Email Aziendale e Normativa

Email aziendale del dipendente: chi può leggerle e cosa dice il GDPR

Email aziendale del dipendente: chi puo leggerle e cosa dice il GDPR

Due mesi fa un mio cliente mi ha chiamato con una richiesta che sento almeno tre volte all'anno: "Carlo, il commerciale se ne e andato dalla concorrenza. Devo entrare nella sua casella email per vedere se si e portato via i clienti. Me la apri?" La risposta non e "si" e non e "no". E "dipende" -- e quel "dipende" vale migliaia di euro di sanzioni se lo interpreti male.

Questa e la questione piu delicata che gestisco come consulente IT per le PMI. Il confine tra il diritto del titolare di proteggere l'azienda e il diritto del dipendente alla riservatezza della corrispondenza. In Italia questo confine e regolato da tre fonti normative che si sovrappongono, e quasi nessuno le conosce tutte. Nemmeno i titolari. Spesso nemmeno i consulenti.

La domanda che mi fanno tutti i titolari

"Ma la casella email e aziendale, l'ho pagata io, e mia. Posso leggerla." Questa frase la sento in ogni variante possibile. E il ragionamento sembra logico: l'azienda ha pagato il dominio, ha pagato la licenza Google Workspace o Microsoft 365, ha creato l'indirizzo nome.cognome@azienda.it. Tutto vero.

Ma la casella email e uno strumento di lavoro, non una proprieta senza vincoli. E come l'armadietto nello spogliatoio: l'ha comprato l'azienda, ma non significa che il titolare puo aprirlo quando vuole e rovistare dentro.

Il punto e che nelle email ci sono dati personali. Del dipendente, dei clienti, dei fornitori, a volte anche di terzi che non c'entrano nulla con l'azienda. E i dati personali hanno una protezione specifica che non si cancella solo perche la casella sta sul dominio aziendale.

Cosa dice il GDPR sulle email dei dipendenti

Il GDPR (Regolamento UE 2016/679) non ha un articolo dedicato alle email dei dipendenti. Ma tre articoli definiscono il perimetro in cui ci muoviamo.

Articolo 4 -- Definizioni. Il contenuto delle email, i metadati (chi scrive a chi, quando, con quale oggetto), i log di accesso alla casella: sono tutti dati personali ai sensi del GDPR. Non solo il contenuto dei messaggi -- anche il fatto stesso che un dipendente abbia scritto a un certo indirizzo in un certo momento e un dato personale. Questo e il punto che molti titolari non capiscono: non puoi analizzare neanche i metadati senza una base giuridica.

Articolo 6 -- Liceita del trattamento. Per accedere alla casella email di un dipendente ti serve una base giuridica. Le piu rilevanti nel contesto lavorativo sono: l'esecuzione del contratto di lavoro (art. 6.1.b), il legittimo interesse del datore di lavoro (art. 6.1.f) e l'obbligo di legge (art. 6.1.c). Ma nessuna di queste e un assegno in bianco. Il legittimo interesse, per esempio, richiede un bilanciamento con i diritti del lavoratore -- e il Garante Privacy ha chiarito piu volte che la semplice curiosita del titolare non e un legittimo interesse.

Articolo 88 -- Trattamento in ambito lavorativo. Questo articolo lascia agli Stati membri la possibilita di prevedere norme specifiche per il trattamento dei dati personali nel rapporto di lavoro. L'Italia lo ha fatto con il D.Lgs. 196/2003 (Codice Privacy) e con lo Statuto dei Lavoratori. Ed e qui che le cose si complicano.

Lo Statuto dei Lavoratori e l'articolo 4: il confine tra controllo e sorveglianza

L'articolo 4 dello Statuto dei Lavoratori (Legge 300/1970, modificato dal Jobs Act nel 2015) e la norma chiave. Dice una cosa semplice nel principio e complicata nell'applicazione: il datore di lavoro non puo usare strumenti che abbiano come finalita esclusiva il controllo a distanza dell'attivita lavorativa del dipendente.

L'email aziendale e uno strumento di lavoro. Non e stata data al dipendente per controllarlo, ma per lavorare. Questo cambia tutto.

