Dall'introduzione del GDPR ci si interroga su quali servizi si possano o non possano utilizzare e a quali condizioni, per non violare i requisiti del GDPR.

Una delle domande che più spesso ci è stata rivolta è se la "casella di posta" aziendale sia coinvolta dal regolamento GDPR e se ci sia differenza tra una casella gratuita (tipo gmail.com o libero.it) ed una aziendale su proprio dominio.

1) La rubrica: ormai qualunque fornitore vi fornisce una casella nel cloud che gestisce anche la rubrica dei vostri contatti, spesso in maniera automatizzata (ad esempio inserendo in rubrica ogni destinatario delle vostre comunicazioni)

2) I contenuti delle email: oggigiorno chiunque vi fornisca una casella vi fornisce anche uno spazio in cui le email ricevute e inviate rimangono per mesi se non anni (giga su giga di posta elettronica) e non più solamente un canale temporaneo dal quale periodicamente scaricate i messaggi e li cancellate (POP3), quindi, di fatto, mantiene (tratta) per conto vostro un archivio di dati.

Quasi sempre sì: un indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. si configura già come dato personale, tanto più se associato all'indirizzo avete anche il nome e cognome del referente. Email inviate e ricevute possono contenere informazioni che ricadono nella definizione del GDPR di dati che possono essere ricondotti ad una persona fisica. Non tutte le email ricadranno in questa definizione, ma basta che ce ne sia una ogni tanto per costringerci a trattare l'intero archivio come archivio contenente dati personali.

l problema è proprio questo: Google non ci risulta accetti di essere nominato responsabile del trattamento per i dati che veicolate sul servizio gratuito gmail.com. Sulla falsa riga di Google ci risulta che nessun altro fornitore di caselle "gratuite" (freemail) permetta questo tipo di nomina.

Ma nell'articolo precedente abbiamo visto che non sempre questa nomina è necessaria: ci sono casi in cui le condizioni di servizio (Term of Service) includono i termini contrattuali e la nomina stessa contestualmente al resto del contratto che vi lega e altri casi in cui viene messa a disposizione una contrattualizzazione integrativa (DPA: data processing addendum) che permette la nomina senza dover interagire con un rappresentante del fornitore che accetti tale nomina.

Abbiamo controllato le condizioni di servizio di Gmail.com, quelle di Outlook.com e quelle di Libero.it e, al momento, non abbiamo trovato clausole richieste dal GDPR: secondo noi, quindi, queste caselle non sono utilizzabili per scopi professionali perchè si configurerebbe una violazione dei requisiti del GDPR e di tale violazione sareste responsabili voi, per aver inserito dati che non sono vostri, ma di vostri clienti, nel loro sistema, senza avere un contratto che renda questi fornitori responsabili del trattamento.

Nel caso di Libero, avendo noi una casella "Plus" (quindi a pagamento), abbiamo chiesto alla loro assistenza qualche mese fa e subito ci hanno risposto che non era possibile nominarli responsabili, poi viste le nostre perplessità sul fatto che per una casella pagata e fatturata non fosse possibile ottemperare ai requisiti del GDPR, alla fine ci hanno confermato che in questo caso serviva una nomina, specificando "nomina, di vostra competenza" e rimandando ad una futura procedura per agevolare la nomina in via di predisposizione. Dopo l'apertura di 3 ticket nell'arco di 6 mesi, sono riuscito ad ottenere da loro un'ammissione che la nomina è necessarie e l'invio di un documento per la nomina a responsabile del trattamento di ItaliaOnLine per quanto riguarda la casella "Libero Mail Plus". Mi lascia comunque dubbioso la formula con la quale mi hanno "liquidato"

Come non è necessario? La Nomina per il GDPR deve essere contrattualizzata. Non è sufficiente che io nomini qualcuno, ma mi devo assicurare che lui abbia accettato la nomina e le responsabilità che ne derivano. Quindi mi risulta anomalo che, non essendo parte delle condizioni di servizio "pubbliche" che contrattualizzano l'erogazione della casella, il fatto che io firmi un documento di nomina e lo tenga per me abbia alcun valore. Tecnicamente non uso quella casella e quindi non mi sono spinto oltre, ma se la usassi cercherei di avere una firma che certifichi il fatto che sono responsabili del trattamento.

