1) Account personalizzato con dominio aziendale L’indirizzo assegnato in uso esclusivo ad un dipendente, pur non contenente per esteso il cognome, ma solo iniziali ed eliminato a seguito della cessazione del rapporto, si considera indirizzo personalizzato, sul quale può trovarsi corrispondenza di natura privata dell’utente, circostanza che comporta applicazione delle norme sulla tutela della corrispondenza nonché degli obblighi relativi alla titolarità di un trattamento di dati personali, con applicazione del Regolamento UE 679/2016 e del D.Lgs. 196/2003 (“Codice Privacy”), come da decisioni del Garante privacy e di giurisprudenza. * * * 2) Cessazione rapporto e chiusura account personalizzato Dalle “Linee Guida del Garante per posta elettronica e internet” (emanate in materia di lavoro dipendente, ma che il Garante applica anche agli altri rapporti di collaborazione quali ad esempio tra preponente e agente, amministratore di società ecc.) e dai provvedimenti adottati dal Garante a seguito di reclami/segnalazioni, si possono ricavare alcune indicazioni per la circostanza di cessazione di un rapporto di collaborazione: A) Obbligo di totale disattivazione dell’account “personalizzato”: al fine di impedire al titolare del trattamento dati (datore di lavoro, committente ecc.) la visualizzazione di nuovi messaggi inviati a quell’indirizzo, non essendo consentito il semplice reindirizzamento degli stessi ad altro indirizzo del titolare (v. Provvedimenti Garante 21/12/2023, 5/3/2015). Il Garante suggerisce di attivare, come è stato fatto nel caso di specie, allo stesso tempo, un sistema che avvisi i terzi, fornendo loro un altro indirizzo per le loro comunicazioni di pertinenza dell’attività del titolare. B) Premesso che, per il Garante e per giurisprudenza (v. Cass. n. 18302/2016), in nessun caso sarebbe consentito conservare messaggi di posta elettronica per prolungato periodo di tempo, senza che ne venga fornita specifica informazione (vedasi sotto bozza di informativa con regolamento da inoltrare agli assegnatari dell’account aziendale), per l’indirizzo personalizzato, circa le e-mail arrivate/spedite prima della cessazione del rapporto, ancora presenti nella casella, il Garante ha, in più occasioni, affermato che: i. il titolare ha diritto di conservare copia di quelle attinenti alla propria attività, seppure non in modo generalizzato ed a tempo indeterminato, ma nei limiti in cui ciò è necessario per determinate finalità (es. amministrative, giudiziarie). Secondo le indicazioni del Garante, da interpretarsi in modo restrittivo ove non esista nell’azienda un regolamento per l’uso delle e-mail, si deve trattare di messaggi inerenti contenziosi in atto o situazioni precontenziose, non essendo sufficiente un’esigenza di tutela riferita ad ipotesi astratte ed indeterminate (cfr. Provv. 29/9/2021); ii. l’interessato può chiedere al titolare di estrarre copia delle e-mail di carattere personale e quindi di procedere alla loro cancellazione (v. Provvedimento 5/3/2015); iii. la selezione delle e-mail non di pertinenza dell’attività aziendale andrebbe svolta da un soggetto diverso dal titolare, possibilmente l’amministratore di sistema, e in presenza dell’interessato. * * * 3) Regolamento uso sistemi informatici e riservatezza Stante la opportunità di adottare un regolamento sulle modalità di uso degli strumenti informatici dell’azienda, sulla durata ragionevole di conservazione del contenuto dei messaggi di posta elettronica, tenuto conto del tipo di attività dell’azienda, segue una bozza di regolamento, da inviare per posta elettronica a ciascun dipendente e collaboratore dell’azienda e rendere visionabile sul sito dell’azienda. * * * 4) Conservazione log e metadati Come corollario, poiché, di regola, il fornitore del programma di posta, salva in cloud i dati degli account dei clienti, il Garante si preoccupa del “rischio che i programmi e i servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, altresì, limitazioni al cliente (cioè il datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”. In quest’ottica, il recente provvedimento 6/6/2024 del Garante Privacy ha ritenuto che la conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture della posta elettronica non dovrebbe superare 21 giorni. Il provvedimento pare destinato a rimanere senza esito, perché i fornitori del sistema di posta sono in genere i colossi esteri come Microsoft, che adottano una durata di conservazione non modificabile e indipendente dalle richieste del Garante Italiano. * * * 5) Indicazione nelle e-mail aziendali che la posta inviata può essere letta dal datore di lavoro Sotto altro profilo, per evitare che messaggi di natura privata siano inviati ad assegnatari, contando sulla riservatezza della corrispondenza ad una casella postale, si potrebbe inserire nelle e-mail (v. punto 5 Linee Guida del Garante) una dicitura che avvisa i destinatari che, trattandosi di indirizzo aziendale, le comunicazioni inoltrate all’account potranno essere conosciute dal datore di lavoro. Regolamento sull’uso dei sistemi e strumenti informatici aziendale e sull’obbligo di riservatezza da parte del personale dipendente o comunque legato all’azienda da un contratto di collaborazione, anche occasionale o associativo 1.- Utilizzo della casella di posta elettronica con dominio aziendale e della rete Internet Le caselle e-mail, c.d. “account”, con il dominio aziendale, assegnate dall’azienda a dipendenti/collaboratori o soci, sono di proprietà dell’azienda e riservati esclusivamente per l’attività dell’azienda, così come l’accesso alla rete internet dell’azienda. Agli assegnatari è fatto, altresì, espresso divieto, tramite l’account aziendale, di:
La password di accesso deve essere comunicata e resa disponibile al Direttore Generale, in quanto i contenuti nella posta sono dell’azienda ed all’amministratore di sistema.