Dopo la riforma del 2015, l'articolo 4 distingue due situazioni:

  1. Strumenti di lavoro (computer, email, telefono aziendale): il datore di lavoro puo raccogliere i dati che derivano dal loro utilizzo, ma solo a condizione che il dipendente sia stato adeguatamente informato sulle modalita d'uso e sui controlli. Senza informativa preventiva, qualsiasi dato raccolto e inutilizzabile -- anche ai fini disciplinari.
  2. Strumenti di controllo a distanza (software di monitoraggio, keylogger, screen recording): richiedono un accordo sindacale o l'autorizzazione dell'Ispettorato del Lavoro. Senza quello, il loro uso e illegittimo, punto.

La casella email rientra nella prima categoria. Ma attenzione: se installi un software che registra tutto il traffico email del dipendente in tempo reale, stai usando uno strumento di lavoro come strumento di controllo. E li serve l'accordo sindacale o l'autorizzazione dell'Ispettorato.

Cosa ha deciso il Garante Privacy: i provvedimenti che contano

Il Garante Privacy italiano e intervenuto piu volte sulle email dei dipendenti. Non con linee guida generiche, ma con provvedimenti specifici che hanno fatto giurisprudenza. Questi sono quelli che un consulente IT deve conoscere.

Le linee guida del 2007 sull'uso di internet e email in ambito lavorativo (doc. web n. 1387978) restano il documento fondamentale. Il Garante stabilisce che il datore di lavoro deve adottare una policy interna sull'uso degli strumenti informatici, informare i dipendenti sulle modalita e sui limiti del controllo, e privilegiare controlli graduali: prima verifiche aggregate e anonime, poi -- solo in caso di anomalie -- controlli individuali e mirati.

Il provvedimento sui metadati email (doc. web n. 10026277, aggiornamento del giugno 2024 dopo consultazione pubblica) ha chiarito un punto importante: anche la raccolta dei metadati delle email (log di accesso, indirizzi mittente/destinatario, orari di invio e ricezione) costituisce un trattamento di dati personali e non puo essere effettuata in modo massivo e indiscriminato. Il Garante ha indicato che la conservazione dei metadati email dei dipendenti dovrebbe essere limitata a un periodo breve -- orientativamente 21 giorni, salvo esigenze specifiche documentate.

I provvedimenti su email di ex dipendenti (tra gli altri, doc. web n. 9215890 del 2019 e doc. web n. 9909235 del 2023) hanno ribadito che l'account email dell'ex dipendente va disattivato al momento della cessazione del rapporto di lavoro. Ne ho parlato in dettaglio nell'articolo sulla conservazione delle email aziendali. Il titolare non puo tenere attiva la casella e leggersi le email che arrivano: e una violazione della privacy dell'ex dipendente e anche dei terzi che gli scrivono.

Casella aziendale e casella personale: la differenza che cambia tutto

Questo e il punto dove vedo la confusione piu grande nelle PMI.

Casella aziendale nominativa (mario.rossi@azienda.it): e lo strumento di lavoro assegnato al dipendente. Il datore di lavoro puo stabilire le regole d'uso e, a determinate condizioni, accedere ai contenuti. Ma non e una lettura libera: servono le condizioni che abbiamo visto sopra.

Casella aziendale funzionale (commerciale@azienda.it, alias come info@): qui il discorso e diverso. Se la casella non e nominativa e il dipendente lo sa, l'aspettativa di riservatezza e ridotta. Ma non azzerata -- ci possono comunque essere dati personali di terzi.

Casella personale del dipendente (mario.rossi@gmail.com): intoccabile. Anche se il dipendente la usa dal computer aziendale. Anche se ci accede durante l'orario di lavoro. Anche se ci manda documenti aziendali. Il datore di lavoro non puo accedervi in nessun caso. Se scopre che il dipendente usa la casella personale per esfiltrare dati aziendali, deve agire per vie legali -- non con il fai da te.

Il problema concreto? In molte PMI non c'e una separazione chiara. I dipendenti usano l'email aziendale per comunicazioni personali -- iscrizioni a servizi, corrispondenza con il medico, messaggi alla famiglia. E in assenza di una policy che vieti espressamente questo uso, il dipendente ha un'aspettativa di privacy anche sulla casella aziendale. E l'aspettativa di privacy e una delle cose che il giudice valuta quando decide se il controllo era lecito o no.

Quando il controllo e lecito e quando no

Traduco le norme in una tabella pratica. Questo e quello che dico ai miei clienti.

Situazione Il titolare puo accedere? Condizioni
Verifica generica "cosa fa il dipendente" No Il controllo fine a se stesso non e mai lecito
Sospetto fondato di illecito (furto dati, concorrenza sleale) Si, con limiti Informativa preventiva data, accesso mirato e proporzionato, coinvolgimento legale
Dipendente assente e serve un'email per un cliente urgente Si, con limiti Accesso puntuale, solo all'email necessaria, documentare il motivo. Meglio: usare alias e caselle condivise per evitare il problema a monte
Dipendente uscito dall'azienda, casella ancora attiva No L'account va disattivato. Per le email rilevanti: protocollo di offboarding con consegna prima dell'uscita
Casella personale del dipendente (Gmail, Yahoo) Mai In nessuna circostanza, nemmeno con autorizzazione giudiziaria ottenuta dal datore
Controllo automatizzato massivo (software che scansiona tutte le email) No Richiede accordo sindacale o autorizzazione Ispettorato. Anche con questi, deve essere proporzionato

La parola chiave e proporzionalita. Anche quando il controllo e lecito, deve essere proporzionato al motivo. Non puoi leggere cinque anni di email di un dipendente perche sospetti che abbia mandato un listino prezzi alla concorrenza. Cerchi il listino prezzi, trovi il listino prezzi, ti fermi.

Due casi dal mio lavoro (e come sono andati a finire)

Questi sono casi reali. Ho cambiato nomi e dettagli identificativi.

Il titolare che vuole la casella dell'ex commerciale

Azienda di componentistica, 30 dipendenti. Il commerciale senior se ne va e passa alla concorrenza diretta. Il titolare e convinto che si sia portato via il database clienti. Mi chiama il sabato mattina: "Carlo, entra nella sua email, stampa tutto e mandamelo."

Gli ho detto no. Non perche non capisco la sua preoccupazione -- la capisco perfettamente. Ma perche entrare nella casella di un ex dipendente senza un protocollo e senza un legale e il modo migliore per trasformare il titolare da vittima a colpevole.

Quello che abbiamo fatto: abbiamo contattato il legale dell'azienda il lunedi. Il legale ha predisposto un ricorso d'urgenza. Il giudice ha autorizzato un accesso mirato alla casella, limitato alle comunicazioni con i clienti dell'azienda, effettuato da un consulente tecnico terzo. L'accesso ha confermato che il commerciale aveva inoltrato il database clienti alla sua nuova email personale nelle ultime due settimane di lavoro. L'azienda ha avuto le prove. Il procedimento disciplinare e la causa civile hanno avuto fondamento.

Se il titolare avesse fatto da solo quel sabato mattina? L'accesso non autorizzato avrebbe potuto invalidare le prove. E il dipendente avrebbe potuto contrattaccare con una denuncia per violazione della privacy. L'ho visto succedere.

La dipendente che usava l'email aziendale per tutto

Azienda di servizi, 15 dipendenti. La responsabile amministrativa usava la casella nome.cognome@azienda.it come email unica per tutto: lavoro, acquisti personali su Amazon, comunicazioni con il suo medico, iscrizione a siti di incontri. L'azienda non aveva una policy email.

Il problema e emerso quando e arrivata un'email di phishing che ha compromesso la casella. Per capire cosa era stato violato, serviva analizzare il contenuto della casella. Ma dentro c'era di tutto: referti medici, conversazioni private, dati che il datore di lavoro non aveva alcun diritto di vedere.

Abbiamo gestito la cosa con un tecnico terzo che ha analizzato solo i log tecnici dell'intrusione senza leggere i contenuti delle email. Ma la lezione e chiara: senza una policy che definisca l'uso della casella aziendale, il casino e garantito. Se l'azienda avesse avuto una policy che vietava l'uso personale dell'email aziendale, il perimetro dell'analisi sarebbe stato definito in partenza.