Ci sembra alquanto strano che a oltre 1 anno dall'introduzione del GDPR sia ancora così difficile trovare risposte a queste domande e che nessuno (per la nostra conoscenza) abbia sollevato questa questione in maniera pubblica, ma l'inquadramento di tale trattamento ci sembra abbastanza palese. Al tempo stesso sappiamo che il 90% dei professionisti oggigiorno usa una casella @libero.it o @gmail.com per scopi professionali, a partire proprio dalla categoria che meglio dovrebbe conoscere l'aspetto normativo, quella degli Avvocati, che sicuramente con la casella di posta tratta dati personali, spesso anche sensibili. Abbiamo preso una cantonata? Oppure il mondo non si è ancora reso conto di questa "piccola" novità?

Il problema non è nuovo, il Garante Privacy già nel 2007 aveva affrontato il tema con Le linee guida per posta elettronica e internet [doc. 1387522], tutt’oggi consultabili e applicabili. Le criticità da non trascurare sono le seguenti:
Gli account di posta aziendale composti da “nome e cognome”, ancorché accompagnati dal dominio aziendale, sono a tutti gli effetti “dati personali” (ex art 4 del GDPR) e per questo necessitano della corretta applicazione delle tutele imposte dalla relativa normativa in materia (Reg. UE 2016/679 e Codice Privacy così come modificato dal D.Lgs. 101/2018).
Per tale ragione, così come suggerito dal Garante, è buona norma rendere disponibili prima di tutto indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., etc.), eventualmente affiancandoli a quelli individuali (ad esempio, Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.)[1]. Questo perché nel caso in cui siano utilizzate e-mail condivise non sorgono tutte le problematiche relative alla tutela della riservatezza del lavoratore, così come vedremo, ma solo alcune e ciò in quanto l’indirizzo di posta non contiene in sé alcun dato personale e non può presumersi un utilizzo personale dell’account. Questo non esclude però che il datore di lavoro – prudentemente, come meglio si dirà – impartisca al lavoratore subordinato direttive sul suo utilizzo in quanto dotazione aziendale fornita al lavoratore per rendere la prestazione lavorativa. La scelta aziendale di assegnare ai lavoratori subordinati account di posta nominativi non è da escludere a priori o da eliminare, ma semmai è soltanto da regolamentare, e se del caso limitare, con l’aiuto di un professionista. La regolamentazione può agevolmente avvenire tramite la redazione di una policy interna che deve tener conto: della realtà lavorativa; delle effettive esigenze aziendali e della normativa applicabile, dunque delle norme previste dal diritto del lavoro e in materia di privacy. In particolare, si ritiene opportuno prima di tutto indicare al lavoratore che l’utilizzo dell’account nominativo deve avvenire per soli fini aziendali, vietandone l’utilizzo privato. È bene, infatti, tenere presente che un uso promiscuo, o non disciplinato, dell’account è senza dubbio fonte che genera dati personali del tutto estranei al contratto di lavoro instaurato dalle parti (i dati contenuti nelle e-mail – che possono essere strettamente personali, particolari o relativi a questioni riservate del lavoratore – inevitabilmente saranno salvati su server della società, su backup ecc.). Tale circostanza rappresenta a tutti gli effetti un rischio privacy (ai sensi del GDPR, Reg. UE 2016/679) per il titolare. Un rischio che se non adeguatamente mitigato può dar luogo a trattamenti di dati personali illegittimi, sanzionabili ai sensi del nuovo regolamento europeo e del Codice Privacy come riformato. La regolamentazione dell’uso della posta elettronica aziendale, così come suggerito, rappresenta dunque non soltanto la misura idonea per evitare sanzioni derivanti dal trattamento di dati non pertinenti al rapporto di lavoro, ma allo stesso tempo è la miglior tutela per la riservatezza del lavoratore che terrà la propria corrispondenza personale[2] fuori dal possibile e/o incidentale controllo datoriale che per legge può avvenire. Adoperarsi per la corretta redazione di un regolamento non solo della e-mail ma di tutti gli strumenti aziendali (pc, telefonia, tablet, auto con GPS ecc.) è il comportamento virtuoso che riduce sensibilmente le eventuali sanzioni privacy in caso di accertamento e per questo è scelta quasi obbligata per l’imprenditore che si avvalga di dipendenti nella sua attività.

