedimento del 4 dicembre 2019).

Istruzioni ad uso della UOC Dinamiche delle Risorse Umane

Sono da considerare comportamenti non conformi

  • la conservazione estesa e sistematica delle e-mail,
  • la loro memorizzazione per un periodo indeterminato e comunque amplissimo
  • la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo);
  • non è giustificata la raccolta a priori di tutte le e-mail in vista di futuri ed eventuali contenziosi: il Garante ha ribadito infatti che la eventuale conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate

Le condotte sopra richiamate consentono infatti un generico controllo dell’attività dei dipendenti che non è conforme neppure alla normativa afferente lo Statuto dei Lavoratori. Controllo, peraltro, vietato dalla disciplina di settore che non autorizza verifiche di tipo massive, prolungate e indiscriminate. Il datore di lavoro, infatti, pur potendo controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro deve sempre salvaguardare la libertà e la dignità dei dipendenti.

C’è l’obbligo di fornire a tutti i dipendenti (ed ai collaboratori cui viene assegnata una casella di posta elettronica aziendale) il modello di informativa, di cui sarà conservato l’originale debitamente firmato per presa visione

[1] Cfr. anche Provvedimento del Garante del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008, modificato con provvedimento del 25 giugno 2009, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”.

[2] Cfr. Garante per la protezione dei dati personali, Linee guida per posta elettronica e internet, cit., spec. 3; 5.2. lett. b), e 6.1.

[3] Cfr. Garante, Provvedimento del 5 marzo 2015, n. 136, doc. web n. 3985524.

[4] Si veda quanto stabilito dal D.P.C.M. 3 dicembre 2013, recante le Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell´amministrazione digitale di cui al decreto legislativo n. 82 del 2005; parimenti i documenti che rivestano la qualità di “scritture contabili” devono essere memorizzati e conservati con modalità determinate: artt. 2214 c.c.; artt. 43 e 44, d. lgs. 7 marzo 2005, n. 82, “Codice dell’amministrazione digitale”.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Garante Privacy
cibersicurezza

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Punto di contatto
La NIS2 e il ruolo rivestito dal Punto di Contatto.
2 Maggio 2025
procreazione medicalmente assistita
Istituzione del Registro nazionale delle strutture autorizzate all’applicazione delle tecniche di procreazione medicalmente assistita. Il Garante privacy esprime parere favorevole.
27 Maggio 2025
posta elettronica
le indagini difensive condotte dal datore di lavoro sulla casella di posta elettronica del dipendente.
19 Febbraio 2025

Start typing and press Enter to search