Un recente Provvedimento del Garante della Privacy (datato 7 luglio ma reso disponibile solo da alcune settimane) ha consentito di comprendere meglio quali procedure possono essere adottate da una azienda che intende accedere alla posta elettronica di un dipendente, quando si ritenga si comporti in maniera gravemente scorretta nei confronti del datore di lavoro.
Il caso è piuttosto complesso e, per un approfondimento, rimandiamo al contenuto delle premesse, ma vi sintetizziamo l’esito dal quale si può ricavare una sorta di “degalogo” piuttosto interessante:
1) Il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l’effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.);
2) I regolamenti aziendali (peraltro abbastanza dettagliati, aggiungiamo noi) sono necessari, poichè consentono di informare previamente il dipendente circa il fatto che possono essere effettuate verifiche e controlli sull’utilizzo dei mezzi informatici concessi per esclusive finalità professionali, con l’indicazione delle modalità e le procedure da seguire;
3) Sempre i regolamenti debbono prevedere il divieto di utilizzi impropri che possano essere di danno o in contrasto con l’interesse aziendale;
4) E’ lecito provvedere al ritiro delle dotazioni aziendali e a disabilitare l’utenza utilizzata per l’accesso ai sistemi informativi aziendali, invitando l’interessato ad assistere alle operazioni dirette ad accertare l’esistenza di eventuali anomalie;
5) L’interessato non può avvalersi dell’ausilio di un tecnico informatico esterno, ma deve, casomai, individuare un suo fiduciario; in mancanza provvede l’azienda di ufficio;
6) La verifica non deve essere effettuata da “pesca a strascico” ma deve essere svolta con modalità trasparenti e individuando preliminarmente le chiavi di ricerca da utilizzare, eventualmente raffinandole successivamente ma non in forma indiscriminata;
7) Sempre le verifiche vanno adeguatamente documentate (verbalizzate);
8) Le verifiche, quando ben esplicitate sui regolamenti aziendali possono essere svolte anche sulla posta elettronica e possono essere estese anche all’uso di internet da parte del dipendente (bisogna fare attenzione, in quanto l’accesso ai dati può avvenire solo quando la verifica è associabile alle finalità aziendali e non in altri casi, nonchè alle numerose limitazioni già individuarte dall’Autorità quali, ad esempio, l’accesso a dati sensibili come la condotta e le preferenze sessuali dell’utente);
9) L’indirizzo di posta elettronica aziendale nome.cognome@nomeazienda.it, essendo individualizzato e recante nome e cognome dello stesso (non un indirizzo condiviso tra più lavoratori) non può non essere considerato come dato personale del ricorrente medesimo;
10) Conseguentemente, il dipendente ha diritto di accedere a tutti i suoi dati, senza eccezioni di sorta e non è possibile invocare il differimento dall’accesso ai dati, di cui all’art. 7 del Codice della Privacy, se non per brevi periodi, anche se ci si trova in una condizione di precontenzioso.
I consulenti e i tecnici di Adeia Consulting restano a disposizione dei clienti per lo sviluppo dei regolamenti aziendali o in casi come quelli narrati.

Aldo Agostini