Gli assegnatari non sono titolari di un diritto all’uso esclusivo della posta elettronica con dominio aziendale (l’uso dell’iniziale del nome seguita dal cognome come indirizzo di e-mail non autorizza ad un uso privato ma all’uso per le funzioni nell’azienda dall’assegnatario ricoperte). In caso di assenza dell’assegnatario, l’azienda può, per lo svolgimento dell’attività corrente, entrare nella sua casella e leggere i messaggi in entrata e in uscita.
L’azienda comunque accederà alla casella di posta elettronica – di cui sia titolare la medesima – utilizzata dall’assegnatario solamente per motivi connessi con lo svolgimento dell’attività.
2.- Controllo del corretto utilizzo degli strumenti informatici
L’azienda è tenuta ad adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità.
Gli strumenti software nel settore della sicurezza informatica permettono all’amministratore del sistema di:
- registrare ed analizzare tutti i siti raggiunti navigando su internet (utente, ora, byte scaricati, indirizzo);
- analizzare il contenuto dei messaggi di posta sia inviati che ricevuti;
- analizzare il contenuto delle cartelle personali o di gruppo memorizzate sul server;
- analizzare il contenuto dei dischi del PC.
Le informazioni legate ai suddetti controlli sono memorizzare e salvate nelle copie di backup e quindi recuperabili anche a distanza di tempo.
Per limitare l’arrivo di posta indesiderata (SPAM), l’azienda ha attivato un sistema Antispam che prevede il controllo degli indirizzi dei mittenti e del contenuto dei messaggi in ingresso.
Questi controlli, qualora gli assegnatari non si limitino ad un uso strettamente collegato all’attività aziendale, potrebbero rivelare dati sensibili, di conseguenza è proibito un uso personale degli strumenti informatici, dell’accesso ad Internet e della posta elettronica messi a disposizione dall’azienda.
La posta nell’account viene conservata per il tempo necessario per il completamento delle attività aziendali per ….. anni.
3.- Obbligo di segretezza e responsabilità dei dati aziendali e personali
I dipendenti e collaboratori dell’azienda si impegnano a non divulgare a terzi estranei all’azienda dati e informazioni di cui vengano a conoscenza per l’attività svolta.
In particolare, essi si impegnano a mantenere il segreto e la massima riservatezza sull’anagrafe clienti e fornitori, su contratti, documenti, progetti e sono responsabili dell’uso non corretto di tali dati e informazioni.
Nessun dato dell’azienda può essere trasmesso all’esterno in qualunque forma, sia come comunicazione che come diffusione, se non previa autorizzazione del Presidente/Direttore Generale.
4.- Cessazione del rapporto
A seguito della cessazione del rapporto, l’amministratore di sistema potrà modificare la password assegnata senza più comunicarlo all’assegnatario e il contenuto della casella dell’assegnatario rimane a disposizione dell’azienda.
* * *
Una copia di questo regolamento viene inviata per posta elettronica ad ogni assegnatario che, con la lettura, ne accetta il contenuto.
Il regolamento integra il contratto individuale per le materie che disciplina, per cui l’inosservanza delle regole di comportamento contenute nel presente documento configura per i dipendenti illecito disciplinare.
Una copia del regolamento è disponibile sul sito aziendale.