BENVENUTO   |   Login   |   Registrati   |

MAIL IN UFFICIO/ Come può l'impresa conservare la posta ricevuta e inviata dei dipendenti?

Lapresse Lapresse

Se, per i due profili sopra indicati, porre rimedio appare abbastanza semplice, più complessa è la questione della legittimità in sé dell'attività di conservazione delle e-mail, che evidentemente contengono dati almeno potenzialmente rilevanti ai fini dell'attività di impresa. Il Garante, invero, considera non conforme ai principi di necessità, pertinenza e non eccedenza, la conservazione per dieci anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche: tale tempo viene considerato eccessivo se "applicato indistintamente a tutte le e-mail" contenute nella casella di posta, "in relazione al quale la società non ha fornito elementi in ordine alle specifiche ragioni che lo renderebbero necessario in relazione agli scopi perseguiti"; tale lasso di tempo - puntualizza il provvedimento - "non appare infatti commisurato alle ordinarie necessità di gestione dei servizi di posta elettronica, comprese le esigenze di sicurezza dei sistemi".

Non vi è, dunque, una condanna a priori della conservazione delle e-mail, ma si richiede una prova piuttosto difficile, in relazione alla quale, peraltro, il Garante sembra aver un po' "sbagliato mira" in ordine alle vere finalità della conservazione: spesso, infatti, lo scopo non è tanto quello di preservare la "sicurezza dei sistemi", ma di avere a disposizione dati relativi a questioni trattate dal dipendente cessato, al quale subentra un collega. Si pensi, per fare un esempio, a un liquidatore di una compagnia di assicurazioni. Il collega che subentra ha normalmente la necessità di consultare scambi di corrispondenze con periti, controparti, ecc., al fine di gestire una pratica la cui trattazione può durare anni. E quindi può avere bisogno di un accesso autorizzato all'archivio delle e-mail, per ricostruire detto carteggio, con un'operazione di selezione effettuata mediante parola chiave (nome delle Parti, piuttosto che codice identificativo della pratica). 

Sotto tale profilo, quindi, appare necessario dotarsi di una policy, che possa preventivamente consentire modalità di conservazione, in un ragionevole lasso di tempo, calibrate su finalità ben individuate (che non sembrano limitarsi alle sole finalità di difesa giudiziaria, pure richiamate nel prosieguo del provvedimento); magari anche diversificando dette modalità e i relativi tempi, in relazione alle diverse posizioni di lavoro o funzioni aziendali alle quali sono addetti i dipendenti.

Procedendo nell'esame del provvedimento, viene anche censurato l'affidamento della gestione dei dati ad altra società del gruppo: anche in questo caso l'operazione non è in sé illecita, ma richiede, oltre che l'informativa di cui sopra, anche la formale nomina di detta società a responsabile del trattamento ex art. 29 del Codice privacy. Da ultimo, il Garante rileva che il censurato sistema di conservazione dei dati, e la possibilità di accedervi da parte dell'ex-datore di lavoro consente "di effettuare il controllo dell'attività dei dipendenti", in violazione dell'art. 4 dello Statuto dei lavoratori: norma che, anche dopo le modifiche apportate dal Jobs Act, vieta "l'effettuazione di attività idonee a realizzare (anche indirettamente) il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore".