Il Garante torna sulla tematica della disattivazione della mail aziendale dell’ex dipendente, con una ordinanza di ingiunzione nei confronti di Mapei s.p.a. del 2 luglio 2020 [doc. web n. 9445180]. La esaminiamo qui di seguito, considerata la sua indubbia utilità orientativa per le aziende. La decisione, infatti, sintetizza con chiarezza le linee interpretative ormai consolidate nella prassi della nostra Autorità di controllo e si pone come un’ulteriore occasione per riflettere su un tema insieme frequente e di ampie conseguenze pratiche.
Si è fatto cenno alla posizione consolidata del Garante. Ai fini di una rapida rassegna, giova citare l’altrettanto chiaro provvedimento 4 dicembre 2019, n. 216 [9215890] e quantomeno i precedenti del 1° febbraio 2018, n. 53 [8159221], 5 marzo 2015, n. 136 [3985524], 27 novembre 2014, n. 551 [3718714].
Ci muoviamo qui su un quadrante assai delicato, quello dell’intersezione tra materia lavoristica e tutela dei dati personali, o, per essere più esatti, è investito il delicato rapporto tra l’interesse dell’imprenditore alla tutela della continuità di business e i diritti dell’interessato del trattamento.
A tutti gli effetti, si tratta di un’area del diritto che può ben definirsi magmatica, nel senso che è da sempre fonte di spunti contenziosi e di frequenti incertezze o fraintendimenti applicativi dal lato aziendale, almeno per quanto si riscontra nella prassi.
Due situazioni da disciplinare, non una soltanto
La tematica della gestione della posta elettronica aziendale assegnata al dipendente si biforca, a ben vedere, in due versanti distinti:
- gestione della mail in pendenza di rapporto lavorativo, dunque definizione dei controlli possibili da parte del datore di lavoro, delle procedure, delle regole di utilizzo della mail aziendale da parte del dipendente, della modalità operativa nel caso di assenze/malattie;
- gestione della mail alla cessazione del rapporto lavorativo.
La divisione è tutt’altro che banale. Ce lo indica proprio il caso Mapei, conclusosi con un provvedimento prescrittivo e sanzionatorio per l’importo di 15mila euro. La società in questione risultava sì essersi dotata di una policy sull’utilizzo della posta elettronica aziendale, ma essa copriva solo la prima tipologia di ipotesi, non la seconda. Lasciava cioè fuori proprio la situazione effettivamente verificatasi nel caso concreto.
Avere dunque ben chiare le due tipologie di situazioni da regolare e disporre di una policy completa è il primo passo fondamentale da compiere.
A che cosa serve la policy per la gestione della mail aziendale
Si è posto l’accento sullo strumento “policy”, che costituisce effettivamente il punto centrale del ragionamento e, anche, della soluzione. L’attenzione deve essere – beninteso – contenutistica, non formale: ciò che rileva, al di là della denominazione di “policy”, è la trasparenza e la chiarezza espositiva delle procedure adottate. Dunque, dalla policy deve risultare: l’osservanza dell’accountability; un chiaro nucleo informativo per l’interessato ex art. 13 GDPR; la presenza di istruzioni agli autorizzati su ciò che è o non è consentito, e pertanto l’adozione di misure organizzative adeguate.
Fermiamoci qui sulla questione decisiva: l’informativa al(l’ex) dipendente. Si tenga presente che ciò che non si trova chiaramente definito a livello di informativo può ben ingenerare aspettativa di più ampia tutela, e che, per altro verso, le carenze informative possono rilevare quali violazioni del principio di principio di correttezza, di cui all’art. 5.1.a) GDPR, come notato dal Garante nel caso in commento.
La ragione per la quale va resa l’informativa è del resto pacifica: l’ex dipendente può ben essere un interessato di trattamento. Lo è, nella specie, se l’account di posta elettronica aziendale è a lui riconducibile, come pure i flussi di posta elettronica in entrata in quell’account.
Per fare qualche esempio concreto che si riscontra nella casistica del Garante, alla casella mail dell’ex dipendente possono giungere messaggi di piattaforme a cui è iscritto, possono pervenire comunicazioni bancarie, richieste o notifiche da siti di vendita, saluti e altre manifestazioni di relazione personale.
Si tenga presente che anche già soltanto la circostanza che l’interessato (ossia l’ex dipendente) sia o non sia in contatto con determinati terzi, come rilevabile dai dati esteriori delle comunicazioni di posta elettronica, è essa stessa rilevante in termini di disciplina sulla protezione dei dati personali.
Alla posizione dell’interessato si contrappongono evidentemente le giuste pretese dell’imprenditore di salvaguardare la continuità degli affari. La ragione è chiara: occorre evitare interruzioni brusche dei flussi di corrispondenza aziendale e non creare pregiudizio alle posizioni a essi collegate.
È dunque necessario individuare un punto di bilanciamento tra i diritti dell’ex dipendente e quelli dell’ex datore di lavoro. Proprio l’individuazione di tale bilanciamento costituisce il nucleo essenziale delle decisioni del Garante richiamate in apertura di articolo.
Ora, un modo efficace per entrare nel cuore della questione è osservarla da una prospettiva forse inusuale, quella degli errori tipici da evitare nell’approccio a tale bilanciamento. Facendo una breve sintesi a partire da una casistica concreta, se ne presentano generalmente quattro, che analizziamo qui di seguito.
Primo errore – L’equivoco giuridico
Il primo e più classico errore è di impostazione, e da esso tendono a discendere a catena i successivi. L’errore consiste nel ritenere che la natura di strumento aziendale della posta elettronica riconducibile all’(ex) dipendente sia sufficiente a escludere tout court l’applicazione della normativa sulla protezione dei dati personali. Si tende a confondere qui il piano della titolarità civilistica con quello della tutela della privacy. In altre parole, il fatto che la mail costituisca uno strumento aziendale non toglie che il suo utilizzo possa rilevare contemporaneamente sotto altro piano giuridico, integrando un trattamento di dati personali del dipendente che ne fa uso.
Il concetto da tenere presente è che la tutela della vita privata va intesa in senso ampio e include anche l’ambito lavorativo, dal quale, secondo la Corte europea dei diritti dell’uomo, le relazioni personali intessute con il mondo esterno non possono essere completamente escluse, e in cui il confine tra attività strettamente aziendale e personale risulta in taluni casi di ardua definizione. Tale posizione costituisce un approdo ormai fermo nella giurisprudenza della Corte. Oltre al noto caso Bărbulescu c. Romania, 5 settembre 2017 (ric. n. 61496/08), cfr. §§ 70-73 e al più recente Antović e Mirković c. Montenegro, 28 novembre 2017 (ric. n. 70838/13), cfr. §§ 41-42, giova menzionare i precedenti Niemietz c. Germania, 16 dicembre 1992 (ric. n. 13710/88), § 29 e Copland c. UK, 3 aprile 2007 (ric. n. 62617/00), § 41.
Abbiamo appositamente citato questa selezione di precedenti della corte EDU perché sono gli stessi ripetutamente ricordati dal Garante. È dunque opportuno tenerli presenti sia per il loro valore intrinseco sia in quanto espressi riferimenti istituzionali.
Preso dunque atto del frequente equivoco giuridico, quale soluzione adottare? Occorre lavorare, nella policy, verso un obiettivo concreto: quello della delimitazione più precisa possibile della sfera aziendale rispetto a quella personale nell’uso della posta elettronica. Quanto più sarà confusa e indefinita la linea di confine tra le due tanto maggiore sarà l’aspettativa generale di privacy del lavoratore generata da sovrapposizioni e confluenze reciproche. Quanto più si ridurrà invece la promiscuità tra le due zone, tanto più si limiterà la conflittualità tra diritti del dipendente-interessato del trattamento e diritti del datore di lavoro-titolare del trattamento.
A tal fine è altamente consigliabile affidare la predisposizione o quantomeno la verifica della policy sulla posta elettronica a privacyisti esperti in ambito di contenzioso, che potranno valutare l’introduzione altresì di accorgimenti e modalità di gestione volti a favorire in concreto la segregazione tra i trattamenti di rilievo aziendale e quelli di rilievo personale, garantendo con ciò allo stesso tempo i diritti del lavoratore e quelli datoriali. Tali impostazioni trovano naturalmente applicazione in pendenza di rapporto lavorativo, ossia nella situazione indicata con il numero uno in apertura di articolo, ma è evidente che il loro riflesso riverbera poi necessariamente anche nella gestione della mail aziendale alla cessazione di quel rapporto.
Secondo errore – Evitare forward interni automatici della mail aziendale
Un secondo errore, invero spesso conseguenza del primo, è, secondo la nostra Autorità di controllo, quello di lasciare attiva la posta elettronica dell’ex dipendente, impostando il forward automatico dei messaggi ad altro indirizzo aziendale, ad esempio a quello di un supervisore o di un dirigente. Sostanzialmente, questo determina una lettura dei contenuti di tutti i messaggi in ingresso, aziendali ma altresì personali. Nella casistica affrontata dal Garante si registrano prassi di forward protrattesi per un tempo considerevole, oltre 10 mesi nella vicenda Mapei più sopra esaminata, circa un anno e sette mesi nel caso Imper Italia s.r.l. [doc. web n. 9215890 cit.].
È pacifico che trattamenti così estesi nella durata appaiono di ardua sostenibilità logica anche qualora siano considerati in una prospettiva di adesione alla tesi imprenditoriale, poiché un così ampio arco di tempo risulta, in sé, difficilmente conciliabile con le ragioni di immediata continuità aziendale che dovrebbero supportare quei trattamenti.
Qual è dunque la soluzione corretta? È quella, dopo la cessazione del rapporto, di disattivare, come modalità di gestione regolare, l’account di posta elettronica dell’ex dipendente, curando, per l’appunto nella regolarità dei casi, una programmata transizione di consegne. Contestualmente alla disattivazione sarà attivato un risponditore automatico che informi i terzi e indichi loro indirizzi aziendali alternativi ai quali inviare la corrispondenza collegata con le attività lavorative seguite dall’ex dipendente. In ragione di quanto osservato più sopra, tale risponditore dovrà restare in funzione per un tempo determinato e assolutamente non eccedente rispetto alle esigenze di continuità aziendale. Alla disattivazione seguirà la rimozione dell’account.
Non è questa la sede per entrare nei dettagli tecnici del risponditore e dei problemi che potrebbe determinare la sussistenza di quest’ultimo e la contestuale disattivazione dell’account, in ogni caso si tratta di profili affrontabili in maniera compatibile con l’assetto sopra definito.
Il terzo errore tipico – Trascurare i diritti dei terzi corrispondenti
La ratio dell’attivazione del risponditore è duplice:
- assicurare continuità operativa, evitando una potenziale dispersione di comunicazioni di terzi dirette all’azienda ed erroneamente indirizzate all’account dell’ex dipendente;
- rendere edotti i terzi di quanto sopra.
Quello di non tenere conto della posizione dei terzi è effettivamente un ulteriore errore tipico. In sostanza, non si considera l’esatto perimetro soggettivo del trattamento di dati personali, che nella specie si struttura come una relazione a tre parti.
Vanno studiate più in generale, e sono possibili, modalità per informare i terzi persone fisiche circa l’ambito di circolazione dei dati personali trasmessi attraverso la mail aziendale. Sotto questo profilo, elaborare una policy ma non collocarla all’interno di un più ampio ecosistema privacy osservato dall’azienda vuol dire nei fatti sottrarre effettività alla stessa policy. In definitiva, viene qui in considerazione uno degli elementi strutturali dell’intero GDPR, ossia il principio di accountability, che impone di superare un approccio meramente formale e documentale per adottare quello che potremmo definire “un metodo privacy”, una visione sostanziale delle questioni, un’impostazione proattiva. Proprio l’accountability ci conduce al quarto errore tipico.
Il quarto errore tipico – Ignorare le richieste dell’interessato
Non fornire riscontro tempestivo alla domanda con cui l’ex dipendente chiede l’immediata cessazione dell’account a lui ricollegabile e la consegna dei messaggi ricevuti rispetto ai quali ha diritto conoscitivo costituisce una sottovalutazione tanto dei diritti dell’interessato quanto del connesso apparato sanzionatorio del GDPR.
Va ricordato che la violazione dell’art. 12 è connessa infatti con la fascia edittale più elevata. La ratio diventa più chiara se l’osservanza dei diritti viene colta, appunto, in chiave di accountability: la prontezza di risposta del titolare del trattamento e la sua satisfattorietà sono infatti elementi centrali nella disciplina. Nella casistica esaminata dal Garante, il negligente riscontro alle richieste dell’interessato costituisce un inatteso elemento ricorrente, idoneo ad aprire – sia qui osservato incidentalmente – squarci sull’adozione a monte di adeguate misure organizzative.
Alla base c’è probabilmente un errore di natura giuridica, e di formazione: ciò che costituisce un esercizio, sanzionato, di diritti viene evidentemente equivocato per una semplice richiesta cui è cortesia rispondere.
Conclusioni
Le policy aziendali in materia di trattamento dei dati personali sono sovente liquidate quali meri adempimenti formali, spesso affidate a documenti non aggiornati, talvolta persino a formulari di incerta provenienza. Questo espone a significative conseguenze giuridiche, tanto più nella vigenza del GDPR. Le policy vanno invece correttamente colte come occasioni per l’impresa, in quanto strumenti sofisticati e necessari. A lavorare bene, e nell’interesse primario della produzione, andrebbero costruite su misura e con cura.
Abbiamo passato in rassegna più sopra quattro errori tipici, che a ben vedere si pongono soprattutto quali errori di approccio e di cultura giuridica. Ebbene, una policy ben costruita dovrebbe partire proprio dalla consapevolezza di tali criticità.
Volendo concludere in modo pragmatico queste brevi riflessioni, una ideale checklist minima dovrebbe, ad avviso di chi scrive, considerare allora quantomeno i seguenti punti:
- la policy si occupa anche della gestione della mail dell’ex dipendente o soltanto della gestione della mail aziendale in pendenza di attività lavorativa?
- È stata bilanciata, e in quale modo, la posizione giuridica del(l’ex) dipendente con quella del datore di lavoro alla continuità aziendale?
- Si è tenuto conto degli interessi del terzo?
- È stata fatta adeguata formazione ai ruoli aziendali sul trattamento dei dati personali?
- La policy è stata redatta da un privacyista esperto anche in materia di contenzioso avanti al Garante e all’autorità giudiziaria?
- La policy è soggetta, come per legge, a una revisione periodica?
- È stata costruita su misura delle esigenze reali della società?
- È stata portata a debita conoscenza applicativa all’interno dell’azienda?