Il ruolo del consulente IT: cosa devi consigliare al cliente

Se sei un consulente IT e gestisci le caselle email dei tuoi clienti, questa sezione e per te. Perche la responsabilita non e solo del titolare -- e anche tua, se non informi.

Queste sono le cose che metto nero su bianco con ogni cliente, in un documento firmato:

  1. Fai adottare una policy email aziendale prima che serva. Non dopo il problema. Il template lo trovi alla fine di questo articolo.
  2. Configura gli strumenti per prevenire, non per controllare. Alias e caselle condivise per i ruoli aziendali, in modo che le email operative non dipendano dalla casella personale di nessuno. Ne ho parlato nell'articolo sugli alias.
  3. Implementa un protocollo di offboarding email. Il giorno in cui un dipendente esce, la casella si disattiva, si attiva il risponditore automatico, le email rilevanti vengono archiviate. Ho descritto il protocollo in dettaglio nell'articolo sulla conservazione delle email aziendali.
  4. Non accedere mai alla casella di un dipendente senza il legale dell'azienda. Se il titolare ti chiede "entra e stampami tutto", la risposta e "prima sentiamo il legale". Sempre. Anche se ti sembra una situazione ovvia.
  5. Documenta tutto. Ogni configurazione, ogni raccomandazione data, ogni rifiuto motivato. Se il cliente ignora il tuo consiglio, mettilo per iscritto. Non per scaricare responsabilita -- per tutelarle entrambi.

Template: policy email aziendale minima per PMI

Questa non e una policy legale completa. E un punto di partenza che copre le basi e che va adattato con il legale dell'azienda. Ma e meglio avere questa che non avere niente.

1. Titolarita e finalita

  • La casella email nome.cognome@azienda.it e uno strumento di lavoro di proprieta dell'azienda.
  • E assegnata al dipendente esclusivamente per lo svolgimento delle mansioni lavorative.

2. Uso consentito

  • La casella email aziendale e destinata a uso professionale.
  • L'uso personale occasionale e tollerato, ma il dipendente e consapevole che la casella resta uno strumento aziendale.
  • E vietato l'uso dell'email aziendale per attivita illecite, concorrenziali o in contrasto con gli interessi dell'azienda.

3. Controlli

  • L'azienda non effettua controlli sistematici sul contenuto delle email.
  • In caso di necessita documentate (assenza prolungata, sospetto fondato di illecito, esigenze operative urgenti), l'azienda puo accedere alla casella con le seguenti garanzie: motivazione documentata, accesso limitato allo stretto necessario, coinvolgimento del legale aziendale.
  • I metadati delle email (log di accesso, mittente/destinatario, orari) sono conservati per un massimo di 21 giorni, salvo esigenze di sicurezza documentate.

4. Cessazione del rapporto di lavoro

  • Al termine del rapporto di lavoro, il dipendente deve trasferire le email operative rilevanti al responsabile designato.
  • L'account viene disattivato il giorno della cessazione.
  • Viene attivato un risponditore automatico con contatto alternativo.
  • L'account viene cancellato entro 3 mesi.

5. Informativa

  • Questa policy e parte integrante dell'informativa privacy ai sensi dell'art. 13 del GDPR.
  • Ogni dipendente riceve e firma copia di questa policy al momento dell'assunzione.

Questa checklist e questo template sono il punto di partenza. Non il punto di arrivo. Ogni azienda ha le sue specificita, i suoi rischi, il suo contesto. Ma avere una policy scritta, comunicata e firmata e la differenza tra un titolare che puo gestire un problema e un titolare che diventa il problema.

Se vuoi approfondire come gestire la conservazione delle email aziendali nel rispetto della legge italiana, ho scritto un articolo dedicato con la checklist operativa completa. E se la tua preoccupazione principale e la sicurezza delle email, l'articolo sul phishing aziendale ti spiega come proteggere la tua azienda dalle email truffa -- perche privacy e sicurezza sono due facce della stessa medaglia.

Potrebbe interessarti