In via generale il contenuto dei messaggi di posta elettronica, compresi i cosiddetti dati “esteriori” e i “file allegati”, sono forme di corrispondenza assistite da garanzie di segretezza tutelate a più livelli: costituzionale, legislativo, anche penale, regolamentare, etc. (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.).

Per tale ragione ricordiamo che non sussistono solo questioni privacy, soprattutto nel caso vi sia necessità di accedere ai contenuti dell’account in assenza del lavoratore, ma anche di natura giuslavoristica e penale. Infatti, il Garante già da tempo ha stabilito che il datore di lavoro deve mettere a disposizione dei dipendenti apposite “funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze (ad esempio, per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti i riferimenti di contatto di un altro soggetto o altre utili modalità di contatto della struttura”. In modo che la continuità aziendale sia assicurata senza dover consultare le caselle di posta aziendale nei momenti in cui il lavoratore non sia presente. E inoltre che nel “caso di eventuali assenze non programmate (ad esempio, per malattia), qualora il lavoratore non possa attivare tale funzionalità, il titolare del trattamento, perdurando l´assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad esempio, l’amministratore di sistema oppure, se presente, un incaricato aziendale per la protezione dei dati), l’attivazione di un analogo accorgimento, avvertendo gli interessati” e in particolare preveda che l’interessato possa delegare un altro lavoratore (cosiddetto fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Questa ultima ipotesi rappresenta senza dubbio una best practice che un buon consulente è bene suggerisca all’imprenditore di adottare, redigendo altresì un apposito verbale. Anche in questo caso i messaggi di posta elettronica dovranno contenere un avvertimento ai destinatari nel quale “sia dichiarata l’eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell’organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale”. Per quanto sino a qui esposto è senza dubbio opportuno che il datore di lavoro, anche per la corretta applicazione del principio di accountability (GDPR), si ponga le sopra esposte questioni qualora abbia scelto di assegnare, o abbia già assegnato, indirizzi email aziendali nominativi e chiarisca al lavoratore: i limiti di utilizzo dell’account e le forme di controllo che possono essere eseguite sullo stesso nonché chieda di delegare un soggetto fiduciario in caso di assenza. Con riferimento ai controlli, queste informazioni devono essere necessariamente rese al lavoratore per due diverse finalità: in base alla normativa privacy per assolvere alle previsioni di cui all’art 13 ; in base alle norme di diritto del lavoro per poter utilizzare gli esiti di un eventuale controllo e in ragione delle previsioni di cui all’art 4 L. 300/7, che richiede che siano rese al lavoratore determinate informazioni relative agli strumenti, anche a lui assegnati, da cui possa derivare un controllo a distanza. Quel che preme più di tutto evidenziare è che l’adozione di una policy aziendale che informi il lavoratore sui limiti e controlli sotto il profilo giuslavoristico assume valore di direttiva aziendale (artt. 2104 e 2105 c.c.) a cui il dipendente deve conformarsi per non incorrere in sanzioni disciplinari (art. 7 L. 300/70 e le disposizioni di cui ai contratti collettivi di categoria o aziendali). L’introduzione di un disciplinare interno circa le modalità di fruizione dell’account di posta messo a disposizione dall’azienda è dunque una scelta quanto mai auspicabile e opportuna. La sua corretta stesura è poi fatto determinante per gestire correttamente il problema che siamo ad esaminare ossia il conflitto che nasce fra la necessità di controllo del datore di lavoro (ad esempio anche in ipotesi di assenze improvvise e prolungate, che possono richiedere anche la riorganizzazione del lavoro, art. 2082 cc) e il diritto alla riservatezza del lavoratore (artt. 2, 3, 4, 7 e 8 dello Statuto dei Lavoratori, L. 300/70).

