Il Garante per la protezione dei dati personali e la giurisprudenza si pronunciano periodicamente sulla regolamentazione dell'accesso agli account di posta elettronica aziendali da parte dei datori di lavoro. La corretta gestione di questi account individuali è fondamentale e deve essere adeguatamente disciplinata dalle singole società per garantire il rispetto della privacy dei dipendenti e la tutela degli interessi aziendali.
La questione ha un impatto significativo sulle aziende di ogni dimensione, che devono bilanciare le esigenze di controllo e sicurezza con i diritti dei lavoratori. Una gestione non conforme alla normativa espone a rischi legali e sanzioni, oltre a minare il rapporto di fiducia con i dipendenti. D'altra parte, policy chiare e rispettose della privacy consentono di proteggere il patrimonio informativo aziendale in modo legittimo.
Per una gestione corretta, è necessario che le aziende si dotino di una policy interna dettagliata sull'utilizzo degli strumenti informatici, compresa la posta elettronica. Questa deve definire chiaramente le modalità d'uso consentite e i controlli possibili, oltre alle eventuali sanzioni per violazioni. La policy va resa nota ai dipendenti e costantemente aggiornata. Parallelamente, va fornita un'informativa sul trattamento dei dati personali ai sensi del GDPR.
I contenuti minimi della policy devono includere: regole per l'uso professionale dell'email, eventuali limiti all'uso personale, modalità di archiviazione, possibilità e modalità dei controlli datoriali, soluzioni per garantire la continuità operativa in caso di assenze, conseguenze disciplinari per usi impropri, gestione dell'account in caso di cessazione del rapporto. La chiarezza e completezza di questi aspetti è fondamentale per la validità della policy.
Per quanto riguarda i controlli, questi sono legittimi solo se rispettano precise condizioni. Il lavoratore deve essere preventivamente informato della possibilità di verifiche. L'accesso agli account deve essere motivato da ragioni specifiche come la tutela del patrimonio aziendale. Le modalità di controllo non devono essere invasive, prediligendo verifiche preliminari su dati anonimi. Sono vietati controlli sistematici e indiscriminati. Solo in presenza di fondati sospetti di illeciti si possono effettuare controlli mirati, nel rispetto della privacy.
In caso di assenze programmate, vanno predisposte funzionalità per risposte automatiche. Per assenze improvvise, l'amministratore di sistema può attivare un risponditore, previo avviso al dipendente. Alla cessazione del rapporto, l'account va disattivato entro tempi ragionevoli, con sistemi per informare i contatti. Non è consentito visualizzare o reindirizzare i messaggi in arrivo. Queste precauzioni tutelano la riservatezza del lavoratore pur garantendo la continuità operativa.
In conclusione, una gestione equilibrata degli account aziendali richiede policy chiare, informative complete e procedure rispettose della privacy. Solo così le aziende possono coniugare le proprie esigenze di controllo con i diritti dei dipendenti, evitando contenziosi e sanzioni. Un approccio strutturato alla questione è ormai imprescindibile per ogni realtà imprenditoriale nell'attuale contesto di digitalizzazione.