Inevitabilmente, affrontando il tema incontriamo un ulteriore aspetto legato alla privacy e all’utilizzo degli account aziendali, nominativi o non nominativi, ossia quello dell’impiego delle informazioni contenute nella corrispondenza e-mail per fini disciplinari da parte del datore di lavoro.

Avviene spesso che il datore di lavoro tramite il controllo sulla corrispondenza e-mail del lavoratore trovi gli elementi necessari per procedere con una contestazione disciplinare. Posto che tale controllo può avvenire solo nei limiti di cui all’art 4 dello statuto dei lavoratori si deve ricordare che qualsiasi informazione raccolta è del tutto inutilizzabile se al lavoratore non è stata resa idonea informativa privacy ex art 13 del GDPR, relativa al trattamento dei suoi dati personali nell’ambito del rapporto di lavoro (L. 300/70 art 4 ultimo comma).

Ultima delicata questione è quella relativa agli effetti, sulla gestione degli account, delle risoluzioni contrattuali fra lavoratore e datore di lavoro e in particolare quei casi in cui repentinamente (ossia in tronco) cessa il rapporto di lavoro (dimissioni o licenziamento per giusta causa).

In tal caso la risoluzione porta con sé una rottura dei rapporti che non permette alcun passaggio di consegne ea cui spesso consegue un momento di difficoltà per l’azienda sotto il profilo della continuità aziendale del lavoro sino a tale momento svolto dall’ex dipendente e in questo frangente, l’accesso all’account e-mail se non correttamente e per tempo regolamentato rappresenta uno dei terreni di scontro fra le parti o comunque motivo di possibile controllo e sanzione. In linea con quanto suggerito dal Garante il datore di lavoro dovrebbe disattivare l’account nominativo aziendale informando i destinatari, con un messaggio automatico, che le comunicazioni lavorative, e non personali, indirizzate all’account in disattivazione, potranno essere da quel momento in avanti inviate ad un nuovo indirizzo. Ovviamente nei limiti dei principi di proporzionalità e limitazione del trattamento il datore di lavoro potrà mantenere attivo il precedente account per un periodo limitato, ma vi potrà accedere solo in caso di preventiva policy aziendale che disciplini tale ipotesi o altrimenti previo consenso del lavoratore (di difficile raccolta in tali circostanze). In ragione di quanto appena detto spesso il datore di lavoro non si accorge di star commettendo il reato di violazione di corrispondenza, questo perché, quando accede all’account nominativo aziendale in assenza del consenso dell’interessato, licenziato o dimessosi per giusta causa, crede di accedere ad una propria casella di posta e non a quella del lavoratore. In realtà l’account nominativo se non esplicitamente dichiarato aziendale dall’imprenditore, con annesso divieto per usi personale, è accompagnato da una presunzione secondo la quale le e-mail che giungono a tale indirizzo siano lette (confidenzialità) solo dal lavoratore, il cui nome è inserito nell’indirizzo.

Riassumendo, gli adempimenti necessari per una corretta gestione degli account nominativi aziendali da parte del datore di lavoro, sono:

• limitare per quanto possibile il loro utilizzo preferendo per alcune funzioni account collettivi (segreteria@…; info@….; amministrazioen@… ecc.);
• prevedere un regolamento interno che informi i lavoratori sul corretto utilizzo degli account loro assegnati e che in particolare che ne escluda i loro utilizzo per finalità personali;
• predisporre una procedura di deleghe interne per gli accessi in caso di assenze prolungate comprensive altresì di impostazione di messaggi automatici per i destinatari;
• procedere in caso di risoluzione improvvisa del rapporto di lavoro secondo predisposte procedure che rispetti le norme privacy e le indicazioni del Garante.